وتعني Banner Grabbing رسالة نصية تصلنا من Host، بمعنى أني أريد أن أفحص هدفاً معيناً سواء كان راوتر أو لابتوب أو سكانر أو طابعة أو أي جهاز موجود على الشبكة.
عندما أتحدث مع الهدف وأقوم بفحصه، الهدف سيستجيب لي، والاستجابة التي تصل من الهدف للعميل وهو أنا كمخترق تصل معها بعض المعلومات تسمى banner.
وهي عبارة عن النص الذي يصل من الهدف إلى الشخص الذي قام بارسال الطلب أو المخترق حالياً.
يحتوي banner معلومات حول الخدمة التي تعمل منفذ ما، عن نسخة الخدمة.
ويمكن أن نلاحظ أن banner grabbing يمكن أن يشبه إلى حد كبير إلى Service Versioning التي تحدثنا عنها في الدرس السابق، بالإضافة Operating System Detection.
banner grabbing هي عملية من خلالها كمخترق أقوم بجمع معلومات حول الجهاز الهدف، وهذه المعلومات عن الخدمة وإصداراتها ومعلومات عن النظام المشغل للهدف.
أنواع banner grabbing
هناك نوعان وهما:
Active banner grabbing
ويعني أنه نشط، بمعنى أنه هناك تواصل بين المرسل والمتلقي، بين الهدف والمخترق.
أي أن المخترق يرسل حزم بشكل معين للهدف وبالاعتماد على الإستجابة لهذه الحزم القادمة من الهدف فإن المخترق يقوم ب banner grabbing.
Passive banner grabbing
وهو الخامل، ويعني أني أقوم ب banner grabbing، ولكن بدون أن أتصل بشكل مباشر مع الهدف، وبدون أن أرسل له أي شيء.
ويتم عن طريق الأمور التالية:
رسائل الخطأ
لو أن لدي Web Server وعليه موقع الكتروني، من خلال الموقع أشاهد من خلال رسائل الخطأ التي تصلني.
تظهر لي Exception وبه يظهر لي معلومات حول الهدف نظام التشغيل، الخدمة والإصدار وغيرها.
Network Sniffing
خلال عملي أريد أن أجمع معلومات، ما هي الخدمات على الجهاز الهدف، ما هي، وما نظام التشغيل على الجهاز.
إن كان هناك أشخاص آخرون متصلون على هذا الجهاز، ويتواصلون مع بعضهم، فيمكنني أن أتنصت عليه وأحدد ما الخدمات الفعالة وإصداراتها وأنظمة التشغيل وغيرها.
من خلال Web Page Extensions
إن كان لدي Web Server وعليه موقع الكتروني، وبرمجت الموقع بتقنية مان فهذا بالغالب يظهر لي أنه لدينا IS Server بغض النظر ما هي نسخة إصداره.
ويظهر نظام التشغيل ويندوز، فأستطيع من خلال Page Extensions أن أحدد ما نوع نظام التشغيل، وما الخدمات المفعلة وما إصداراتها.
أدوات banner grabbing
لدينا أدوات كثيرة يمكننا بواسطتها أن نقوم ب banner grabbing:
Nmap، Curl، telnet، netcat وغيرها من الأدوات التي يمكن بواسطتها أن نقوم ب banner grabbing.
مثال عملي
أشغل كلاً من Kali Linux و Metasploitable ، وأبدأ تطبيق banner grabbing، بشكل سريع على Metasploitable.
في Kali Linux أفتح Terminal وأبدأ بعمل banner grabbing
الطريقة الأولى باستعمال nmap
تذكروا في الدروس السابقة تحدثنا عن Scripting فلدينا Scriptings موجودين بالمكان التالي:
/usr/share/nmap/scripts
لدينا سكريبت يدعى Banner أكتب واضغط Enter.
إذا كتبت cat banner، فيظهر نص سكريبت فيه معلومات كثيرة حول الهدف، فهو يقوم ب banner grabbing، على مجموعة بوابات وتستطيعون تقرأون ال Script وتعرفون تفاصيله بشكل كامل.
سننفذ nmap : nmap-sv-n-v –script =banner 10.0.2.14 وهذا IP Address خاص بال Metasploitable.
وهو استكشف المنافذ المفتوحة. وسيقوم ب Service Scanning وسيقوم ب banner grabbing. ليجد ما هي الخدمات وما إصداراتها.
بعد انتهاء الفحص، إن ذهبت إلى كل منفذ وجده nmap مفتوح، وأجده أضاف خانة جديدة اسمها Banner وبها قيمة ال Banner.
الطريقة الثانية باستعمال Curl
وهي من الأدوات التي يمكن تثبيتها على لينكس ويمكن أتوقع تحميلها على ويندوز، وظيفتها أن تقوم بإرسال طلب على موقع ويب ما.
وهي متخصصة باختراق مواقع الويب، وسأتعامل معها فقط بشكل جزئي بسيط. وسأعطيها عنوان IP وفي هذه الحالة يجب أن يكون المنفذ 80 يجب أن يكون مفعل.
فمثلاً سأكتب: curl –s-I 10.0.2.14 بمعنى أني أطلب من Curl أن تظهر لي response tags.
من خلال النتائج التي ظهرت وجدت السيرفر وأن على المنفذ 80 يعمل Apache ubuntu.
وهناك طريقة أخرى لكتابة الأمر: curl –s-I 10.0.2.14 grep –e”server”
فيظهر لي السطر الذي فيه Banner وهو ما يهمني. وهناك طرق أخرى لل Curl.
الطريقة الثالثة باستعمال Netcat
أكتب: nc –v 10.0.2.14 22 على المنفذ 22، فاظهر لي Banner خاص به.
الطريقة الرابعة باستعمال Dmitry
ويمكنني أن أكتب: Dmitry –h بمعنى قم بعمل مسح المنفذ واقرأ Banner الذي سيصلني.
بشكل بسيط هذا هو banner grabbing، ليس فيه أمور معقدة، وتكلمنا عنها سابقاً في دروس nmap ولكني أحببت أن أضع أمثلة بسيطة عن banner grabbing .
وإن قام أحد بذكر banner grabbing، فأصبحت تعرف ما هو قصده وكيف تقوم به، وهناك أدوات كثيرة يمكنك من خلالها القيام ب banner grabbing يمكنكم البحث عنها وتتعاملوا معها لاحقاً.
كيف أحمي أجهزتي من banner grabbing
هناك عدة طرق، إن كان لديك IIS Server يمكنك أن تحمل أداة لمحي Banners الخاصة به.
ويمكن أن توقف الخدمات التي ليست مستخدمة، وتفعل فقط الخدمات التي تستعملها.
إذا كان لديك Apache web server يمكنك الدخول HTTPd.comf يحوي serversignature تغيره إلى شيء آخر وهمي.
يمكنك أن تحمل mod-headers على Apache.
وهناك أداة تدعى Server Mask تغير مسار الصفحات، وتظهر Banners مزورة.
وطرق أخرى لتحافظ على جهازك وتقلل من banner grabbing، على الأجهزة الموجودة لديك.
محمد خريشة