渗透测试---信息收集

扫描技术与抓包分析

TCP数据包头格式：0-65535

源端口：16位

目的端口：16位

端口数量：2^16=65536

知名端口：1-1024

保留：0

Data offset：偏移量，每增加1，报头长度增加4字节

Window size：窗口：控制流量(滑动窗口控制机制)

TCP标志位：

-ACK   Acknowledgment   确认标志

-RST   Reset                     复位标志--重设

-URG   Urgent                   紧急标志

-SYN   Synchronize          建立连接标志

-PSH   Push                      推标志

-FIN   Finish                      结束标志---完成

三次握手：

           SYN=1           

                                     -----------------------》    

                                                                    SYN=1    ACK在对方序列号+1

                                    《----------------------

  ACK在对方序列号+1

                                          RST连接断开

ICMP报文类型：

-0   Echo   Reply：用最多的是Ping命令

-3   Destination Unreachable：目标不可达(路由不可达)

常见端口号：

21      FTP      文件传输

22      SSH      远程登录

23      Telnet      远程登录管理(明文协议，抓包可抓到密码，不安全，逐渐被淘汰)

                          Windows系统命令在WINDOWS/system32中存放

                          telnet在win10中没有，在windows2003中有，可以在windows2003中的系统命令中找，复制到win10的系统命令中使用

25      SMTP      邮件发送

53      DNS      域名与IP地址转换(UDP服务)

80      HTTP      超文本传输

110      POP3      接受邮件

161      SNMP      网络管理

加密协议：

443      HTTPS      在链路中对数据进行加密

513      Rlogin      远程登录(UNIX)

1433      MS SQL Server      微软

1521      Oracle

3306      MySQL      被Oracle收购

3389      RDP      远程桌面

8080      Proxy      代理

Nmap扫描器过程：

主机发现                                 参数-P0：直接扫描端口服务(有些主机的防火墙会屏蔽扫描使扫描不到主机)

端口扫描

服务和版本探测

操作系统探测

防火墙IDS躲避和哄骗

输出结果

扫描目标：

主机ip或域名

网段(CIDR格式)

参数：

-iL          <inputfilename>(从列表输入)

-iR          <hostnum>(随机选择目标)

iR  0    代表互联网所有主机     (假设知道摄像头的端口服务，可以扫描指定区域的所有摄像头，利用弱口令破解)

环境变量：

操作系统中用来指定运行环境的一些参数。在我的电脑---属性---高级---环境变量中进行设置

弱口令：

容易被人猜测或破解工具破解的口令。

主机发现：

-sP            (Ping扫描)

-P0            (无Ping)禁止主机发现

-PS            [portlist](TCP SYN Ping)未开发，收到rst

-PA            [portlist](TCP ACK Ping)未连接，收到rst

                  发送了一个设置了SYN标志位的空TCP报文

                  发送了一个设置了ACK标志位的空TCP报文

                  上述二者结合可能绕过状态检测防火墙

数据包进出防火墙都需要匹配规则。

状态防火墙：

会在包出去时记录状态，回来时检测状态，不匹配规则。

-PU             [portlist](UDP Ping)穿过tcp防火墙

                   目标机器端口是关闭的，UDP探测得到ICMP端口无法到达的回应报文，证明目标机器存在，否则不会有回应报文

-PR             (APP Ping)

端口扫描：

定义端口类型：

-open(开放的)            -filtered(被过滤的)            -open|filtered(开放或被过滤的)

-close(关闭的)            -unfiltered(未被过滤的)            -close|filtered(关闭或被过滤的) 

默认扫描端口：-p 1-65535或者-p-

端口扫描常用类型：

-sS              (TCP SYN扫描)速度快

-sT              (TCPconnect()扫描)全连接扫描

-sU              (UDP扫描)速度慢，用于探测udp协议端口

-sN；-sF；-sX          (TCP Null，FIN，and Xmas扫描)

                                   端口开放，无响应

                                   端口关闭，返回一个RST

                                   只能用于UNIX/Linux，Windows不适用

-sA              (TCP ACK扫描)

-sW             (TCP窗口扫描)

服务和版本探测：

-sV              (开启版本探测)敲回车显示进度

Ping之后，TTL=128/64可知对方操作系统

操作系统探测：

-O                   (启用操作系统探测)

防火墙/IDS躲避和哄骗：

-f                     (报文分段)

--mtu               (使用指定的MTU)

-D<decoy|[,decoy2][,ME]......>                  (使用诱饵隐蔽扫描)

-S<IP_Address>                                       (源地址哄骗)

-source-port<portnumber>                        (源端口哄骗)

-spoof-mac<mac address,prefix,or vendor name>      (MAC地址哄骗)

保存和输出：

-oN                  标准保存

-oX                  XML保存

-oG                 Grop保存

-oA                  保存到所有格式

-v                    输出更详细信息

--packet-trace   跟踪显示每一个扫描数据包

漏洞扫描原理：

1.根据返回的版本信息进行判断漏洞是否存在(若已有226.0版本的漏洞，在226.1版本就还可能有，但有可能在补丁中修复了之前版本的漏洞，还有就是版本信息可以更改)

2.发送漏洞利用参数，根据返回值进行判断

集成漏洞扫描器：

Nessus

WEB扫描：

Awvs                             (针对web扫描)(网站最终运行是在操作系统上)new scan---扫描向导输入URL---Default---1.选择登录序列 2.已知登录名和密码

Appscan                                                                                                 创建新的扫描---常规扫描---输入URL---记录---选择登录序列---Default

数据库漏洞扫描器：

ISS Datebase Scanner

推荐集成漏洞库：www.exploit-db.com