¿Tráfico incompleto desde el puerto 3030?

Navega tus respuestas
1

Estoy realizando pruebas en un servidor que está a cargo de un amigo cercano de la familia, que aceptó permitirme hacerlo a cambio de la experiencia que reuniré (actualmente soy un estudiante de informática).

Al escanear uno de sus servidores, descubrí un puerto abierto extraño (3030) que tenía una salida extraña que nunca había visto. Hice la mayor investigación posible en Internet (supuestamente, el servicio se llama arepa-cas), pero no pude encontrar una explicación para la salida de mi netcat. También descubrí que era un puerto relativamente conocido en el que ciertos virus podían comunicarse, e inmediatamente reconocí en la salida algún tipo de codificación, y me preguntaba si debería investigar más a fondo. Aquí está la salida de muestra de un enlace nc al host & puerto: 

root@localhost:~/[struck]# netcat -v -v [struck] 3030
DNS fwd/rev mismatch: [struck] != [struck]
[struck] [struck] 3030 (?) open
Aoe3Nc34iOc09HezzugEtiyLqqbUrR6ne57cfd6b7cd349bc8e08a5b83bdf5ee4>help
aX6JWsHFW47DOv7hOrdwSMgJMYVXYoGBwvJjE+c516rUW6bFP7DVBmgRWkLPHGTM>?
3r9DrxDy/kWdMA5VjtxnrA==>ls
3r9DrxDy/kWdMA5VjtxnrA==>^C sent 10, rcvd 180

Realmente no estoy pidiendo mucho más que por dónde empezar, en primer lugar, tratando de decodificar estos mensajes (intenté descodificar en base64, entre otros, como una suposición descabellada, pero no obtuve nada. Parecen SUPERABLES a los de JWT, pero nuevamente, lo que los datos codificados no lo hacen), averiguar cuál es su contexto, etc. ¡Cualquier empuje en la dirección correcta sería muy apreciado!

    
pregunta h3xc0ntr0l 04.06.2015 - 19:55
fuente

1 respuesta

4

Determinar qué se está ejecutando

Localmente, pregúntele al anfitrión

La forma más definitiva de determinar qué se está comunicando en el puerto 3030 es ssh en el servidor y ejecutar netstat. 

netstat -nap | grep 3030

Mostrará las conexiones y los procesos de escucha -n omite la resolución DNS de las direcciones IP, -a muestra el estado de todos los sockets y -p muestra el PID del proceso vinculado a ese socket.

Si está utilizando Windows, consulte esta publicación SO .

Determinación remota

Si no puede obtener acceso al servidor, hay otras cosas que puede probar.

Ejecuta nmap contra el puerto. nmap tiene una detección de servicio bastante buena y si lo que se ejecuta en 3030 es un protocolo bien conocido, es probable que nmap lo determine. 

nmap -sV host

Puede encontrar más información sobre la detección del servicio nmap en Capítulo 7 del libro de nmap .

¿Qué pasa si nmap no puede determinar el servicio?

Es posible que esté buscando un servicio personalizado legítimo para esa aplicación. Aunque también podrías estar buscando malware.

Determinación de la funcionalidad del servicio

Si tiene permiso para interactuar con el servicio, aquí hay algunas cosas que puede probar / notar:

  • Parece que cada respuesta está codificada en base64, y termina con un > . Esto para mí sugiere que es un caparazón de algún tipo. La decodificación de Base64 da basura, lo que sugiere que esto podría estar encriptado, aunque también podría ser un alfabeto de base64 personalizado.
  • Introduzca varios textos. ¿Se produce la misma salida para la misma entrada?
  • ¿Existe una correlación entre la longitud de entrada y la longitud de salida?
  • ¿La longitud de salida es siempre un múltiplo de algún número? Por ejemplo, en las cuatro líneas que mostró en la pregunta, las líneas se decodificaron a 48,48,16 y 16 bytes de longitud. Esto podría sugerir que se está utilizando un cifrado de bloque de algún tipo.
  • ¿La respuesta inicial a su conexión cambia cada vez que realiza la conexión? Esto podría sugerir que el servidor está usando una clave de cifrado de una sola vez (o codificación base64) para cada conexión. Por lo tanto, es probable que la primera respuesta contenga la información necesaria para interactuar con el servicio.
  • Si comienza a obtener cadenas comunes, comience a buscar en Google. Si recibe un golpe, puede obtener su respuesta.
  • Tenga en cuenta que si se utiliza codificación o cifrado personalizados, es poco probable que su entrada haga algo, ya que la entrada probablemente deberá coincidir con el mismo esquema de codificación.
respondido por el amccormack 04.06.2015 - 20:57
fuente

Lea otras preguntas en las etiquetas

Inyección de encabezado SMTP ¿Dónde comenzar con las pruebas de seguridad de la API? [cerrado]