xprobe2 - Online in de cloud

PROGRAMMA:

NAAM

xprobe2 - Een extern actief besturingssysteem voor vingerafdrukken.

KORTE INHOUD

xprobe2 [ -v ] [ -r ] [ -p proto:poortnummer:staat ] [ -c configuratiebestand ] [ -o logfile ] [ -p
port ] [ -t ontvangst_timeout ] [ -m aantal wedstrijden ] [ -D modern ] [ -F ] [ -X ] [ -B ] [
-A ] [ -T port spec ] [ -U port spec ] gastheer

PRODUCTBESCHRIJVING

xprobe2 is een actieve tool voor vingerafdrukken van het besturingssysteem met een andere benadering
vingerafdrukken van het besturingssysteem. xprobe2 vertrouwt op fuzzy signature matching, probabilistisch
gissingen, meerdere overeenkomsten tegelijk en een database met handtekeningen.

De werking van xprobe2 wordt beschreven in een paper met de titel "xprobe2 - A ´Fuzzy´ Approach to
Remote Active Operating System Fingerprinting", dat beschikbaar is vanaf http://www.sys-
security.com/html/projects/X.html.

As xprobe2 gebruikt onbewerkte sockets om sondes te sturen, dat moet je hebben wortel privileges op orde
xprobe2 om ze te kunnen gebruiken.

OPTIES

-v uitgebreid zijn.

-r route naar doel weergeven (traceroute-achtige output).

-c . configuratiebestand om het configuratiebestand, xprobe2.conf, te lezen van een niet-standaard
plaats.

-D modulenummer uitschakelen modern.

-m stel het aantal resultaten in om weer te geven aantalovereenkomsten.

-o . logfile om alles te loggen (standaarduitvoer is stderr).

-p specificeer poortnummer (poortnummer), protocollen (daarom) en zijn staat besteld, xprobe2 gebruiken
tijdens herkenbaarheids-/vingerafdruktests van externe host. Mogelijke waarden voor daarom
zijn tcp or udp, poortnummer kan alleen waarden aannemen van 1 naar 65535, staat kan zijn
beide CLOSED (Voor tcp dat betekent dat de externe host antwoordt met RST-pakket, voor
udp dat betekent dat de externe host antwoordt met ICMP Port Unreachable-pakket) of open
(Voor tcp dat betekent dat de externe host antwoordt met SYN ACK-pakket en voor udp uit die
betekent dat de externe host geen enkel pakket terugstuurt).

-t time-out voor ontvangst instellen op ontvangst_timeout in seconden (de standaardinstelling is 10
seconden).

-F handtekening genereren voor opgegeven doel (gebruik -o om vingerafdruk in bestand op te slaan)

-X schrijf XML-uitvoer naar logbestand opgegeven met -o

-B oorzaken xprobe2 om wat luidruchtiger te zijn, zoals -B maakt TCP-handshake-module om te proberen en
raad blindelings een open TCP-poort op het doel, door sequentiële sondes naar de
volgende bekende havens: 80, 443, 23, 21, 25, 22, 139, 445 en 6000 in de hoop
krijg SYN ACK-antwoord. Als xprobe2 ontvangt RST|ACK- of SYN|ACK-pakketten voor een poort in het
bovenstaande lijst, wordt het opgeslagen in de doelpoortdatabase om later door andere te worden gebruikt
modules (dwz RST-module).

-T, -U schakel de ingebouwde portscanning-module in, die zal proberen TCP en/of UDP te scannen
poorten respectievelijk, die werden gespecificeerd in port spec

-A experimentele ondersteuning mogelijk maken voor de detectie van transparante proxy's en
firewalls/NIDSs spoofing RST-pakketten in portscanning-module. Optie moet worden gebruikt
samen met -T. Alle reacties van doelwit verzameld tijdens portscanning
proces zijn verdeeld in twee klassen (SYN|ACK en RST) en opgeslagen voor analyse. Tijdens
analysemodule zoekt naar verschillende pakketten, gebaseerd op enkele velden van
TCP- en IP-headers, binnen dezelfde klasse en als dergelijke pakketten worden gevonden, bericht
weergegeven met verschillende pakketten binnen dezelfde klasse.

Voorbeelden

xprobe2 -v -D 1 -D 2 192.168.1.10

Zal een OS-vingerafdrukpoging starten gericht op 192.168.1.10. module 1 en 2,
dit zijn bereikbaarheidstests, worden uitgeschakeld, dus er worden sondes verzonden, zelfs als
doel is neer. Uitvoer zal uitgebreid zijn.

xprobe2 -v -p udp:53:gesloten 192.168.1.20

Zal een OS-vingerafdrukpoging starten gericht op 192.168.1.20. De UDP-bestemming
poort is ingesteld op 53 en de uitvoer zal uitgebreid zijn.

xprobe2 -M 11 -p tcp:80:geopend 192.168.1.1

Zal alleen de TCP-handshake-module (nummer 11) inschakelen om het doelwit te onderzoeken, erg handig
wanneer al het ICMP-verkeer wordt gefilterd.

xprobe2 -B 192.168.1.1

Zorgt ervoor dat de TCP-handshake-module blindelings probeert de open poort op het doel te raden door
achtereenvolgens TCP-pakketten verzenden naar de meest waarschijnlijke open poorten (80, 443, 23, 21,
25, 22, 139, 445 en 6000).

xprobe2 -T 1-1024 127.0.0.1

Schakelt de portscanning-module in, die TCP-poorten scant van 1 tot 1024
op 127.0.0.1

xprobe2 -p tcp:139:geopend 192.168.1.2

Als het externe doel TCP-poort 139 open heeft, wordt de bovenstaande opdrachtregel ingeschakeld
SMB-module op toepassingsniveau (als het externe doel TCP-poort 445 open heeft, vervangt u 139
in de opdrachtregel met 445).

xprobe2 -p udp:161:openen 192.168.1.10

Schakelt de SNMPv2c-module op toepassingsniveau in, die zal proberen sysDescr.0 op te halen
OID met behulp van communitystrings uit het xprobe2.conf-bestand.

OPMERKINGEN

xprobe2 vingerafdrukken op afstand besturingssysteem door de antwoorden van het doelwit te analyseren, dus
om het maximale uit te halen xprobe2 je moet leveren xprobe2 met zoveel informatie als
mogelijk is, is het met name belangrijk om ten minste één open TCP-poort en één
gesloten UDP-poort. Een open TCP-poort kan worden opgegeven op de opdrachtregel (-p), verkregen
via ingebouwde portscanner (-T) Of -B optie kan worden gebruikt om te veroorzaken xprobe2 om te proberen te
blindelings raden open TCP-poort. UDP-poort kan worden geleverd via de opdrachtregel (-p) of door
ingebouwde portscanner (-U).

GESCHIEDENIS

xprobe is in 2001 ontwikkeld op basis van onderzoek uitgevoerd door Ofir Arkin
beveiliging.com>. De code is officieel vrijgegeven tijdens de BlackHat Briefings in Las-
Vegas in 2001. xprobe2 is een logische evolutie van xprobe-code. Op handtekening gebaseerde fuzzy
vingerafdrukken logica was ingebed.

Gebruik xprobe2 online met behulp van onworks.net-services