2019-2020-2 20175227张雪莹《网络对抗技术》 Exp5 信息搜集与漏洞扫描
目录
- 基础知识
- 信息搜集的概念
- 间接信息搜集
- 直接信息搜集
- 实验目标
- 实验内容
- 各种搜索技巧的应用
- 使用搜索引擎
- 搜索网址目录结构
- 检测特定类型的文件
- 路由侦查
- DNS IP注册信息的查询
- whois查询域名注册信息
- nslookup,dig域名查询
- IP2Location 地理位置查询
- 基本的扫描技术:
- 主机发现
- 端口扫描
- OS及服务版本探测
- 具体服务的查点
- 漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞
- 各种搜索技巧的应用
- 老师提问
- 哪些组织负责DNS,IP的管理?
- 什么是3R信息?
- 评价下扫描结果的准确性。
- 所遇到的问题及其解决方法
- 实验感想
- 参考资料
基础知识
信息搜集的概念
- 意义:渗透测试中首先要做的重要事项之一
- 目的:尽可能多的查找关于目标的信息
- 任务:搜集关于目标机器的一切信息
- 方法:间接信息搜集 直接信息搜集 社会工程学
间接信息搜集
- 概念:不接触目标
- 无物理连接
- 不访问目标
- 方法:使用第三方信息源
- DNS记录扫描和枚举
- CorpWatch、天眼查
- 搜索引擎子域名搜集器
- 在线搜索工具:GHDB
直接信息搜集
- 主机扫描
- 发现网络上的活动主机:MSF模块
- 端口扫描
- 发现主机上的开放端口:MSF模块
- 版本探测
- 探测端口上的运行服务: SMB扫描和枚举、SSH 版本扫描和检测、FTP版本扫描、SMTP枚举、SNMP枚举、HTTP扫描
- NMAP
- 漏洞探测
- 探测服务是否有相应漏洞:OpenVAS
- 社会工程学
实验目标
- 掌握信息搜集的最基础技能与常用工具的使用方法。
实验内容
各种搜索技巧的应用
使用搜索引擎
- 利用GOOGLE提供的搜索功能查找黑客们想找到的信息。一般是查找网站后台,网管的个人信息,也可以用来查找某人在网络上的活动。
- 使用:
- 就像实验一中做的一样,左侧边栏选中
SHELLCODES
可以看到发布的shellcode
- 就像实验一中做的一样,左侧边栏选中
- ZoomEye是一款针对网络空间的搜索引擎,收录了互联网空间中的设备、网站及其使用的服务或组件等信息。
- 使用:
-
输入
apache +country:"CN"
查找中国地区的apache -
注意:注册需绑定手机号之后登录,才能看到查询具体信息,可能出于安全考虑。
-
应该是可以看到各个IP的详细信息,如下图:
-
- 但是由于我的权限不够就只能看到这样:
全球视角
中可以看到apache的分布,我的图跟学姐的比起来要少好多蓝点点,是不是因为安全考虑被屏蔽了
搜索网址目录结构
- 使用:
- 利用msf中的
dir_scanner
暴力破解,它的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。 - 进入msf控制台后输入命令:
- 利用msf中的
use auxiliary/scanner/http/dir_scanner
set THREADS 20
set RHOSTS www.baidu.com
exploit
- 结果如下:
- 返回值均为
200
表示成功处理了请求。
检测特定类型的文件
- 输入
site:edu.cn filetype:xls 身份证号
已经查不到啥了,应该百度也意识到这样不好。。。
- 接着输入
site:edu.cn filetype:xls
,结果如下:
- 可以查看详细的EXCEL信息如下:
路由侦查
- 使用tracert命令对某网站的经过路由进行侦察:
- 这里我截取了前14条信息:
- 从左到右的5条信息分别代表了
- “生存时间”(每途经一个路由器结点自增1)
- “三次发送的ICMP包返回时间”(共计3个,单位为毫秒ms)
- “途经路由器的IP地址”(如果有主机名,还会包含主机名)。
- 其中带有星号(*)的信息表示该次ICMP包返回时间超时。
DNS IP注册信息的查询
whois查询域名注册信息
- 由于我Windows中已经装过
whois
,所以在cmd中做的。没装过的你可以在Kali中用一样的命令进行域名信息查询。- 输入命令
whois cnblogs.com
(百度查不到,所以我换成了博客园的),结果如下: - 获得了他的IP、域名、子域、服务器位置信息等。
- 输入命令
nslookup,dig域名查询
- 由于我Windows中已经装过
nslookup
,所以在cmd中做的。没装过的你可以在Kali中用一样的命令进行域名信息查询。 - 输入nslookup cnblogs.com,结果如下:
- 有非权威应答结果,是解析服务器缓冲保存的结果,并不是逐级查询域名解析服务器获得的结果
dig
我没在Windows中装过,所以在Kali中做的- 输入命令
dig cnblogs.com
,结果如下:- 可以看到前两行的版本信息
Got answer
可以看到从DNS返回的技术信息ANSWER SECTION
显示出查询的结果cnblogs.com
的IP是101.37.97.51
- 最后一段默认输出包含了查询的统计数据
IP2Location 地理位置查询
- 既然刚刚通过
dig
命令得到了cnblogs.com
的IP是101.37.97.51
- 我们现在通过这个网站来查询一下该IP的地址信息,在网页底部搜索IP ,结果如下:
- 发现博客园是阿里巴巴旗下的
- 继续对博客园IP进行反向查询,结果如下:
- 可以看到经纬度都查出来了
- 通过shodan可以搜索到该IP的地理位置、服务占用端口号,以及提供的服务类型
- 查询博客园,结果如下:
- 可以查到SSL证书信息
基本的扫描技术
主机发现
①Ping
- 原理:ping命令用发送ICMP报文的方法检测活跃主机
- 方法:输入命令
ping cnblogs.com
②metasploit中的arp_sweep
模块和 udp_sweep
模块
- 原理:
arp_sweep
和udp_sweep
都是metasploit中位于modules/auxiliary/scanner/discovery
中的模块。
arp_sweep
使用ARP请求枚举本地局域网络中的所有活跃主机;
udp_sweep
模块除了可以探测到存活主机之外,还可以获得主机名称信息
- 方法:
注意:要先将Kali设成桥接模式arp_sweep
use auxiliary/scanner/discovery/arp_sweep //进入arp_sweep 模块
set RHOSTS 192.168.1.0/24 //用set进行hosts主机段设置
set THREADS 27 //加快扫描速度
run //执行run进行扫描
我主机192.168.1.5被扫出来了
udp_sweep
use auxiliary/scanner/discovery/udp_sweep //进入udp_sweep 模块
show options //查询模块参数
set RHOSTS 192.168.1.0/24 //用set进行hosts主机段设置
set THREADS 27 //加快扫描速度
run //执行run进行扫描
同样的,我的主机也被扫出来了,设备名和MAC地址都出来了。
③Nmap
-
Nmap是一个免费的开源(许可证)实用程序,用于网络发现和安全审核。
-
基本命令:
-sP
: nmap 仅对主机进行ping扫描(并不进行端口探测,还有操作系统识别)
-sS
:TCP SYN扫描,可以穿透防火墙;
-sA
:TCP ACK扫描。有时候由于防火墙会导致返回过滤/未过滤端口;
-sT
:TCP connect扫描,最准确,但是很容易被IDS检测到,不推荐;
-sF/-sX/-sN
:扫描特殊的标志位以避开设备或软件的监测;
-O
:启用TCP/IP协议栈的指纹特征信息扫描以获取远程主机的操作系统信息;
-sV
:获取开放服务的版本信息;
-PA/-PU
:分别向目标主机发送ACK/UDP报文进行端口探测。 -
方法:输入命令
nmap -sn 192.168.1.0/24
探测该网段的活跃主机
我的主机和Kali(192.168.1.17)被扫出来了。
端口扫描
①Nmap
- 原理:见Nmap基本命令
- 方法:输入
nmap -PU 192.168.1.0/24
我主机的tcp提供的一些服务及其端口被扫出来了。
②msf中的portscan
模块
- 方法:进入msf控制台,然后输入:
use auxiliary/scanner/portscan/tcp //进入模块
set RHOSTS 192.168.1.5 //设置主机段
set THREADS 27 //加快扫描速度
set PORTS 1-1752 //设置端口范围
run //扫描
- 结果如下:
可以看到主机一些打开的端口信息,其中有443端口,是SSL的端口。
OS及服务版本探测
①nmap -O
- 原理:namp -O可以对目标主机的OS进行识别,获取其OS和服务版本等信息。
- 方法:输入命令
nmap -O 192.168.1.5
它说我的操作系统是Win XP/7/2012,这个不太对啊
②nmap -sV
- 原理:该命令可以查看目标主机的详细服务信息
- 方法:输入
nmap -sV -Pn 192.168.1.5
,其中-Pn
是在扫描之前,不发送ICMP echo请求测试目标
它说有些数据无法分析出来,让我上传到他说的那个网站试试;不过还是可以看到微软和VM的服务信息。
具体服务的查点
①Telnet服务扫描
- 原理:telnet命令用于登录全程主机并对其管理。
- 方法:进入msf控制台后,输入
use auxiliary/scanner/telnet/telnet_version //进入telnet模块
set RHOSTS 192.168.1.0/24 //设置扫描网段
set THREADS 50 //提高查询速度
run
大多数主机都没有开启这个服务,也有开启的,比较少。
②SMB网络服务扫描
- 原理:提供了 Windows 网络中最常用的远程文件与打印机共享网络服务。
- 方法:进入msf控制台后,输入
use auxiliary/scanner/smb/smb_version //进入telnet模块
set RHOSTS 192.168.1.0/24 //设置扫描网段
set THREADS 50 //提高查询速度
run
③Oracle数据库服务查点
- 原理:大家都知道吧,我就不说了
- 方法:进入msf控制台后,输入
use auxiliary/scanner/oracle/tnslsnr_version //进入telnet模块
set RHOSTS 192.168.1.0/24 //设置扫描网段
set THREADS 50 //提高查询速度
run
漏洞扫描
OpenVAS
- 安装
- 参考学姐的博客,自己的经验是:
- 无论安装还是运行OpenVAS时都要
sudo su
进入root,这样不会因为权限问题而导致安装、运行失败。 openvas-check-setup
遇到问题时,自己试着输一输错误提示后面的FIX
中的命令- 注意:在OpenVAS初始化的时候,最后会有初始密码出现,如下图,记得保存,账号默认是:
admin
- 无论安装还是运行OpenVAS时都要
- 参考学姐的博客,自己的经验是:
- 使用
- 开启服务:终端中输入
openvas-start
,它会拉取浏览器进入主页https://127.0.0.1:9392
- 新建任务:
- 点击
Scans
->Tasks
。 - 进入后点击左上角处紫色的烟花,选择
Task Wizard
新建一个任务向导。 - 在弹框中输入待扫描主机的IP地址
192.168.1.5
,点击Start Scans
开始扫描。
- 点击
- 开启服务:终端中输入
- 扫描结果如下:
- 点击
Name
下的名称,查看详细信息
- 点击
Scanner
下的Full and fast
- 选择第四行
Buffer overflow
进行分析
- 进入后会发现每个漏洞都标有危险等级,我们选择第一个漏洞来看一下
Summary
处为该漏洞的描述- 意为:
该主机运行3CTftpSvc TFTP服务器,容易出现缓冲区溢出漏洞。
Solution
处为该漏洞解决方法。- 意为:
自该漏洞被披露以来,至少有一年的时间可以使用已知的解决方案。可能再也不会提供任何援助。通用解决方案选项是升级到一个新版本,禁用各自的特性,删除产品或用另一个产品替换产品。
老师提问
哪些组织负责DNS,IP的管理?
- 回答:
- ICANN(互联网名称与数字地址分配机构)是一个非营利性的国际组织,成立于1998年10月,是一个集合了全球网络界商业、技术及学术各领域专家的非营利性国际组织。
- 三个支持组织是:
1. 地址支持组织(ASO)负责IP地址系统的管理。
2. 域名支持组织(DNSO)负责互联网上的域名系统(DNS)的管理。
3. 协议支持组织(PSO)负责涉及Internet协议的唯一参数的分配。此协议是允许计算机在因特网上相互交换信息,管理通讯的技术标准。
- 三个支持组织是:
- 全球一共有5个地区性注册机构
- ARIN主要负责北美地区业务
- RIPE主要负责欧洲地区业务
- APNIC主要负责亚太地区业务
- LACNIC主要负责拉丁美洲美洲业务
- AfriNIC负责非洲地区业务。
- ICANN(互联网名称与数字地址分配机构)是一个非营利性的国际组织,成立于1998年10月,是一个集合了全球网络界商业、技术及学术各领域专家的非营利性国际组织。
什么是3R信息?
- 回答:3R指注册人(Registrant)、注册商(Registrar)、官方注册局(Registry)
评价下扫描结果的准确性。
- 回答:见实验内容
所遇到的问题及其解决方法
问题1
- 描述:在安装OpenVAS时,无论更新了源还是安装软件、文件库,仍然提示
无法定位软件包
- 解决方法:换了清华、中科大、阿里云的源都不行,最后尝试了浙大的源才成功,如下:
deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free
deb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free
换源方法参考这篇博文
实验感想
- 通过做这次实验,还是发现这几年这些搜索引擎啥的功能还在往上走,但是开始注意防范安全攻击了,就是权限不够或是没有进行实名认证就不给你看具体信息。我掌握了信息搜集和漏洞扫描的基本方法,和前几次实验结合起来对网络攻防的认识更加全面了起来,也引起了自己的兴趣。