Nmap 9つの真実

Nmap 9つの真実

1. 1. もう「何も言えねぇ」 Nmap 9つの真実
2. 2. 自己紹介 小河 哲之 Twitter：abend ISOG-WG1 Burp Suite Japan User Group Prosit 2
3. 3. きっかけ Software Design5月号 にNmapについて記事を 寄稿しました。記事執筆の 過程で気づいたことなどを ご紹介します。 ※資料中、バージョンの記載 がないものはv7.12を抜粋 3
4. 4. はじめに Nmapに存在する8つの隠しオプションと Nmapが発見できるたった1つのマルウェア(ワー ム)の検出方法や、どうすればうまく活用できる のかをご紹介します。 8つの隠しオプション＋1つのマルウェア＝9つの真実 4
5. 5. Nmap ネットワークスキャナの1つ。Gordon Lyonが 1997年に作成。 - ポートスキャン - ホストの探索 - OSやサービスの検出 - 脆弱性スキャン 5
6. 6. 8つの隠しオプション Reference Guideやhelpに記載されている ものが、Nmapのすべてのオプションとは限らな い。 6
7. 7. --noninteractive 7
8. 8. --noninteractive Nmapはインタラクティブなアプリケーションです。 Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-07-30 23:38 JST Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 0.10% done 8
9. 9. --noninteractive 実行中にEnterとか連打して、進捗状況を確 認したりしますよね。これをできなくするためのオ プション。 9
10. 10. --noninteractive nmap_tty.ccの336行目から342行目抜粋。 "Interactive keyboard commands:n" "? Display this informationn" "v/V Increase/decrease verbosityn" "d/D Increase/decrease debuggingn" "p/P Enable/disable packet tracingn" "anything else Print statusn" "More help: https://nmap.org/book/man-runtime- interaction.htmln"); 10
11. 11. --noninteractive Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-07-30 23:39 JST Packet Tracing enabled. SENT (1.6510s) TCP 192.168.217.130:45411 > 192.168.217.131:8888 S ttl=41 id=54162 iplen=44 seq=1659576208 win=1024 <mss 1460> RCVD (1.6509s) TCP 192.168.217.131:8888 > 192.168.217.130:45411 RA ttl=64 id=0 iplen=40 seq=0 win=0 Packet Tracing disabled. 11 pを押した Pを押した
12. 12. --noninteractive packet traceやdebugもオプションつけ忘れ た場合に有効化することや、オプションを付けて いたが途中から無効化することも可能。 12
13. 13. --noninteractive 「スキャンがめちゃくちゃ遅いときにちゃんとパケッ ト飛んでいるか確認するために、一時的に有効 化する」などの用途があります。 --noninteractiveをつけると、これらができな くなる。 13
14. 14. --noninteractive 日本語のリファレンスガイドを見ると 14
15. 15. --noninteractive v4.00(2006/1/31)に追加されたオプション なので、日本語のリファレンスガイドはそれ以前 に書かれたものだと推測される。 15
16. 16. 16 --noninteractive 結論： 役に立たない
17. 17. --nogcc 17
18. 18. --nogcc セグメント単位でスキャンする場合に一斉にパ ケット送る。そのため、スキャンにかかる時間が 短い。 10回の平均時間(同セグの/24にSYN Scan) オプションなし：9.62sec --nogccオプションあり：3.73sec 18
19. 19. --nogcc 19 0 50 100 150 200 250 300 350 0 0.27 0.54 0.81 1.08 1.35 1.62 1.89 2.16 2.43 2.7 2.97 3.24 3.51 3.78 4.05 4.32 4.59 4.86 5.13 5.4 5.67 5.94 6.21 6.48 6.75 7.02 7.29 7.56 7.83 8.1 8.37 8.64 8.91 9.18 9.45 9.72 9.99 10.26 10.53 10.8 packet second nogcc 3.72sec オプションなし 11.06sec
20. 20. --nogcc filterされているホストと何らかのサービスが稼 働するホスト 計2ホストが検出されなかった。 オプションなし：9ホスト --nogccオプションあり：7ホスト ※1ホストについては、arpの応答が遅いためと 推測される。--send-ipオプションで改善。 20
21. 21. --nogcc nmapでは輻輳制御が行われていますが、-- nogccは輻輳制御を行わないために一斉にパ ケットが送信されます。 21
22. 22. --nogcc scan_engine.ccの394行目から403行目 を抜粋。 /* In case the user specifically asked for no group congestion control */ if (o.nogcc) { if (when) *when = USI->now; return true; } 22
23. 23. --nogcc Nmapの輻輳制御は3つのポイントで行われま す。 • congestion window • exponential backoff • slow start 23
24. 24. --nogcc • congestion window → drop検知時にパケットを減らす • exponential backoff → drop検知時に劇的に速度を遅くする • slow start → 徐々にスキャン速度を上げていく 24
25. 25. --nogcc --nogccは一斉に送信するので、負荷が高く なる可能性があります。また、輻輳制御が行わ れないことによる結果の精度低下も予想され、 検出漏れにつながる可能性がある。 やんちゃな方のためのオプション。 25
26. 26. 26 --nogcc 結論： やんちゃな方以外、役に立た ない
27. 27. --route-dst 27
28. 28. --route-dst インタフェースごとに指定したIPのルーティング先 を確認するためのオプション。 # nmap –e eth0 --route-dst 8.8.8.8 Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-09-20 12:41 JST 8.8.8.8 eth0 eth0 srcaddr 192.168.1.209 nexthop 192.168.1.254 28
29. 29. 29 --route-dst 結論： 役に立たない
30. 30. -I(大文字のi) 30
31. 31. -I(大文字のi) ident scanはそもそも実装されていないらしい。 case 'I': error("WARNING: identscan (- I) no longer supported. Ignoring -I"); break; // o.identscan++; break; 31
32. 32. -thc 33
33. 33. -thc # nmap -thc !!Greets to Van Hauser, Plasmoid, Skyper and the rest of THC!! おめでとうってことらしい。 34
34. 34. 35 -thc 結論： 役に立たない
35. 35. -oH 36
36. 36. HTMLで出力できるオプション。エスケープに漏 れがあれば、XSSの可能性も。 37 -oH
37. 37. -oH 2.30BETA16から3.93までは、 } else if (strcmp(long_options[option_index].name, "oH") == 0) { fatal("HTML output is not yet supported"); ※すべてのバージョンを確認してません。 38
38. 38. -oH 3.94ALPHA1からは7.12 } else if (strcmp(long_options[option_index].name, "oH") == 0) { fatal("HTML output is not directly supported, though Nmap includes an XSL for transforming XML output into HTML. See the man page."); ※すべてのバージョンを確認してません。 39
39. 39. -oH これまで(たぶん)一度も実装されなかったオプ ションだと思われる。NmapのXSSは見てみた かった。 40
40. 40. 41 -oH 結論： 役に立たない
41. 41. --ff 42
42. 42. --ff 16byteにフラグメントしてくれるオプション。 Referenceに載っている「-f」は8byteにフラグ メントするオプション。 43
43. 43. --ff 「-f」、「--ff」ともにフラグメントするbyte数を加 算していく。 } else if (strcmp(long_options[option_index]. name, "ff") == 0) { o.fragscan += 16; 44
44. 44. --ff この場合はどうなるでしょうか。 45 nmap -f -f --ff --ff 192.168.1.1
45. 45. --ff 「-f」8byte × 2 + 「--ff」16byte×2 = 48byteでフラグメントされる。「-v」、「-vv」も 同様に、つければつけるほど、verboseは高く なる。 46
46. 46. --ff 「何byteにフラグメントされるでしょう?」という小 学生レベルの算数が学べる。 nmap -f -f --ff 192.168.1.1 47
47. 47. --ff ただ単にフラグメントしたいなら、「-f」や「--ff」 を使うより、「-mtu XX」でフラグメントしたほう がコマンドが見やすい。 nmap -mtu 24 192.168.1.1 48
48. 48. 49 --ff 結論： 小学生以外、役に立たない
49. 49. --deprecated-xml-osclass 50
50. 50. --deprecated-xml-osclass -oXのosclassタグがosmatchタグの子になる のかどうかを指定するオプションのようです。用 途が不明。 51
51. 51. --deprecated-xml-osclass オプションにハイフンなどの記号が含まれるもの が他にもありますが、最大遅延時間を指定す るオプションではどっちが実行可能なオプションで しょうか。 ① --max-scan-delay ② --max_scan_delay 52
52. 52. --deprecated-xml-osclass 両方とも実行可能です。 Nmapのすべてのオプションで「- 」(ハイフン)、 「_」(アンダーバー)のどちらでも実行できます。 ただし、--max_scan-delayのように「-」、 「_」を混在させるのはダメ、ゼッタイ。 53
53. 53. --deprecated-xml-osclass nmap.ccの597行目から598行目を抜粋。 「-」、「_」をそれぞれ定義しています。 {"max_scan_delay", required_argument, 0, 0}, {"max-scan-delay", required_argument, 0, 0}, deprecated-xml-osclassも両方定義され ている。 54
54. 54. ソースを見て、これに気づいた時の気持ちが osscan.ccの1209行目に書かれていたので ご紹介します。 --deprecated-xml-osclass 55
55. 55. char *p, *q; /* OH YEAH!!!! */ --deprecated-xml-osclass 56
56. 56. では、ここで日本語のリファレン スガイドを見てみましょう。 --deprecated-xml-osclass 57
57. 57. --deprecated-xml-osclass 58 コンザイ、ダメ、ゼッタイって言ったのに、混在した ものが記載されている。
58. 58. --deprecated-xml-osclass 59 実際に使用してみるとどうなるかというと nmap: unrecognized option '-- max_scan-delay' See the output of nmap -h for a summary of options.
59. 59. コンザイ、ゼッタイ、ダメ --deprecated-xml-osclass 60
60. 60. 日本語のリファレンスガイドが間違 えている!! --deprecated-xml-osclass 61
61. 61. --deprecated-xml-osclass 62 max_scan_delayオプションは・・・ • v3.75(2004/10/18)に追加される。 • v3.99(2006/1/25) から「-」、「_」の両 方が使用可能になる。
62. 62. --deprecated-xml-osclass 63 v3.75からv3.99(2006/1/25)の間に11 バージョンリリースされている。すべて「_」のみと なっており、混在したものは存在しなかった。 そのため、ただ単に日本語のリファレンスガイド はタイプミスであると思われる。
63. 63. --deprecated-xml-osclass 64 日本語リファレンスガイドは、古いだけではなく 誤りもあった。これを発見した時の気持ちがnet util.ccの4478行目にありました。
64. 64. continue; /* D'oh! */ 日本語訳：おいおい、なんてこった --deprecated-xml-osclass 65
65. 65. 66 --deprecated-xml-osclass 結論： 役に立たない
66. 66. 67 ～ 途中経過 ～ 8オプション、全て役に立たない。
67. 67. 検出可能なたった1つのマルウェア 68
68. 68. 1つのマルウェア(ワーム) NmapはService Scanでたった1つだけマル ウェア(に感染したホスト)を見つけることができる。 69
69. 69. Service Scan Service Scan(-sVオプション)には、 intensity(--version-intensity)という重み が存在している。 0から9までの段階があり、特 に指定しない場合はintensityは7になる。 70
70. 70. Service Scan nmap-service-probesに各ポートとfinger printが保存されている。このファイルのrarity がintensityにあたる。 71
71. 71. Service Scan nmap-service-probesに、126パターンが 登録されている。 72 Num Rarity 2 6 0 3 8 9 12 5 50 31 0 10 20 30 40 50 60 None 1 2 3 4 5 6 7 8 9 intensityを 指定していな ければ実施さ れない
72. 72. Service Scan -sVオプションだけでは、3割程度しか活用でき ていない。 intensityを指定することでpc- anywhereやJavaRMIなどを正確に把握で きる可能性が高まる。 73
73. 73. Service Scan いくつかあるrarity 9のひとつ。 Probe TCP mydoom q|x0dx0d| rarity 9 ports 706,3127-3198 match mydoom m|x04x5b000000| p/MyDoom virus backdoor/ v/v012604/ 74
74. 74. Service Scan いくつかあるrarity 9のひとつ。 Probe TCP mydoom q|x0dx0d| rarity 9 ports 706,3127-3198 match mydoom m|x04x5b000000| p/MyDoom virus backdoor/ v/v012604/ 75
75. 75. ＿人人人人人人人人人＿ ＞ mydoom !? ＜ ￣Y^Y^Y^Y^Y^Y^Y￣ 76
76. 76. Mydoom 77 https://www.ipa.go.jp/security/topics/newvirus/mydoom.html
77. 77. Mydoom 78 2004年ころにブレイク。メールで感染を広げる タイプで、特定の期間にwww.sco.comなど へ攻撃を仕掛ける。特定ポートで待ち受ける。 ※2004年は北島康介「チョー気持ちいい」が 流行語大賞になった年
78. 78. 試してみた 79 Windows XP SP3に感染させた。
79. 79. WORM_MYDOOM.BR 80
80. 80. Intensityの指定なし 81 # nmap -p- -sV IPアドレス PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd 25/tcp open smtp Microsoft ESMTP 6.0.2600.5949 80/tcp open http Microsoft IIS httpd 5.1 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows 98 netbios-ssn 443/tcp open https? 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 1025/tcp open msrpc Microsoft Windows RPC 5424/tcp open unknown
81. 81. Intensityの指定あり 82 # nmap -p- -sV --version-intensity 9 IPアドレス PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd 25/tcp open smtp Microsoft ESMTP 6.0.2600.5949 80/tcp open http Microsoft IIS httpd 5.1 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows 98 netbios-ssn 443/tcp open https? 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 1025/tcp open msrpc Microsoft Windows RPC 5424/tcp open mydoom MyDoom virus backdoor v012604
82. 82. NmapがMydoomに対応!! 83 Nmap 4.00(2006年1月31日リリース)に probeが追加されている。約2年間かけて、 NmapがMydoomに対応!!
83. 83. これでMydoomなんて怖くない 84 だが、オプションをつけるだけでMydoomが見つ かるようになるなんて、もう
84. 84. 85 何も言えねぇ
85. 85. 86 たった1つのマルウェア検出 結論： Mydoomに困っている人以 外、役に立たない
86. 86. 87 まとめ
87. 87. 88 まとめ 9つの真実はどれも役に立たない。 Reference Guideやhelpに記載されていな いのも、当たり前なのかもしれない。
88. 88. Nmap ネットワークスキャナの1つ。Gordon Lyonが1997 年に作成。 - ポートスキャン - ホストの探索 - OSやサービスの検出 - 脆弱性スキャン - やんちゃのサポート - 算数のお勉強 - 1つのワームを検出 89 New!!
89. 89. 最後に service_scan.ccの845行目を見ながらお 別れをしようと思います。 90
90. 90. if (newstrlen < 3) return -1; // Have a nice day! 91