Pentest - Encontrando máquinas com o Bettercap

TécnicoPentest
Escrito por Leonardo Santos

Muitos profissionais, testam suas habilidades em ambiente controlado, labs de Pentest, que muitas vezes estão virtualizados na sua própria máquina. Usamos comandos para descobrir hosts ativos como o nbstat e o netdiscover, bem como o Nmap.

O Bettercap  é uma ferramenta extensível de MitM feito em Golang por Simone Margaritelli. Funciona em Linux, Windows e Mac.

Ele tem características embutidas como:

  • Integrada com servidores proxy

  • Sniffer de credenciais

  • Proxy DNS e muito mais.

Pode facilmente injetar conteúdo em sessões TCP (com JavaScript customizado). Todos os comandos são inseridos de forma interativa

Network Monitoring com Bettercap

O Bettercap inicia com um prompt interativo, e por padrão, observa tráfego broadcast de mensagens ARP.

Podemos usar o comando net.show (que faz parte do módulo net.recon) para exibir a lista dos hosts que ele encontrou.

Como podemos ver, ele encontrou o meu host - 172.16.178.151 - na interface eth0, e também o gateway da rede - 172,16.178.2.

O comando net.recon

Você pode mudar o status do módulo net.recon rodando o comando net.recon on e net.recon off. Execute o comando help net.recon para mais informações.

Para iniciar o host discovery (descoberta de hosts) faça: net.recon on

Descobrindo novos hosts conectados na rede

O módulo do Bettercap net.recon realiza scanning passivo por padrão, mas pode não descobrir dispositivos ativos que não estão enviando mensagens ARP enquanto o bettercap está em execução.

Para isso, o Bettercap inclui uma característica de scan ativo com o módulo net.probe. Esse módulo irá continuar enviando pacotes UDP para todos os hosts da rede. O Bettercap envia a atividade UDP na forma de quatro protocolos comuns:

  • NetBIOS Name Service (NBNS) discovery;

  • Multicast DNS (MDNS);

  • Universal Plug-and-Play (UPNP) e;

  • Web Services Discovery (WSD).

Executar o módulo net.probe por vários segundos normalmente revelará muito mais hosts do que o módulo net.recon descobrirá. Durante a descoberta ativa, ou após interromper a descoberta, você pode examinar as informações sobre hosts descobertos usando o comando net.show.

Prática Parte 1: Iniciando o scan

Vamos realizar o scan ativo, com o comando net.probe on. Lembre-se, sempre após executar um comando, exiba as informações encontradas com o comando net.show.

Alguns detalhes interessantes. Perceba que ele identifica a rede a ser monitorada (indicada na seta verde) e o meu endereço IP.

Repare que quando executei o comando net.show ele mostra o meu IP e o endereço do Gateway.

Quando inicio o scan ativo com o comando net.probe on, ele começa o scan e exibe adicionalmente o endereço IP da minha máquina física (MacBook) - 172.16.178.1 e também o nome dela "ONETWOSEVEN".

Há outro detalhe, quando ele descobre um novo host, ele exibe esse novo "endpoint.new" na cor branca.

Prática Parte 2: Ligando as máquinas

Agora vou iniciar uma VM que uso para estudar para Pentest e veremos o que acontece.

Olha que legal! Ele detectou um novo host ligado e já identificou o seu endereço IP: 172.16.178.152.

Agora vamos dar o comando net.show.

O comando trouxe as informações do novo host identificado. Agora vou iniciar mais 3 VM's e ver o resultado:

Muito top. Inclusive de alguns hosts encontrados, ele trouxe o hostname (provavelmente, está rodando SMB).

Agora vou desligar algumas máquinas:

O Bettercap percebeu, e ele mostra em vermelho o endereço IP do host que ele não enxerga mais.

Resumo:

Um comando simples, que pode ser considerado uma evolução do Ettercap, com várias funcionalidades, mas para nós que trabalhamos com Pentester, pode ser útil.

Até a próxima.

Leonardo Santos
Anterior

Explorar Shellshock com Burp Suite
Próximo

Check Point ClusterXL