ARP spoofing в корпоративных сетях
Sept 24, 2019 21:43:41 GMT
Post by Dmitry on Sept 24, 2019 21:43:41 GMT
Здравствуйте,
Ситуация, сижу на заброшенном рутованом линукс сервере. Есть также windows сервер с вебсервером в этой же подсети и шлюз с которого приходят клиенты из других подсетей. Клиенты приходят по WINS домену - откуда они берут его я хз, явно не из этой же подсети. На сайте BASIC AUTH притом без SSL, притом оно связано с доменными аккаунтами, это я уже выяснил.
Очевидно сразу хочется подумать про арпспуфинг. Однако меня смущает что шлюз-циска, а сеть сама состоит из виртуалок VMWare.
Будет ли арпспуфинг работать с циской? Или там сразу arp monitor закукарекает? Или пусть кукарекает? Я не уверен что там логи кто-то вообще смотрит, но вопрос вообще заработает ли с циской.
Пароли очевидно идут запросом от шлюза к вебсерверу.
Может можно какой-то трюк придумать, что бы запоизонить только односторонний коннект от веб сервера к шлюзу, а не наоборот? Поможет ли это скрыться от детекта?
И как тогда слать шлюзу якобы ответ от вебсервера? Он же не примет пакет от другого айпи.
Или может можно WINS домен как-нибудь переназначить по аналогии с днс атаками и WPAD?
Я могу DNAT настроить там, реверс прокси и все что угодно. И я прочитал про дополнительный функционал, однако не до конца понимаю что вообще в данной ситуации может помочь. Задача конкретная - получить BASIC AUTH пароли, все брутфорсы и прочее уже были проделаны. Можно даже клиентов перенаправить на фишинговый поддомен который будет на DNAT/реверс прокси указывать
В общем что посоветуете?
Спасибо
Ситуация, сижу на заброшенном рутованом линукс сервере. Есть также windows сервер с вебсервером в этой же подсети и шлюз с которого приходят клиенты из других подсетей. Клиенты приходят по WINS домену - откуда они берут его я хз, явно не из этой же подсети. На сайте BASIC AUTH притом без SSL, притом оно связано с доменными аккаунтами, это я уже выяснил.
Очевидно сразу хочется подумать про арпспуфинг. Однако меня смущает что шлюз-циска, а сеть сама состоит из виртуалок VMWare.
Будет ли арпспуфинг работать с циской? Или там сразу arp monitor закукарекает? Или пусть кукарекает? Я не уверен что там логи кто-то вообще смотрит, но вопрос вообще заработает ли с циской.
Пароли очевидно идут запросом от шлюза к вебсерверу.
Может можно какой-то трюк придумать, что бы запоизонить только односторонний коннект от веб сервера к шлюзу, а не наоборот? Поможет ли это скрыться от детекта?
И как тогда слать шлюзу якобы ответ от вебсервера? Он же не примет пакет от другого айпи.
Или может можно WINS домен как-нибудь переназначить по аналогии с днс атаками и WPAD?
Я могу DNAT настроить там, реверс прокси и все что угодно. И я прочитал про дополнительный функционал, однако не до конца понимаю что вообще в данной ситуации может помочь. Задача конкретная - получить BASIC AUTH пароли, все брутфорсы и прочее уже были проделаны. Можно даже клиентов перенаправить на фишинговый поддомен который будет на DNAT/реверс прокси указывать
В общем что посоветуете?
Спасибо