Salut les jeunes pentesters! Aujourd’hui on va s’amuser à faire un peu du bypassing avec l’outil connu de tous: nmap. Prêt ? On s’y lance!
DISCLAMER: Kali-linux.fr ne sera en aucun cas responsable de l’utilisation que vous faites des techniques mentionnées dans cet article. Le contenu qui vous est proposé ici est simplement à but éducatif.
Vous sortez votre machine ou vm Kali, mais En tant que pentester, il n’est pas rare de trouver des pare-feu sur le réseau que nous scannons; ce qui empêche de collecter efficacement les informations souhaitées. Dans ce cas, nous sommes obligés de bypasser les règles de ce pare-feu d’une manière ou d’une autre: c’est le contournement du pare-feu ou le bypass.
Nmap dispose de nombreuses options pour contourner des règles de pare-feu. Nous aborderons quelques unes de ces techniques dans cet article.
- Nmap et Kali Linux
- Fragmentation des paquets du scan nmap
- scan nmap avec valeur MTU spécifique
- Scan nmap avec adresses Decoy (usurpation)
- Scan nmap depuis zombies inactif
- Spécification du numéro de port source
- Ajout des données aléatoires
- Scan nmap avec ordre aléatoire
- Spoofing d’adresse MAC pour votre scan nmap
- Envoi de mauvais checksum
- Conclusion
Nmap et Kali Linux
Nmap est un scanner de ports libre créé par Fyodor et distribué par Insecure.org. Il est conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d’exploitation d’un ordinateur distant.
Ce logiciel est devenu une référence en matière de test de pénétration et est disponible par défaut sur Kali Linux. Pour ceux qui préférerons une interface graphique, zenmap est une alternative sur kali, cette fois-ci avec GUI.
Fragmentation des paquets du scan nmap
Cette technique était très efficace, surtout dans l’ancien temps, mais vous pouvez toujours l’utiliser si vous trouvez un pare-feu qui n’est pas correctement configuré. Nmap offre cette possibilité de fragmenter les paquets lors de l’analyse avec l’option -f afin de pouvoir contourner l’inspection des paquets des pare-feu. Cette option requiert les privilèges root pour fonctionner.

scan nmap avec valeur MTU spécifique
Un petit rappel ne nous tuera point 😛
Le Maximum Transmission Unit (MTU) est la taille maximale d’un paquet pouvant être transmise en une seule fois (sans fragmentation) sur une interface.
En effet, Nmap nous donne la possibilité de spécifier cette valeur. En l’utilisant, nmap crée des paquets de n octet; ce qui cause une confusion au niveau du pare-feu. Cette technique est un peu similaire à celle vue précedemment.
Notons que la valeur n doit être un multiple de 8.

Scan nmap avec adresses Decoy (usurpation)
Cette technique consiste à usurper les paquets d’autres machines. Comme conséquence, on remarquera notre adresse ip mais aussi les adresses usurpées dans les logs du pare-feu. Du coup, il sera beaucoup plus difficile de déterminer à partir de quel système le scan a commencé. Nous disposons de deux manières de lancer cette attaque:
- Générer des adresses fictives
nmap -D RND:10 scanme.nmap.org
- Renseigner manuellement les adresses fictives
nmap -D decoy1,decoy2,decoy3 scanme.nmap.org
Il faut noter que l’adresse usurpée doit être en ligne pour que la technique marche.
Il est par ailleurs recommandé d’utiliser des adresses IP et non des noms de machines afin de ne pas apparaître dans les logs DNS.
L’utilisation de nombreuses adresses usurpées peut également entraîner la congestion du réseau; A utiliser avec parcimonie donc si l’on scan avec nmap sur le réseau d’un client par exemple.
Scan nmap depuis zombies inactif
Cette technique nous permet d’utiliser un autre hôte sur le réseau qui est inactif afin d’effectuer une analyse de port vers un autre hôte. Le principal avantage de cette méthode est qu’elle est très furtive car les fichiers journaux du pare-feu enregistreront l’adresse IP du Zombie et pas notre adresse IP.
Cela dit, pour obtenir des résultats corrects, nous devons trouver des hôtes inactifs sur le réseau.
La commande ci-après est utilisée pour faire ce genre de scan;
nmap -sI [IP de la machine Zombie] scanme.nmap.org
Spécification du numéro de port source
Une erreur courante que font de nombreux administrateurs lors de la configuration des pare-feu est de définir une règle pour autoriser tout le trafic entrant provenant d’un numéro de port spécifique. L’option –source-port de Nmap peut être utilisée pour exploiter cette mauvaise configuration. peuvent utiliser pour ce type de scan sont: 20,53 et 67.
Exemple: nmap --source-port 53 scanme.nmap.org
Ajout des données aléatoires
De nombreux pare-feu inspectent les paquets en examinant leur taille afin d’identifier une analyse de port potentielle, car de nombreux scanners envoient des paquets de taille spécifique. Pour éviter ce type de détection, nous pouvons utiliser la commande –data-length pour ajouter des données supplémentaires et envoyer des paquets avec une taille différente de celle par défaut.
Exemple: nmap --data-length 50 scanme.nmap.org
Scan nmap avec ordre aléatoire
Cette technique est utile quand nous faisons un scan sur une plage d’adresse. Elle permet d’analyser un certain nombre d’hôtes dans un ordre aléatoire et non séquentiel. La commande que vous utilisez pour demander à Nmap de rechercher un hôte dans un ordre aléatoire est –randomize-hosts. Cette technique combinée avec des options de synchronisation lente dans la commande nmap peut être très efficace lorsque vous ne souhaitez pas alerter les pare-feu.
Exemple: nmap --randomize-h
osts 192.168.43.25-80
Spoofing d’adresse MAC pour votre scan nmap
Une autre méthode pour contourner les restrictions du pare-feu lors d’une analyse de port consiste à usurper l’adresse MAC de votre hôte. L’adresse MAC que nous devons définir pour obtenir des résultats.
Plus précisément, l’option –spoof-mac nous donne la possibilité de choisir une adresse MAC d’un fournisseur spécifique; de choisir une adresse MAC aléatoire ; ou de définir une adresse MAC spécifique de notre choix. Un autre avantage de l’usurpation d’adresse MAC est que nous effectuons une analyse plus furtive, car notre véritable adresse MAC n’apparaîtra pas dans les fichiers journaux du pare-feu. Nous avons trois manière d’utiliser cette option de nmap:
- Génération d’une adresse MAC aléatoire
nmap —spoof-mac 0 scanme.nmap.org
- Spécification d’une adresse MAC d’un fabricant
nmap –spoof-mac Apple scanme.nmap.org
- Spécification manuelle
nmap —spoof-mac 05:71:FF:35:06:DA scanme.nmap.org
Envoi de mauvais checksum
Les checksums sont utilisées par le protocole TCP / IP pour garantir l’intégrité des données. Par contre, l’envoi de paquets avec des checksums incorrects peut nous aider à découvrir des informations provenant des systèmes qui ne sont pas correctement configurés ou lorsque nous essayons d’éviter un pare-feu. Nous pouvons utiliser l’option –badsum pour envoyer des mauvais checkums à notre cible.
Exemple: nmap --badsum scanme.nmap.org
Conclusion
En résumé, Nmap offre de nombreuses techniques de bypass des pare-feu assez intéressantes. Dans un réseau avec IDS et pare-feu correctement configurés, plusieurs des techniques peuvent ne pas fonctionner. Chaque situation est différente, vous devez donc décider laquelle fonctionnera pour vous.
J’espère que l’article vous a été utile. La prochaine fois on parlera de script NSE et de leur puissance sur nmap. Restez donc informés et faites un tour dans la rubrique tutos.
A très bientôt !
One thought on “Scan Nmap avec kali: comment bypasser les firewalls”