El script de nombre afp-serverinfo, muestra información del servidor AFP. Esta información incluye el nombre de host del servidor, las direcciones IPv4 e IPv6, y el tipo de hardware (por ejemplo, Macmini o MacBookPro).
Apple Filing Protocol (AFP), formalmente AppleTalk Filling Protocol, es un protocolo de red propietario, y parte del Servicio de Apple File Services (AFS), el cual ofrece servicios de archivos para macOS, Mac OS clásico, y computadoras Apple II.
Se ejecuta el script contra dos direcciones IPv6.
La opción --script=afp-serverinfo de Nmap, permite definir el nombre del script.
$ nmap -Pn -n -p 548 --script afp-serverinfo.nse 121.161.50.58
El escaneo realizado revela la siguiente información:
Machine Type) Netatalk3.1.12. No es un servidor macOS real. Netatalk es una implementación de código abierto de AFP para sistemas tipo Unix/Linux.
Network Addresses: Dirección IP 172.17.0.1. Es la dirección IP por defecto de la pasarela.
UAMs: Indican como se validan las credenciales: DHX2, DHCAST128. El hecho de soporte ambos indica compatibilidad con clientes antiguos.
Server Flags. Tres indicadores críticos para la etapa de post-explotación: Password Saving Prohibited: false: El servidor permite que los clientes guarden la contraseña. Open Directory: true: El servidor puede estar integrado con servicios de directorio (como LDAP o Apple Open Directory). Super Client: true: El servidor soporta capacidades para administración avanzada a través del protocolo.
Desde la perspectiva de Ciberseguridad, se puede verificar la existencia vulnerabilidades conocidas para Netatalk, como también intentar enumerar usuarios, y analizar si se revelan nombres de cuentas válidas.
Fuentes:
https://nmap.org/nsedoc/scripts/afp-serverinfo.html
https://en.wikipedia.org/wiki/Apple_Filing_Protocol