2019-2020-2 网络对抗技术 20172327 Exp5 信息搜集与漏洞扫描

目录

• 1. 实践基础
  • 1.1 实践目标
    • 1.1.1 实践对象
    • 1.1.2 实践内容
  • 1.2 基础知识
    • 1.2.1 实践要求
    • 1.2.2 指令/参数
  • 1.3 基础问题回答
  • 1.4 预备知识
    • 1.4.1 Nmap
    • 1.4.2 搜索引擎
    • 1.4.3 OpenVAS
    • 1.4.4 自动化工具
    • 1.4.5 traceroute/tracert
• 2. 实践内容
  • 2.1 搜索技巧的应用
    • 2.1.1 搜索网址目录结构
    • 2.1.2 搜索特定类型文件
    • 2.1.3 搜索E-Mail
    • 2.1.4 IP路由侦查
  • 2.2 DNS IP注册信息的查询
    • 2.2.1 whois域名注册信息查询
    • 2.2.2 nslookup域名查询
    • 2.2.3 dig域名查询
    • 2.2.4 IP2反域名查询
  • 2.3 基本的扫描技术
    • 2.3.1 主机发现
    • 2.3.2 端口扫描
    • 2.3.3 OS及服务版本探测
    • 2.3.4 具体服务查看
  • 2.4 漏洞扫描
• 3.总结与体会

1. 实践基础

1.1 实践目标

1.1.1 实践对象

1.Windows 10

2.kali linux

3.Baidu

1.1.2 实践内容

1.搜索技巧的应用

2.DNS，IP注册信息的查询

3.基本的扫描技术

4.漏洞扫描

1.2 基础知识

1.2.1 实践要求

掌握信息搜集的最基础技能与常用工具的使用方法

1.2.2 指令/参数

• 自动化工具

指令	目的
set RHOST	设置扫描路径
set THREADS	设置并发进程数量

• 搜索引擎

指令	目的	检索词
filetype	对搜索结果的文件类型进行限定	filetype:文件类型

• | 在检索结果中获取检索词的补集 | -词语
  site | 限制检索结果的来源 | site:限制域名
  inurl | 网址中进行搜索 | inurl:检索词
  | | 表示布尔逻辑中的或者(or)关系 | 关键词1 | 关键词2
  空格 | 表示布尔逻辑中的交集(and)关系 | 关键词1 关键词2

• Nmap

指令	目的
①-sS/sT/sA/sW/sM	指定TCP SYN/Connect()/ACK/Window/Maimon scans扫描目标
②-sU	指定UDP扫描方式确定目标的UDP端口状况
③-sN/sF/sX	指定TCP Null,FIN,Xmas scans秘密扫描方式协助探测对方的TCP端口状态
④--scanflags	定制TCP包的flags
⑤-sI <zombiehost[:probeport]>	指定idle scan方式来扫描目标主机(需要合适的zombie host)
⑥-sY/sZ	使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况
⑦-sO	使用IP protocol扫描确定目标支持的协议类型
⑧-b	使用FTP bounce scan扫描方式
⑨osscan-limit	限制Nmap只对确定的主机的进行OS探测(需要至少确定该主机的一对open和closed的端口)
⑩osscan-guess	猜测对方的主机的系统类型(准确性低但会尽可能多为用户提供潜在的操作系统)

1.3 基础问题回答

哪些组织负责DNS,IP的管理

<1>全球根服务器由美国政府授权的ICANN统一管理，负责全球域名根服务器,DNS和IP地址管理

①地址支持组织(ASO) 负责IP地址系统的管理

②域名支持组织(DNSO) 负责互联网上的域名系统（DNS）的管理

③协议支持组织(PSO) 负责涉及Internet协议的唯一参数的分配

④全球根域名服务器 大多在欧洲和北美(全球13台用A~M编号)，中国仅拥有镜像服务器(备份)

<2>全球一共有5个地区性注册机构

①ARIN主要负责北美地区业务

②RIPE主要负责欧洲地区业务

③APNIC主要负责亚太地区业务

④LACNIC主要负责拉丁美洲美洲业务

⑤AfriNIC负责非洲地区业务

评价扫描结果的准确性

①大部分准确，但是不一定全面。使用不同的方法扫描同样的内容就会有不同的结果

②被扫描目标可以使用相应的防御手段反扫描(类似重放)

1.4 预备知识

1.4.1 Nmap

拥有丰富的系统数据库，目前可以识别2600多种操作系统与设备类型，可以扫描网上电脑开放的网络连接端，确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统以及用以评估网络系统安全。

1.4.2 搜索引擎

有些网站会链接通讯录订单等敏感的文件，可进行针对性的查找site:XXX.com filetype:xls。

1.4.3 OpenVAS

apt-get update 
apt-get upgrade
apt-get install openvas
openvas-setup # 可能需要重复多次，需要下载很多xml文件
openvas-check-setup
openvasmd --user=admin --new-password=[new key]

1.4.4 自动化工具

metasploit的brute_dirs dir_listing dir_scanner等辅助模块，主要是暴力猜解。暴力破解一般就是指穷举法，原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举尝试是否能够登录。理论上只要字典足够庞大，枚举总是能够成功。

1.modules/auxiliary/scanner/discovery arp_sweep,udp_probe,udp_sweep；

2.scanner/[service_name]/[service_name]_version遍历主机，确定服务版本；

3.scanner/[service_name]/[service_name]_login进行口令探测攻击。

1.4.5 traceroute/tracert

①利用ICMP协议定位用户计算机和目标计算机之间的所有路由器，能够遍历到数据包传输路径上的所有路由器；

②TTL值可以反映数据包经过的路由器或网关的数量，通过操纵独立ICMP呼叫报文的TTL值和观察该报文被抛弃的返回信息。

2. 实践内容

2.1 搜索技巧的应用

2.1.1 搜索网址目录结构

第一步：使用dir_scanner模块：

msfconsole 启动
use auxiliary/scanner/http/dir_scanner 进入dir_scanner模块
set THREADS 27 攻击使用的线程数，数值越大力度越大，数值小不容易被发现
set RHOSTS www.baidu.com 目标网址或IP地址，url或IP前后http://和具体路径
exploit

第二步：使用dir_listing模块：

msfconsole 启动
use auxiliary/scanner/http/dir_listing 进入dir_listing模块
set THREADS 28 攻击使用的线程数，数值越大力度越大，数值小不容易被发现
set RHOSTS www.cntv.com 目标网址或IP地址，url或IP前后http://和具体路径
exploit

第三步：使用brute_dirs模块：

msfconsole 启动
use auxiliary/scanner/http/dir_listing 进入brute_dirs模块
set THREADS 50 攻击使用的线程数，数值越大力度越大，数值小不容易被发现
set RHOSTS www.baidu.com 目标网址或IP地址，url或IP前后http://和具体路径
exploit

2.1.2 搜索特定类型文件

这个操作老师上课已经讲过，直接使用百度也可以使用图形化界面调整一些参数

命令：

site:edu.cn filetype:xls

2.1.3 搜索E-Mail

国内不能合法使用Google和Yahoo可以设置为false

命令：

msfconsole 
use auxiliary/gather/search_email_collector
set DOMAIN baidu.com
set SEARCH_GOOGLE false
srt SEARCH_YAHOO false
exploit

2.1.4 IP路由侦查

kali使用工具：traceroute
命令：traceroute www.cnblogs.com

windows tracert查看信息内容

• 第一列：生存时间，每途经一个路由器结点自增1
• 第二至四列：三次发送的ICMP包返回时间，单位为毫秒ms
• 第五列：途经路由器的IP地址，若有主机名则包含主机名，*表示该次ICMP包返回时间超时

2.2 DNS IP注册信息的查询

whois、nslookup、dig的使用方式基本一致。

2.2.1 whois域名注册信息查询

第一步：注册域名时通常会注册一个上层域名

• baidu.com一级域名(上层域名)
• www.baidu.com二级域名(子域名)

子域名由自身的域名服务器管理，在whois数据库中可能会查询不到

通过whois我们即可找到所谓的“3R”信息，这里不赘述了。

2.2.2 nslookup域名查询

nslookup可以诊断域名系统(DNS)基础结构的信息，但不一定准确：

msfconsole 启动
use auxiliary/scanner/http/dir_scanner 进入dir_scanner模块
nslookup baidu.com

2.2.3 dig域名查询

dig可以从官方DNS服务器上查询精确的结果

msfconsole 启动
use auxiliary/scanner/http/dir_scanner 进入dir_scanner模块
dig baidu.com

dig还有很多查询选项，每个查询选项由带前缀(+)的关键字标识

• +[no]search使用[不使用]搜索列表或resolv.conf中域伪指令(如果有的话)定义的搜索列表(默认不使用)；
• +[no]trace切换为待查询名称从根名称服务器开始的代理路径跟踪(默认不使用)，若启用跟踪dig使用迭代查询解析待查询名称，将按照从根服务器的参照，显示来自每台使用解析查询的服务器的应答；
• +[no]identify当启用````+short```选项时，显示[不显示]提供应答的IP地址和端口号；
• +[no]stats设定显示统计信息，查询进行时，应答的大小等，默认显示查询统计信息。

2.2.4 IP2反域名查询

1.分别用两个网络ping baidu.com

2.IP-ADDRESS输入baidu.com查询

2.3 基本的扫描技术

2.3.1 主机发现

（1）arp_sweepARP扫描器，使用ARP请求枚举本地局域网的活跃主机

msfconsole 启动
use auxiliary/scanner/discovery/arp_sweep 
set RHOST 192.168.193.128/24
set THREADS 30
exploit

（2）udp_sweep使用UDP数据包探测

msfconsole 启动
use auxiliary/scanner/discovery/udp_sweep 
set RHOST 192.168.193.128/24
set THREADS 100
exploit

（3）nmap -sn只进行主机发现，不进行端口扫描

2.3.2 端口扫描

（1）metasploit的端口扫描模块

msfconsole 启动
use auxiliary/scanner/postscan/tcp
set RHOST 192.168.193.128
exploit

（2）Nmap端口扫描

2.3.3 OS及服务版本探测

（1）namp -OOS侦测，检测目标主机运行的操作系统类型及设备类型等信息

namp -O 192.168.193.128

（2）nmap -sV版本侦测，确定目标主机开放端口上运行的具体的应用程序及版本信息

2.3.4 具体服务查看

（1）telnet服务扫描

msfconsole 启动
use auxiliary/scanner/telent/telent_version
set RHOST 192.168.193.128/24
set THREADS 100
run

（2）SSH服务扫描

msfconsole 启动
use auxiliary/scanner/ssh/ssh_version
set RHOST 192.168.193.128/24
set THREADS 100
run

（3）Oracle数据库服务查点

msfconsole 启动
use auxiliary/scanner/oracle/tnslsnr_version
set RHOST 192.168.193.128/24
set THREADS 100
run

（4）open_proxy开放代理探测

msfconsole 启动
use auxiliary/scanner/http/open_proxy
set RHOST 192.168.193.128/24
set THREADS 100
run

2.4 漏洞扫描

openvas出问题，我还在弄

3.总结与体会

• 通过本次实验，我学习并利用各种工具对主机、端口、版本、网络服务等进行了扫描，实现了基本的信息收集。
• 在做实验前部分的时候，我就有在安装openvas，但每次都失败，显示的是Your
  OpenVAS-9 installation is not yet complete!
  尤其是有个文件，下载起来永远是5kb/s，要下一个多小时，很难受。