1. Dator och IT
  2. IT-säkerhet

hjälp med att tyda info från nmap.

Svara
2007-12-06, 20:21
  #1
incoma
Medlem
incomas avatar
har kommer information jag fatt fran 3 olika servrar jag scannat med nmap.

den forsta anvande jag vaxeln "-sV Version scan probes open ports determining service & app names/versions", fick massor av information tillbaba som ni ser. dock fattar jag inte hur jag ska tyda den, eller igentligen vad det ar for info och vart den kommer ifran?

Kod: 
(The 1658 ports scanned but not shown below are in state: filtered)
PORT    STATE  SERVICE VERSION
21/tcp  open   ftp?
22/tcp  open   ssh     OpenSSH 4.2p1 Debian-7 (protocol 2.0)
25/tcp  closed smtp
80/tcp  open   http?
443/tcp open   ssl     OpenSSL
1 service unrecognized despite returning data. If you know the service/versi
please submit the following fingerprint at http://www.insecure.org/cgi-bin/s
cefp-submit.cgi :
SF-Port80-TCP:V=3.81%D=12/1%Time=4751D69E%P=i686-pc-windows-windows%r(GetR
SF:equest,2BA,"HTTP/1\.1\x20200\x20OK\r\nDate:\x20Sat,\x2001\x20Dec\x20200
SF:7\x2021:48:11\x20GMT\r\nServer:\x20NOYB\r\nX-Powered-By:\x20PHP/4\.4\.2
SF:-1\+b1\r\nConnection:\x20close\r\nContent-Type:\x20text/html\r\n\r\n\n<
SF:HTML>\n\t<HEAD>\n\t\t<title>::\x20\x20::</title>\n\t\t<LINK\x20href='ht
SF:tp://kundsystem\.idea-vmi\.se/admin/css/Internal\.css'\x20type='text/cs
SF:s'\x20rel='stylesheet'>\n\t</HEAD>\n\t<body>\n\t\t<table\x20width=100%\
SF:x20height=100%>\n\t\t\t<tr>\n\t\t\t\t<td\x20valign=middle\x20align=cent
SF:er>\n\t\t\t\t\t<img\x20src='logo_orginal_vmi_small\.gif'>\n\t\t\t\t\t<h
SF:2></h2>\n\t\t\t\t\t<P>&nbsp;</P>\n\t\t\t\t\t<P>Denna\x20dom&auml;n\x20&
SF:auml;r\x20registrerad\x20av\x20<a\x20href='http://www\.vmi\.se'>VMI\x20
SF:Internet\x20Services\x20AB</a>\n\t\t\t\t\t<BR>\n\t\t\t\t\tKunden\x20har
SF:\x20&auml;nnu\x20inte\x20lagt\x20upp\x20n&aring;gon\x20information\x20h
SF:&auml;r\.</P>\n\t\t\t\t</td>\n\t\t\t</tr>\n\t\t</table>\n\t</body>\n</H
SF:TML>\n")%r(HTTPOptions,2BA,"HTTP/1\.1\x20200\x20OK\r\nDate:\x20Sat,\x20
SF:01\x20Dec\x202007\x2021:48:11\x20GMT\r\nServer:\x20NOYB\r\nX-Powered-By
SF::\x20PHP/4\.4\.2-1\+b1\r\nConnection:\x20close\r\nContent-Type:\x20text
SF:/html\r\n\r\n\n<HTML>\n\t<HEAD>\n\t\t<title>::\x20\x20::</title>\n\t\t<
SF:LINK\x20href='http://kundsystem\.idea-vmi\.se/admin/css/Internal\.css'\
SF:x20type='text/css'\x20rel='stylesheet'>\n\t</HEAD>\n\t<body>\n\t\t<tabl
SF:e\x20width=100%\x20height=100%>\n\t\t\t<tr>\n\t\t\t\t<td\x20valign=midd
SF:le\x20align=center>\n\t\t\t\t\t<img\x20src='logo_orginal_vmi_small\.gif
SF:'>\n\t\t\t\t\t<h2></h2>\n\t\t\t\t\t<P>&nbsp;</P>\n\t\t\t\t\t<P>Denna\x2
SF:0dom&auml;n\x20&auml;r\x20registrerad\x20av\x20<a\x20href='http://www\.
SF:vmi\.se'>VMI\x20Internet\x20Services\x20AB</a>\n\t\t\t\t\t<BR>\n\t\t\t\
SF:t\tKunden\x20har\x20&auml;nnu\x20inte\x20lagt\x20upp\x20n&aring;gon\x20
SF:information\x20h&auml;r\.</P>\n\t\t\t\t</td>\n\t\t\t</tr>\n\t\t</table>
SF:\n\t</body>\n</HTML>\n")%r(RTSPRequest,2BA,"HTTP/1\.1\x20200\x20OK\r\nD
SF:ate:\x20Sat,\x2001\x20Dec\x202007\x2021:48:17\x20GMT\r\nServer:\x20NOYB
SF:\r\nX-Powered-By:\x20PHP/4\.4\.2-1\+b1\r\nConnection:\x20close\r\nConte
SF:nt-Type:\x20text/html\r\n\r\n\n<HTML>\n\t<HEAD>\n\t\t<title>::\x20\x20:
SF::</title>\n\t\t<LINK\x20href='http://kundsystem\.idea-vmi\.se/admin/css
SF:/Internal\.css'\x20type='text/css'\x20rel='stylesheet'>\n\t</HEAD>\n\t<
SF:body>\n\t\t<table\x20width=100%\x20height=100%>\n\t\t\t<tr>\n\t\t\t\t<t
SF:d\x20valign=middle\x20align=center>\n\t\t\t\t\t<img\x20src='logo_orgina
SF:l_vmi_small\.gif'>\n\t\t\t\t\t<h2></h2>\n\t\t\t\t\t<P>&nbsp;</P>\n\t\t\
SF:t\t\t<P>Denna\x20dom&auml;n\x20&auml;r\x20registrerad\x20av\x20<a\x20hr
SF:ef='http://www\.vmi\.se'>VMI\x20Internet\x20Services\x20AB</a>\n\t\t\t\
SF:t\t<BR>\n\t\t\t\t\tKunden\x20har\x20&auml;nnu\x20inte\x20lagt\x20upp\x2
SF:0n&aring;gon\x20information\x20h&auml;r\.</P>\n\t\t\t\t</td>\n\t\t\t</t
SF:r>\n\t\t</table>\n\t</body>\n</HTML>\n");

Nmap finished: 1 IP address (1 host up) scanned in 891.061 seconds


har ar information jag fick fran den andra jag scannade. fragan jag har har ar vall igentligen bara vad som menas med "filtered port". googlade och fick svaret: "Filtered simply sends back a reject response, while a closed port must wait for a timeout.". sa en filtrerad port och stangd port ar for mig samma sak?

Kod: 
(The 1655 ports scanned but not shown below are in state: closed)
PORT      STATE    SERVICE
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn
445/tcp   filtered microsoft-ds
548/tcp   filtered afpovertcp
593/tcp   filtered http-rpc-epmap
1025/tcp  filtered NFS-or-IIS
17300/tcp filtered kuang2
27374/tcp filtered subseven

Nmap finished: 1 IP address (1 host up) scanned in 4.316 seconds

tredje.
har vall igentligen ingen direkt fraga om informationen. rent teoretiskt om jag bara skulle vilja forstora och javlas. hur skulle ni gatt vidare med det ni har har nedanfor?

Kod: 
(The 1651 ports scanned but not shown below are in state: filtered)
PORT     STATE  SERVICE
21/tcp   open   ftp
22/tcp   open   ssh
25/tcp   closed smtp
26/tcp   open   unknown
80/tcp   open   http
110/tcp  open   pop3
113/tcp  closed auth
143/tcp  open   imap
443/tcp  open   https
993/tcp  open   imaps
995/tcp  open   pop3s
3306/tcp open   mysql

Nmap finished: 1 IP address (1 host up) scanned in 18.857 seconds

telnet> ip 26 : ESMTP Sendmail 8.13.8

om traden ar for "lam" och ni tycker jag ar en idot som borde lara mig och lasa mer innan jag staller fragor sa skit i att svara, pm en mod och be han/hon slanga traden.
Citera
2007-12-06, 20:29
  #2
RudJazz
Medlem
Undrar bara vad du ska med dessa loggar till om du inte ens kan tyda dom? Alltså att kunna tyda en nmap logg är väldigt basic, och som du säger så innehar du troligtvis inte speciellt mycket kunskap.

Vad är det då som får dig att tro att vi skulle vilja säga precis vad du ska göra för att kunna "förstora och jävlas" med servrarna?
Citera
2007-12-06, 20:37
  #3
Spejnar
Medlem
Spejnars avatar
Citat:
Ursprungligen postat av incoma
22/tcp open ssh OpenSSH 4.2p1 Debian-7 (protocol 2.0)
443/tcp open ssl OpenSSL
1 service unrecognized despite returning data. If you know the service/versi
please submit the following fingerprint at http://www.insecure.org/cgi-bin/s
cefp-submit.cgi :
SF-Port80-TCP:V=3.81%D=12/1%Time=4751D69E%P=i686-pc-windows-windows%r(GetR
SF:equest,2BA,"HTTP/1\.1\x20200\x20OK\r\nDate:\x20Sat,\x2001\x20Dec\x2 0200
SF:7\x2021:48:11\x20GMT\r\nServer:\x20NOYB\r\nX-Powered-By:\x20PHP/4\.4\.2
SF:-1\+b1\r\nConnection:\x20close\r\nContent-Type:\x20text/html\r\n\r\n\n<
SF:HTML>\n\t<HEAD>\n\t\t<title>::\x20\x20::</title>\n\t\t<LINK\x20href='ht
SF:tp://kundsystem\.idea-vmi\.se/admin/css/Internal\.css'\x20type='text/cs
SF:s'\x20rel='stylesheet'>\n\t</HEAD>\n\t<body>\n\t\t<table\x20width=100%\
SF:x20height=100%>\n\t\t\t<tr>\n\t\t\t\t<td\x20val ign=middle\x20align=cent
SF:er>\n\t\t\t\t\t<img\x20src='logo_orginal_vmi_sm all\.gif'>\n\t\t\t\t\t<h
SF:2></h2>\n\t\t\t\t\t<P>&nbsp;</P>\n\t\t\t\t\t<P>Denna\x20dom&auml;n\x20&
SF:auml;r\x20registrerad\x20av\x20<a\x20href='http ://www\.vmi\.se'>VMI\x20
SF:Internet\x20Services\x20AB</a>\n\t\t\t\t\t<BR>\n\t\t\t\t\tKunden\x20har
SF:\x20&auml;nnu\x20inte\x20lagt\x20upp\x20n&aring ;gon\x20information\x20h
SF:&auml;r\.</P>\n\t\t\t\t</td>\n\t\t\t</tr>\n\t\t</table>\n\t</body>\n</H
SF:TML>\n")%r(HTTPOptions,2BA,"HTTP/1\.1\x20200\x20OK\r\nDate:\x20Sat,\x20
SF:01\x20Dec\x202007\x2021:48:11\x20GMT\r\nServer: \x20NOYB\r\nX-Powered-By
SF::\x20PHP/4\.4\.2-1\+b1\r\nConnection:\x20close\r\nContent-Type:\x20text
SF:/html\r\n\r\n\n<HTML>\n\t<HEAD>\n\t\t<title>::\x20\ x20::</title>\n\t\t<
SF:LINK\x20href='http://kundsystem\.idea-vmi\.se/admin/css/Internal\.css'\
SF:x20type='text/css'\x20rel='stylesheet'>\n\t</HEAD>\n\t<body>\n\t\t<tabl
SF:e\x20width=100%\x20height=100%>\n\t\t\t<tr>\n\t \t\t\t<td\x20valign=midd
SF:le\x20align=center>\n\t\t\t\t\t<img\x20src='log o_orginal_vmi_small\.gif
SF:'>\n\t\t\t\t\t<h2></h2>\n\t\t\t\t\t<P>&nbsp;</P>\n\t\t\t\t\t<P>Denna\x2
SF:0dom&auml;n\x20&auml;r\x20registrerad\x20av\x20 <a\x20href='http://www\.
SF:vmi\.se'>VMI\x20Internet\x20Services\x20AB</a>\n\t\t\t\t\t<BR>\n\t\t\t\
SF:t\tKunden\x20har\x20&auml;nnu\x20inte\x20lagt\x 20upp\x20n&aring;gon\x20
SF:information\x20h&auml;r\.</P>\n\t\t\t\t</td>\n\t\t\t</tr>\n\t\t</table>
SF:\n\t</body>\n</HTML>\n")%r(RTSPRequest,2BA,"HTTP/1\.1\x20200\x20OK\r\nD
SF:ate:\x20Sat,\x2001\x20Dec\x202007\x2021:48:17\x 20GMT\r\nServer:\x20NOYB
SF:\r\nX-Powered-By:\x20PHP/4\.4\.2-1\+b1\r\nConnection:\x20close\r\nConte
SF:nt-Type:\x20text/html\r\n\r\n\n<HTML>\n\t<HEAD>\n\t\t<title>::\x20\ x20:
SF::</title>\n\t\t<LINK\x20href='http://kundsystem\.idea-vmi\.se/admin/css
SF:/Internal\.css'\x20type='text/css'\x20rel='stylesheet'>\n\t</HEAD>\n\t<
SF:body>\n\t\t<table\x20width=100%\x20height=100%> \n\t\t\t<tr>\n\t\t\t\t<t
SF:d\x20valign=middle\x20align=center>\n\t\t\t\t\t <img\x20src='logo_orgina
SF:l_vmi_small\.gif'>\n\t\t\t\t\t<h2></h2>\n\t\t\t\t\t<P>&nbsp;</P>\n\t\t\
SF:t\t\t<P>Denna\x20dom&auml;n\x20&auml;r\x20regis trerad\x20av\x20<a\x20hr
SF:ef='http://www\.vmi\.se'>VMI\x20Internet\x20Services\x20AB</a>\n\t\t\t\
SF:t\t<BR>\n\t\t\t\t\tKunden\x20har\x20&auml;nnu\x 20inte\x20lagt\x20upp\x2
SF:0n&aring;gon\x20information\x20h&auml;r\.</P>\n\t\t\t\t</td>\n\t\t\t</t
SF:r>\n\t\t</table>\n\t</body>\n</HTML>\n");

Nmap finished: 1 IP address (1 host up) scanned in 891.061 seconds
Det intressanta är vad du fick för svar och vilken version dem har, testa få fram vilken version han kör på openSSL och se om det finns någon sårbarhet. Kolla även upp SSH men jag tvivlar på att det finns någon.

Det konstiga du fick är ett svar som nmap ej kunde tolka och är något "nytt". De vill ha det inskickat så de kan lägga till det.

Kod: 
(The 1655 ports scanned but not shown below are in state: closed)
PORT      STATE    SERVICE
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn
445/tcp   filtered microsoft-ds
548/tcp   filtered afpovertcp
593/tcp   filtered http-rpc-epmap
1025/tcp  filtered NFS-or-IIS
17300/tcp filtered kuang2
27374/tcp filtered subseven

Nmap finished: 1 IP address (1 host up) scanned in 4.316 seconds

Testa telnetta mot portarna och se ifall du får något svar alls. Filtered är inte mycket att gå på.

Kod: 
(The 1651 ports scanned but not shown below are in state: filtered)
PORT     STATE  SERVICE
21/tcp   open   ftp
22/tcp   open   ssh
25/tcp   closed smtp
26/tcp   open   unknown
80/tcp   open   http
110/tcp  open   pop3
113/tcp  closed auth
143/tcp  open   imap
443/tcp  open   https
993/tcp  open   imaps
995/tcp  open   pop3s
3306/tcp open   mysql

Nmap finished: 1 IP address (1 host up) scanned in 18.857 seconds

Här behöver du få fram lite program/versionsnummer, bara ha imap är rätt värdelöst om det inte är ett grundläggande fel i protokollet.
Citera
2007-12-06, 20:41
  #4
Unbalanced
Medlem
Unbalanceds avatar
Du fick upp en port som används utav "Subseven", vilket är en RAT. Men kräver lösen som alla andra.
(Om jag tolkat loggen rätt vill säga)
Citera
2007-12-06, 20:44
  #5
Spejnar
Medlem
Spejnars avatar
Citat:
Ursprungligen postat av Unbalanced
Du fick upp en port som används utav "Subseven", vilket är en RAT. Men kräver lösen som alla andra.
(Om jag tolkat loggen rätt vill säga)

Nej han fick upp en filtrerad port.
Citera
2007-12-06, 21:11
  #6
DaVajj
Medlem
DaVajjs avatar
Citat:
Ursprungligen postat av Spejnar
Nej han fick upp en filtrerad port.

Citat:
Ursprungligen postat av incoma
fragan jag har har ar vall igentligen bara vad som menas med "filtered port". googlade och fick svaret: "Filtered simply sends back a reject response, while a closed port must wait for a timeout.". sa en filtrerad port och stangd port ar for mig samma sak?

Är det inte en stängd port som aktivt besvarar ifall den är stängd?

En filtrerad port är en som inte svarade med att den var stängd, dvs, en brandvägg har kanske t. ex tyst droppat SYN-paketet som man skickade för att skapa en anslutning eller liknande.

Detta verkar rimligt när man applicerar det på scanningen som gav utslag på filtrerad subseven port. Dessa portar är förmodligen blockerade i brandväggen, så anslutningar på dessa portar ALDRIG ska gå igenom, oavsett om något körs på dom på datorn, medans alla andra portar aktivt kunde rapportera att de var stängda.
Citera
2007-12-06, 21:24
  #7
incoma
Medlem
incomas avatar
Citat:
Ursprungligen postat av RudJazz
Undrar bara vad du ska med dessa loggar till om du inte ens kan tyda dom? Alltså att kunna tyda en nmap logg är väldigt basic, och som du säger så innehar du troligtvis inte speciellt mycket kunskap.

Vad är det då som får dig att tro att vi skulle vilja säga precis vad du ska göra för att kunna "förstora och jävlas" med servrarna?

jag forsoker ju tyda loggarna alltsa forsoker jag lara mig. jag forstar det mesta av information jag far tillbaka. har vall stallt ratt sa specifika fragor, tycker du dom var sa idiotiska?
har inte bett ngn forklara precis hur jag ska gora for att "förstora och jävlas".. var mest nyfiken pa hur ni tanker.. vet hur man javlas, inte svart att leta upp ett gammalt hal och anvanda en fardigskriven exploit mot...
man blir latt idiot forklarad har ... javligt trott pa svar som dina...

Citat:
Ursprungligen postat av ....

tackar & bugar for dom andra svaren..
Citera
2007-12-07, 02:52
  #8
Zibri
Medlem
Zibris avatar
Kan passa på att låna tråden. Har någon en uppfattning om hur mycket som krävs av en host för att att OS detection ska vara effektivt? Har inte haft många rätt med det.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in