2017-2018-2 20155303『網絡對抗技術』Exp6：信息收集與漏洞掃描

2017-2018-2 20155303『網絡對抗技術』

Exp6：信息收集與漏洞掃描

————————CONTENTS————————

• 一.原理與實踐說明
  • 1.實踐內容
  • 2.基礎問題
• 二.實踐過程記錄
  • 1.信息收集
    • 1.1經過DNS和IP挖掘目標網站的信息
    • 1.2經過搜索引擎進行信息蒐集
    • 1.3活躍主機掃描
    • 1.4nmap的使用
    • 1.5網絡服務掃描
  • 2.漏洞掃描
• 三.實踐總結及體會
• 附：參考資料

---

一.原理與實踐說明

1.實踐內容

本實踐的目標是掌握信息蒐集的最基礎技能。具體有：

1. 各類搜索技巧的應用
2. DNS IP註冊信息的查詢
3. 基本的掃描技術：主機發現、端口掃描、OS及服務版本探測、具體服務的查點
4. 漏洞掃描：會掃，會看報告，會查漏洞說明，會修補漏洞

2.基礎問題

• 問：哪些組織負責DNS，IP的管理？
  • 全球根服務器均由美國政府受權的ICANN統一管理，負責全球的域名根服務器、DNS和IP地址管理。
  • 全球根域名服務器：絕大多數在歐洲和北美（全球13臺，用A~M編號），中國僅擁有鏡像服務器（備份）。
  • 全球一共有5個地區性註冊機構：ARIN主要負責北美地區業務，RIPE主要負責歐洲地區業務，APNIC主要負責亞太地區業務，LACNIC主要負責拉丁美洲美洲業務，AfriNIC負責非洲地區業務。
• 問：什麼是3R信息？
  • 註冊人-註冊商-官方註冊局
  • 註冊人(Registrant) →註冊商(Registrar) →官方註冊局(Registry)

返回目錄

---

二.實踐過程記錄

1.信息收集

1.1經過DNS和IP挖掘目標網站的信息

『whois查詢』

whois用來進行域名註冊信息查詢。在終端輸入whois gitee.com可查詢到3R註冊信息，包括註冊人的姓名、組織和城市等信息。

注意：進行whois查詢時去掉www等前綴，由於註冊域名時一般會註冊一個上層域名，子域名由自身的域名服務器管理，在whois數據庫中可能查詢不到。

『nslookup,dig域名查詢』

nslookup能夠獲得DNS解析服務器保存的Cache的結果，但並非必定準確的。dig能夠從官方DNS服務器上查詢精確的結果。

除此以外，dig命令還有不少查詢選項，每一個查詢選項被帶前綴（+）的關鍵字標識。例如：

• +[no]search：使用 [不使用] 搜索列表或 resolv.conf 中的域僞指令（若是有的話）定義的搜索列表。缺省狀況不使用搜索列表。
• +[no]trace:切換爲待查詢名稱從根名稱服務器開始的代理路徑跟蹤。缺省狀況不使用跟蹤。一旦啓用跟蹤，dig 使用迭代查詢解析待查詢名稱。它將按照從根服務器的參照，顯示來自每臺使用解析查詢的服務器的應答。
• +[no]identify:當啓用 +short 選項時，顯示 [或不顯示] 提供應答的 IP 地址和端口號。
• +[no]stats:該查詢選項設定顯示統計信息：查詢進行時，應答的大小等等。缺省顯示查詢統計信息。
• ......

『IP2Location 地理位置查詢』

www.maxmind.com該網址能夠根據IP查詢地理位置：

在IP-ADDRESS這個網站上，能夠查詢到更詳細的關於某共有IP的信息，如：

繼而能夠查詢到兩個IP之間的距離，以及...

『IP2反域名查詢』

在shodan搜索引擎能夠進行反域名查詢，能夠搜索到該IP的地理位置、服務佔用端口號，以及提供的服務類型：

除此以外，還能夠在國內的站長工具進行相關查詢。

返回目錄

1.2經過搜索引擎進行信息蒐集

『Google Hacking』

Google提供了高級搜索功能。GHDB數據庫包含了大量使用Google從事滲透的搜索字符串。其中包含了不少經常使用的模塊，還有咱們以前使用過的各個平臺下的shellcode，也能夠從這裏獲取。

『搜索網址目錄結構』

自動化的工具：metasploit的brute_dirs，dir_listing,dir_scanner等輔助模塊，主要是暴力猜解。以dir_scanner爲例，依次輸入如下命令：

• msf > use auxiliary/scanner/http/dir_scanner
• msf auxiliary(scanner/http/dir_scanner) > set THREADS 50
• msf auxiliary(scanner/http/dir_scanner) > set RHOSTS www.phpluntan.com
• msf auxiliary(scanner/http/dir_scanner) > exploit

能夠查詢到網站的目錄結構：

其中，若是服務器返回403，代表沒有開放瀏覽權限。

『檢測特定類型的文件』

有些網站會連接通信錄，訂單等敏感的文件，能夠進行鍼對性的查找，好比百度site:edu.cn filetype:xls 直博：

打開下載的文檔，顯示信息以下：

『使用traceroute命令進行路由偵查』

在Linux下使用traceroute www.baidu.com對通過的路由進行探測：

因爲虛擬機使用的是nat鏈接，traceroute返回的TTL exceeded消息沒法映射到源IP地址、源端口、目的IP地址、目的端口和協議，所以沒法反向NAT將消息路由傳遞回來。

改在Windows下使用tracert www.baidu.com從新檢測：

從左到右的5條信息分別表明了「生存時間」（每途經一個路由器結點自增1）、「三次發送的ICMP包返回時間」（共計3個，單位爲毫秒ms）和「途經路由器的IP地址」（若是有主機名，還會包含主機名）。其中帶有星號（*）的信息表示該次ICMP包返回時間超時。

返回目錄

1.3活躍主機掃描

『ICMP Ping命令』

使用命令ping www.baidu.com：

『metasploit中的模塊』

位於modules/auxiliary/scanner/discovery 主要有 arp_sweep, ipv6_multicast_ping, ipv6_neighbor, ipv6_neighbor_router_advertisement, udp_probe，udp_sweep.

下面以arp_sweep爲例，arp_sweep使用ARP請求枚舉本地局域網的活躍主機，即ARP掃描器 udp_sweep 使用UDP數據包探測。

打開msfconsole，依次輸入：

• msf > use auxiliary/scanner/discovery/arp_sweep //進入arp_sweep 模塊
• msf auxiliary(scanner/discovery/arp_sweep) > show options //查詢模塊參數
• msf auxiliary(scanner/discovery/arp_sweep) > set RHOSTS 10.10.10.0/24 //用set進行hosts主機段設置
• msf auxiliary(scanner/discovery/arp_sweep) > set THREADS 50 //加快掃描速度
• msf auxiliary(scanner/discovery/arp_sweep) > run //執行run進行掃描

掃描結果以下圖所示：

返回目錄

1.4nmap的使用

1.探索活躍的主機

在Linux下使用nmap -sn 192.168.130.0/24尋找該網段下的活躍主機：

使用-PU是對UDP端口進行探測，與udp_sweep模塊功能相同。

2.使用-O選項讓Nmap對目標的操做系統進行識別

在Linux下使用nmap -O 172.16.8.28獲取目標機的操做系統等信息：

3.使用-sS選項進行TCP SYN掃描

在Linux下使用nmap -sS -Pn 172.16.8.28命令，其中-sS是TCP SYN掃描，-Pn是在掃描以前，不發送ICMP echo請求測試目標：

4.使用-sV查看目標機子的詳細服務信息

在Linux下使用nmap -sV -Pn 172.16.8.28命令，其中-sV用來查看目標機子的詳細服務信息：

返回目錄

1.5網絡服務掃描

1.Telnet服務掃描

• msf > use auxiliary/scanner/telnet/telnet_version //進入telnet模塊
• msf auxiliary(telnet_version) > set RHOSTS 192.168.130.0/24 //掃描192.168.130.0網段
• msf auxiliary(telnet_version) > set THREADS 100 //提升查詢速度
• msf auxiliary(telnet_version) > run

2.SSH服務掃描

• msf > use auxiliary/scanner/ssh/ssh_version
• msf auxiliary(ssh_version) > show options
• msf auxiliary(ssh_version) > set RHOSTS 192.168.130.0/24
• msf auxiliary(ssh_version) > set THREADS 200
• msf auxiliary(ssh_version) > run

3.Oracle數據庫服務查點

• msf > use auxiliary/scanner/oracle/tnslsnr_version
• msf auxiliary(scanner/oracle/tnslsnr_version) > show options
• msf auxiliary(scanner/oracle/tnslsnr_version) > set RHOSTS 192.168.130.0/24
• msf auxiliary(scanner/oracle/tnslsnr_version) > set THREADS 200
• msf auxiliary(scanner/oracle/tnslsnr_version) > run

4.口令猜想與嗅探

• msf > use auxiliary/scanner/ssh/ssh_login //進入ssh_login模塊
• msf auxiliary(scanner/ssh/ssh_login) > set RHOSTS 192.168.130.0/24 //設置目標IP或IP段
• msf auxiliary(scanner/ssh/ssh_login) > set USERNAME root //設置目標系統的管理員帳號
• msf auxiliary(scanner/ssh/ssh_login) > set PASS_FILE /root/password.txt //設置破解的字典
• msf auxiliary(scanner/ssh/ssh_login) > set THREADS 200 //提升查詢速度
• msf auxiliary(scanner/ssh/ssh_login) > run

其中，破解的字典能夠去網上社工庫下載。好比我下載的password.txt以下所示：

返回目錄

2.漏洞掃描

Step1：檢查安裝狀態，開啓VAS

首次使用openvas-check-setup出現瞭如下錯誤：

按照FIX的提示使用如下指令一步一步修正，每修正完一步執行一次openvas-check-setup查看是否正常：

• openvas-check-setup
• openvasmd --migrate
• openvas-manage-certs -a
• openvas-manage-certs -a -f
• openvasmd
• openvas-check-setup

最終成功：

使用openvas-start開啓服務，會自動打開瀏覽器主頁https://127.0.0.1:9392：

注意：若第一次打開該主頁時提示該連接不安全之類的錯誤，須要打開Advanced，點擊左下角，將https://127.0.0.1:9392設置爲可信任的站點，便可正常打開。

Step2：新建任務，開始掃描

在菜單欄選擇Tasks：

進入後點擊Task Wizard新建一個任務嚮導，在欄裏輸入待掃描主機的IP地址，並單擊Start Scans確認，開始掃描。

幾分鐘後，掃描完成：

Step3：查看並分析掃描結果

打開該掃描結果的詳細信息，以下圖所示：

點擊Full and fast：

以Buffer overflow爲例，點進去查看詳細結果：

其中標註了危險等級。

點開一個危險等級較高的漏洞，詳細描述以下：

如想了解每個漏洞的詳細信息，能夠去微軟技術中心進行查看。

返回目錄

---

三.實踐總結及體會

• 本次實驗主要學習並嘗試使用了經常使用的信息收集、漏洞掃描等幾種方式。信息收集做爲滲透測試的第一步，每每起到了相當重要的奠定性做用。這些準備工做是必不可少的，只有收集了必要的信息，纔能有的放矢進行下一步攻擊。而對於本身的主機，漏洞掃描也很是重要，能讓咱們更深刻了解本身主機存在的可能被人利用的缺陷，從而進行漏洞的修補。
• 實驗過程當中查詢了大量的資料，除了給出的幾種，又嘗試了一些新的信息收集與漏洞掃描的方法。在驚歎於方法之多和信息收集角度之全面以外，也感覺到了潛在的危險。也許本身主機的信息正在鮮爲人知的時候悄悄被他人竊取......

返回目錄

---

附：參考資料

• www.maxmind.com
• ip-address.com
• 國家信息安全漏洞庫
• dig命令
• 站長工具
• Offensive Security’s Exploit Database Archive
• Metasploit 實戰第2章 第一節