2019-2020-2 网络对抗技术 20175211 Exp5 信息搜集与漏洞扫描

实践原理

  • 网络踩点(Footprinting)
    • Web搜索与挖掘
    • DNS和IP查询
    • 网络拓扑侦察
  • 网络扫描(Scanning)
    • 主机扫描
    • 端口扫描
    • 系统类型探查
    • 漏洞扫描
  • 网络查点( Enumeration)
    • 旗标抓取
    • 网络服务查点

实践内容

各种搜索技巧的应用

Google Hacking

google还是强的啊,google hacking其实是很老的东西了,就是利用google搜索过滤器对收录的网页信息进行搜索。一些搜索规则如下

  • 查询是不区分大小写(OR在表示布尔含义时一定要大写)
  • 谷歌有32词的搜索限制
  • 短语搜索要带上单引号
  • AND对谷歌来说是多余的,谷歌会自动查询你输入的一切
  • 谷歌会忽略特别常见的字符,但是前面加上+强制搜索(+后面不能有空格)
  • NOT可以使用-
  • 布尔查询OR|

常用的高级运算符

  • intext:
    把网页中的正文内容中的某个字符做为搜索条件
  • intitle:
    搜索网页标题中是否有所输入字符
  • filetype:
    搜索指定类型的文件
  • site:
    将搜索范围缩小到特定的网站,域或子域
  • inurl:
    搜索输入字符是否存在于URL中.可以联合site指定来找后台、fck之类

例如有些网站没有将sql删除,就有可能被搜索到,从而暴露数据库结构。我们在google中输入site:cn filetype:sql -inurl:nju,这样就可以搜索cn子域名下可能存在的sql文件,另外我排除了url中包含nju的,因为要访问他们的网站好像需要南大的账号。。

打开搜索结果第一条就是“收获满满”

我看了看手边的网络安全法,赶快退了出去。

搜索网址目录结构

利用metasploit的dir_scanner辅助模块,暴力猜解,获取网站目录结构

msfconsole
use auxiliary/scanner/http/dir_scanner
set THREADS 10
set RHOSTS www.baidu.com
exploit

另外推荐一个我打ctf常用的扫目录工具dirsearch

路由侦查

traceroute跟踪从IP网络获取到给定主机的路由包。IP每经过一个路由器,TTL值减1,对应的路由器就会返回ICMP TIME_EXCEEDED响应。据此可以得知经过的ip地址。

DNS IP注册信息的查询

whois

WHOIS(读作“Who is”,而非缩写)是用来查询互联网中域名的IP以及所有者等信息的传输协议。早期的WHOIS查询多以命令行接口(Command Line)存在,但是现在出现了一些基于网页接口的简化在线查询工具,甚至可以一次向不同的数据库查询。网页接口的查询工具仍然依赖WHOIS协议向服务器发送查询请求,命令行接口的工具仍然被系统管理员广泛使用。

WHOIS通常使用TCP协议43端口。每个域名或IP的WHOIS信息由对应的管理机构保存,例如,以.com结尾的域名的WHOIS信息由.com域名运营商VeriSign管理,中国国家顶级域名.cn域名由CNNIC管理。

nslookup,dig域名查询

nslookup可以得到DNS解析服务器保存的Cache的结果,但并不是一定准确的

dig可以从官方DNS服务器上查询精确的结果

基本的扫描技术

主机发现

ping

最简单的探测方法,ping的通当然是存活的,ping不通也不一定就不存活,有可能只是防火墙拦截了

metasploit中的arp_sweep模块和udp_sweep模块

  • arp_sweep使用ARP请求枚举本地局域网络中的所有活跃主机。

    • use auxiliary/scanner/discovery/arp_sweep进入arp_sweep模块
    • show options查询模块参数
    • set RHOSTS 192.168.79.0/24进行hosts主机段设置
    • set THREADS 10设置多线程
    • run执行扫描
  • udp_sweep通过发送UDP数据包探查指定主机是否活跃,并发现主机上的UDP服务

端口扫描

nmap老熟人了,可以扫描各种东西,自然也包括存活主机

  • -R选项,arp探测,仅限于同网段,和arp_sweep差不多

  • tcp扫描全家桶

    • -sT 全开扫描
    • -sS SYN半开扫描
    • -sA ACK扫描
    • -sN Null扫描
    • -sF FIN扫描
  • udp扫描
    -sU

OS及服务版本探测

nmap -O根据指纹库探测主机操作系统

但是这里我探测的主机太多指纹符合所以没法确定。。

nmap -sV查看服务的详细信息

具体服务的查点

msf的auxiliary/scanner模块有许多相关工具,比如探测telnet服务

漏洞扫描--OpenVAS

安装

装了2天,还是各种报错,受不了了,直接去docker拉了OpenVAS image for Docker
docker run -d -p 443:443 --name openvas mikesplain/openvas半个小时就起了,舒服。
用户名和密码都是admin

扫描

选择菜单栏的Scans,然后点击Tasks,点击紫色烟花新建一个任务向导,输入要扫描的主机地址,点击Start Scans开始扫描

扫描完成后点击Report,结果如下

可以看到只有一个危险等级为Low的安全隐患。点击Task那一栏之后再点击Result

可以看到界面做的还是蛮不错的,居然还有词云。点左上角的?图标,会有每一列的解释。

点进去看一下那个low的是啥问题

原因居然是这台主机实现了RFC1323定义的TCP时间戳,导致远程连接者可以据此推测出主机上的时间。我的理解就是时间戳可以被预判,导致基于时间戳的伪随机不那么安全。
尝试按照它的提示修复漏洞。

但是因为我是在docker里面搭建的,而扫的又是自己那个容器。这里想修复的时候报了个只读文件系统,看来是改不了了,作罢。

报告内容

基础问题回答

(1)哪些组织负责DNS,IP的管理。

  • 全球根服务器均由ICANN(The Internet Corporation for Assigned Names and Numbers)互联网名称与数字地址分配机构统一管理。
  • 地址支持组织(ASO)负责IP地址系统的管理
  • 域名支持组织(DNSO)负责互联网上的域名系统(DNS)的管理
  • 协议支持组织(PSO)负责涉及Internet协议的唯一参数的分配

五个地区性注册机构:

  • ARIN(北美地区)
  • RIPE(欧洲地区)
  • APNIC(亚太地区)
  • LACNIC(拉丁美洲美洲)
  • AfriNIC(非洲地区)

(2)什么是3R信息。

  • Registrant注册人
  • Registrar注册商
  • Registry官方注册局

(3)评价下扫描结果的准确性。
ping出来的ip地址不一定是对的,因为大型网站可能用了CDN。whois没有dig可信度高。nmap还是蛮好用的,尤其是在目标靶机没开防火墙的时候,扫描的准确度蛮高的。至于漏扫不太好评价,因为就装了这一个,也没有对比,我也不知道这个靶机是不是还有其他漏洞。但是能扫出来东西我已经觉得很厉害了。

实践总结与体会

信息收集是渗透测试的第一步,可以避免像无头苍蝇一样乱撞,能扫出来其他后台也能扩大攻击面。如果能获取某个网站的数据库结构或者脚本类型、容器类型,在攻击过程中都可以少很多无意义的摸索时间。由于之前在别的课程包括课外的自学中接触过不少内容,所以这次试验还是比较轻松的。

posted @ 2020-04-26 01:15  MustaphaMond  阅读(344)  评论(0编辑  收藏  举报