Post Populaire


Le protocole NETBEUI. 
LE PRINCIPE :

Depuis que NT 3.51 existe (cette commande marche aussi avec les nouvelles versions de windows), Microsoft a implementé des commandes permettant de communiquer avec d'autres PC, tout ça juste avec un driver pour votre carte réseau, le protocole NETBEUI d'installé, et le tout en ligne de commande, ce qui permettait de réaliser des installations distance par exemple. C'est d'ailleurs encore beaucoup utilisé, une simple disquette de boot et vous pouvez installer plein de postes. Ce protocole NETBEUI, reposant sur NETBIOS, vous permet entre autres de partager des ressources sur le réseau à condition d'avoir installé‚ le client "Client pour le réseaux Microsoft", et d'avoir activé l'option "Permettre d'autres utilisateurs d'utiliser mes fichiers". Dans ce cas, vous pourrez alors voir ce qui est partagé dans le fameux Voisinage réseau de Partageur 95 ou de NT 4. Certains d'entre vous qui sont en train de lire ceci, se disent : "Arfff le con, il sait même pas que Internet ça repose sur les protocoles TCP/IP et pas NETBEUI". Et là, je vous réponds : "Je sais mon enfant, mais il existe une passerelle !!". "Une passerelle ? Entre NETBEUI et TCP/IP ?? Je le crois pas ? C'est pas possible ???" me répondrez vous !! Et pourtant si !! Microsoft ne pouvait pas se permettre d'interdire ce type de passerelle, car tous les réseaux Internet utilisent TCP/IP, et il fallait un moyen de convertir les noms de machines sous NETBEUI en adresse IP. C'est ce que fait le fichier LMHOST dans votre répertoire WINDOWS. Logiquement, si vous regardez maintenant, il n'existe pas, mais en revanche vous devez avoir un LMHOSTS.SAM qui traîne, qui est un fichier d'exemple. Allez donc y jeter un coup d'oeil... Donc vous avez compris, avec LMHOST, on peut donc aller voir les ressources partagées de quelqu'un, à partir du moment qu'on connait son IP, le nom de sa machine et ses ressources partagées. Et il faut aussi qu'il ait des ressources partagées évidemment, mais ça faut pas être polytechnicien pour le comprendre. Vu comme ça, ça fait beaucoup de choses à savoir, mais pas tant que ça en fin de compte, pour avoir ces renseignements, voici comment les pirates font...

LA PRATIQUE :

Première chose, trouver l'IP. Là, rien de plus facile, le pirate repère l'IP ou l'adresse de la victime sur IRC par exemple. Si c'est l'IP numérique du type 123.123.123.123, pas de problème, si c'est en revanche une adresse du genre marcel@routeur.domaine.com, il fait : PING -a routeur.domaine.com et il aura son IP. Le processus est enclenché.

Maintenant, le pirate doit obtenir le nom d'ordinateur de la personne dont il veut voir le disque dur. Pour cela, il y a la fonction NBTSTAT qui permet de voir l'état d'un adapteur réseau, et les infos le concernant. Le pirate tape donc (Dans Ms-Dos, il ouvre donc une fenêtre dos...) : NBTSTAT -A 127.127.127.127 (<<IP de la victime).

Si la cible a NETBEUI d'installé, il pourra voir s'afficher : C:\>NBTSTAT -A 194.114.95.141 NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- MAURO <00> UNIQUE Registered MICA <00> GROUP Registered MAURO <03> UNIQUE Registered MAURO <20> UNIQUE Registered MICA <1E> GROUP Registered MAC Address = 44-45-53-54-00-00 (Si c'est écrit "HOST NOT FOUND", le pirate change de cible car celle-ci n'a pas NETBEUI d'installé.) Ce qui l'intéresse c'est les noms avec écrit UNIQUE à côté. Sa cible utilise forcément l'un de ces noms de machines en ce moment même !Et c'est là qu'intervient LMHOSTS. Il édite LMHOSTS avec EDIT (dans une fenêtre Ms-Dos, il tape "edit") par e! xemple, et tape dans ce fichier : 194.114.95.141 MAURO #PRE Donc, l'IP, suivi du nom de machine, suivi de #PRE, pour indiquer que cette correspondance entre l'IP et le nom de machine doit être préchargé, pour ainsi passer AVANT la résolution DNS. Ensuite, il va réinitialiser son fichier LMHOSTS qu'il vient juste de sauvegarder. Pour cela, il tape : C:\>NBTSTAT -R Et si tout se passe bien, il voit : "Successful purge and preload of the NBT Remote Cache Name Table." Maintenant, il va s'occuper de chercher les ressources partagées par sa victime. Pour voir les ressources, il tape NET VIEW, VIEW comme "voir" en anglais, remarquez comme les choses sont bien faites. Donc, ça doit donner : NET VIEW \\MAURO (MAURO car là il passe sur le protocole NETBEUI, LMHOSTS va se charger de convertir le nom de machine en IP) Et hop, dans mon exemple, ça donne ça : C:\>NET VIEW \\MAURO Ressources partagées … \\MAURO Nom de partage Type Commentaire --------------------------------------------------- C Disque D Disque E Disque HP4L Impr. G Disque I Disque Exécution achevée. Le pirate sait alors que tous ces lecteurs sont partagés. Parfait pour lui, il va donc aller faire un tour sur le C: . La commande NET arrive à sa rescousse : C:\>NET USE \\MAURO\C K: Connect‚ … \\MAURO\C Et voilà…, le disque C de la cible est devenu le disque K du pirate.

Mais vous file l'astuce pour s'en protéger : il suffit juste de vérifier que son partage de fichiers n'est pas activé (bidon non !!!!)

- sebdelkil 2009-2015 - Aucun droit réservé -