¿Cómo obtener un rango de direcciones de red interna durante una etapa de huella?

Navega tus respuestas
0

Como novedad en la prueba de lápiz, estoy un poco atascado al descubrir un rango de direcciones de red local desde la red externa para realizar una prueba de lápiz. Te daré un escenario falso con direcciones falsas como se muestra a continuación.

  • Nombre de la empresa: www.testme.com
  • IP: 125.124.123.122
  • Servidor de nombres: main.testme.com
  • IP del servidor de nombres: 150.149.148.147

main.testme.com es nuestra oficina principal donde todos nuestros empleados están con nuestro rango de direcciones de red interna es 172.160.0.0/24

Durante una etapa de huella, ¿cómo, si es posible, extraigo el rango de direcciones 172.160.0.0/24? Whois, nslookup, dnsenum, Netcraft u otros métodos no parecen llegar tan lejos a menos que esté haciendo algo mal.

Cualquier ayuda es muy apreciada.

    
pregunta Eric.P 21.01.2016 - 05:04
fuente

1 respuesta

1

Como la mayoría de las otras empresas en el mundo, esta red de destino probablemente esté utilizando la traducción de direcciones de puertos (PAT, también llamada "NAT sobrecargada"), por lo que las direcciones internas se traducen a la IP pública (o una IP del grupo público) al ingresar a la Internet al hacer conexiones. Esto significa que el espacio privado (172.160.0.0/24) se usa en la LAN local dentro de la red de la empresa, pero cualquier comunicación hacia / desde Internet usa la IP pública (125.124.123.122). Por lo general, no puede decir cuál es el espacio interno desde el exterior. Incluso las adivinanzas no lo llevarán a ningún lado, ya que el firewall bloqueará las solicitudes injustificadas de Internet a 172.160.0.0/24 en la interfaz externa.

Se han conocido algunas vulnerabilidades de fuga de información que exponen el espacio privado de direcciones internas:

  • Personalmente, encontré direcciones de espacio de direcciones internas entre las auditorías HeartBleed realizadas en el servidor web externo de un amigo. Las fugas de memoria pueden exponer información privada como esta, especialmente de los servidores en la DMZ de una compañía que también hablan entrante (muchas compañías permiten el tráfico de dominio de MS desde / desde la DMZ a la LAN para fines de administración).
  • Los correos electrónicos del servidor de Exchange dentro de su red de destino marcarán cada mensaje SMTP con 'encabezados de mensajes' que incluyen las IP de LAN y los nombres de host de los servidores de Exchange internos a los que se procesó el mensaje cuando salía de la organización de destino. Es posible que una empresa los borre, pero la mayoría no, y RFC 2821 dice que no debería. Más información sobre eso aquí .
  • Hay formas comunes de configurar incorrectamente el DNS para exponer las direcciones internas privadas. Aquí hay un ejemplo .
  • Si puede estar en la misma red que un activo de la red objetivo en otro lugar (Bob de Victim Corp. tiene el mismo WiFi que usted en una cafetería), posiblemente puede detectar el tráfico de RARP, SMB y otras solicitudes que filtran esta información con la esperanza de que (A) Bob esté usando una VPN de la empresa, y (B) el cliente VPN esté configurado para s Plit tunneling , que es relativamente común.

Sin embargo, si tiene acceso físico a la red de la víctima o cerca de ella, hay maneras mucho más fáciles de obtener esta información al conectarla a un puerto de la sala de conferencias, descifrar el WiFi, etc. Incluso puede lanzar phish con malware diseñado para realizar algo de reconocimiento de red y exfiltrado a su servidor si siente que alguien abrirá su archivo adjunto de correo electrónico malicioso (sugerencia: siempre lo hacen). De lo contrario, NAT / PAT prevalece y no existe una forma estándar o común de revelar el rango de IP interno.

    
respondido por el armani 21.01.2016 - 06:10
fuente

Lea otras preguntas en las etiquetas

TLS1.0 a TLS1.2 (Navegador vs Registro) Detener un correo electrónico de phishing bloqueando la dirección IP del remitente