20222425 2024-2025-1 《网络与系统攻防技术》实验五实验报告

1.实验内容

Metasploit Framework(MSF)是一款开源安全漏洞检测工具，附带数千个已知的软件漏洞，并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程，被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的，但是再后来的新版中，改成了用Ruby语言编写的了。在kali中，自带了Metasploit工具。

2.实验过程

（1）从www.besti.edu.cn、baidu.com、sina.com.cn中选择一个DNS域名进行查询，获取如下信息：（在这里我选择的是选择baidu.com）
DNS注册人及联系方式


该域名对应IP地址

IP地址注册人及联系方式


IP地址所在国家、城市和具体地理位置


PS：使用whois、dig、nslookup、traceroute、以及各类在线和离线工具进行搜集信息（要求必须用WHOIS、dig、nslookup、traceroute、tracert以及在线工具）
（2）尝试获取BBS、论坛、QQ、MSN中某一好友的IP地址，并查询获取该好友所在的具体地理位置。（我获取的是QQ好友的地址)
由于QQ消息比较多，我选择了打QQ电话的方式


（3）使用nmap开源软件对靶机环境进行扫描，回答以下问题并给出操作命令。
经过扫描发现了两个活跃主机

靶机IP地址是否活跃

靶机开放了哪些TCP和UDP端口
tcp端口：

udp端口：

靶机安装了什么操作系统，版本是多少

安装的是windows10/11
靶机上安装了哪些服务

（4）使用Nessus开源软件对靶机环境进行扫描，回答以下问题并给出操作命令。
在kali里安装Nessus并激活https://blog.csdn.net/weixin_48886225/article/details/140269127

靶机上开放了哪些端口

靶机各个端口上网络服务存在哪些安全漏洞


你认为如何攻陷靶机环境，以获得系统访问权

扫描出来的这个漏洞可以被用来攻陷靶机
（5）①通过搜索引擎搜索自己在网上的足迹，并确认自己是否有隐私和信息泄漏问题。



只有搜索学号才能找到自己的足迹
②并练习使用Google hack搜集技能完成搜索（至少10种搜索方法）
intex搜索



cache搜索

filetype搜索

inurl搜索


insite搜索

intex和intitle搜索

allintitle搜索

3.问题及解决方案

• 问题1：获取QQ好友详细IP地址时有很多分不清的IP
• 问题1解决方案：采取打QQ电话，找到一直存在且信息交换很多的IP
• 问题2：Nessus激活后，每次使用都需要在终端启用一下才能使用
• 问题2解决方案：
  在终端输入以下代码即可改为自启动
  systemctl enable nessusd.service
  systemctl disable nessusd.service

4.学习感悟、思考等

通过本次实验我体会到了信息泄露的可怕，我发现这不仅是一项技术活，更是一场对信息世界深度认知的旅程。在实践中，我学会了如何运用各种搜索引擎、数据库和专业平台。但更重要的是，我学会了如何提出恰当的问题，因为精准的问题往往能引导我找到更有价值的信息。此外，数据分析工具的使用也让我能够从海量数据中提炼出关键信息，形成有价值的洞察。我认识到信息搜集不仅仅是获取数据，更是一种信息筛选、整合与解读的过程。在这个过程中，我学会了如何辨别信息的真伪，如何评估信息的价值，以及如何将不同来源的信息进行有效整合。这些技能不仅对我的工作有帮助，也让我在日常生活中更加理性地看待各种信息。