2019-2020-2 20175227张雪莹《网络对抗技术》 Exp5 信息搜集与漏洞扫描

目录

• 基础知识
  • 信息搜集的概念
  • 间接信息搜集
  • 直接信息搜集
• 实验目标
• 实验内容
  • 各种搜索技巧的应用
    • 使用搜索引擎
    • 搜索网址目录结构
    • 检测特定类型的文件
    • 路由侦查
  • DNS IP注册信息的查询
    • whois查询域名注册信息
    • nslookup,dig域名查询
    • IP2Location 地理位置查询
  • 基本的扫描技术：
    • 主机发现
    • 端口扫描
    • OS及服务版本探测
    • 具体服务的查点
  • 漏洞扫描：会扫，会看报告，会查漏洞说明，会修补漏洞
• 老师提问
  • 哪些组织负责DNS，IP的管理？
  • 什么是3R信息？
  • 评价下扫描结果的准确性。
• 所遇到的问题及其解决方法
• 实验感想
• 参考资料

基础知识

信息搜集的概念

• 意义：渗透测试中首先要做的重要事项之一
• 目的：尽可能多的查找关于目标的信息
• 任务：搜集关于目标机器的一切信息
• 方法：间接信息搜集 直接信息搜集 社会工程学

间接信息搜集

• 概念：不接触目标
  • 无物理连接
  • 不访问目标
• 方法：使用第三方信息源
  • DNS记录扫描和枚举
  • CorpWatch、天眼查
  • 搜索引擎子域名搜集器
  • 在线搜索工具：GHDB

直接信息搜集

• 主机扫描
  • 发现网络上的活动主机：MSF模块
• 端口扫描
  • 发现主机上的开放端口：MSF模块
• 版本探测
  • 探测端口上的运行服务： SMB扫描和枚举、SSH 版本扫描和检测、FTP版本扫描、SMTP枚举、SNMP枚举、HTTP扫描
• NMAP
• 漏洞探测
  • 探测服务是否有相应漏洞：OpenVAS
• 社会工程学

返回目录

实验目标

• 掌握信息搜集的最基础技能与常用工具的使用方法。

实验内容

各种搜索技巧的应用

使用搜索引擎

①Google Hacking

• 利用GOOGLE提供的搜索功能查找黑客们想找到的信息。一般是查找网站后台，网管的个人信息，也可以用来查找某人在网络上的活动。
• 使用：
  • 就像实验一中做的一样，左侧边栏选中SHELLCODES可以看到发布的shellcode

②Zoomeye

• ZoomEye是一款针对网络空间的搜索引擎，收录了互联网空间中的设备、网站及其使用的服务或组件等信息。
• 使用：

  • 输入apache +country:"CN"查找中国地区的apache

  • 注意：注册需绑定手机号之后登录，才能看到查询具体信息，可能出于安全考虑。

  • 应该是可以看到各个IP的详细信息，如下图：

• 但是由于我的权限不够就只能看到这样：

• 全球视角中可以看到apache的分布，我的图跟学姐的比起来要少好多蓝点点，是不是因为安全考虑被屏蔽了

搜索网址目录结构

• 使用：
  • 利用msf中的dir_scanner暴力破解，它的原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。
  • 进入msf控制台后输入命令：

use auxiliary/scanner/http/dir_scanner
set THREADS 20
set RHOSTS www.baidu.com
exploit

• 结果如下：

• 返回值均为200表示成功处理了请求。

检测特定类型的文件

• 输入site:edu.cn filetype:xls 身份证号已经查不到啥了，应该百度也意识到这样不好。。。

• 接着输入site:edu.cn filetype:xls ，结果如下：

• 可以查看详细的EXCEL信息如下：

路由侦查

• 使用tracert命令对某网站的经过路由进行侦察：
• 这里我截取了前14条信息：

• 从左到右的5条信息分别代表了
  • “生存时间”（每途经一个路由器结点自增1）
  • “三次发送的ICMP包返回时间”（共计3个，单位为毫秒ms）
  • “途经路由器的IP地址”（如果有主机名，还会包含主机名）。
  • 其中带有星号（*）的信息表示该次ICMP包返回时间超时。

返回目录

DNS IP注册信息的查询

whois查询域名注册信息

• 由于我Windows中已经装过whois，所以在cmd中做的。没装过的你可以在Kali中用一样的命令进行域名信息查询。
  • 输入命令whois cnblogs.com（百度查不到，所以我换成了博客园的），结果如下：
  • 获得了他的IP、域名、子域、服务器位置信息等。

nslookup,dig域名查询

• 由于我Windows中已经装过nslookup，所以在cmd中做的。没装过的你可以在Kali中用一样的命令进行域名信息查询。
• 输入nslookup cnblogs.com，结果如下：
• 有非权威应答结果，是解析服务器缓冲保存的结果，并不是逐级查询域名解析服务器获得的结果

• dig我没在Windows中装过，所以在Kali中做的
• 输入命令dig cnblogs.com，结果如下：
  • 可以看到前两行的版本信息
  • Got answer可以看到从DNS返回的技术信息
  • ANSWER SECTION显示出查询的结果cnblogs.com的IP是101.37.97.51
  • 最后一段默认输出包含了查询的统计数据

IP2Location 地理位置查询

①www.maxmind.com

• 既然刚刚通过dig命令得到了cnblogs.com的IP是101.37.97.51
• 我们现在通过这个网站来查询一下该IP的地址信息，在网页底部搜索IP ，结果如下：
• 发现博客园是阿里巴巴旗下的

②IP-ADDRESS

• 继续对博客园IP进行反向查询，结果如下：
• 可以看到经纬度都查出来了

③shodan

• 通过shodan可以搜索到该IP的地理位置、服务占用端口号，以及提供的服务类型
• 查询博客园，结果如下：
• 可以查到SSL证书信息

返回目录

基本的扫描技术

主机发现

①Ping

• 原理：ping命令用发送ICMP报文的方法检测活跃主机
• 方法：输入命令ping cnblogs.com

②metasploit中的arp_sweep模块和 udp_sweep 模块

• 原理：

arp_sweep和udp_sweep都是metasploit中位于modules/auxiliary/scanner/discovery中的模块。
arp_sweep使用ARP请求枚举本地局域网络中的所有活跃主机；
udp_sweep模块除了可以探测到存活主机之外，还可以获得主机名称信息

• 方法：
  注意：要先将Kali设成桥接模式
  • arp_sweep

use auxiliary/scanner/discovery/arp_sweep //进入arp_sweep 模块
set RHOSTS 192.168.1.0/24 //用set进行hosts主机段设置
set THREADS 27 //加快扫描速度
run //执行run进行扫描

我主机192.168.1.5被扫出来了

• udp_sweep

use auxiliary/scanner/discovery/udp_sweep //进入udp_sweep 模块
show options //查询模块参数
set RHOSTS 192.168.1.0/24 //用set进行hosts主机段设置
set THREADS 27 //加快扫描速度
run //执行run进行扫描

同样的，我的主机也被扫出来了，设备名和MAC地址都出来了。

③Nmap

• Nmap是一个免费的开源（许可证）实用程序，用于网络发现和安全审核。

• 基本命令：

  -sP : nmap 仅对主机进行ping扫描（并不进行端口探测，还有操作系统识别）
  -sS：TCP SYN扫描，可以穿透防火墙；
  -sA：TCP ACK扫描。有时候由于防火墙会导致返回过滤/未过滤端口；
  -sT：TCP connect扫描，最准确，但是很容易被IDS检测到，不推荐；
  -sF/-sX/-sN：扫描特殊的标志位以避开设备或软件的监测；
  -O：启用TCP/IP协议栈的指纹特征信息扫描以获取远程主机的操作系统信息；
  -sV：获取开放服务的版本信息；
  -PA/-PU：分别向目标主机发送ACK/UDP报文进行端口探测。

• 方法：输入命令nmap -sn 192.168.1.0/24探测该网段的活跃主机

我的主机和Kali（192.168.1.17）被扫出来了。

端口扫描

①Nmap

• 原理：见Nmap基本命令
• 方法：输入nmap -PU 192.168.1.0/24

我主机的tcp提供的一些服务及其端口被扫出来了。

②msf中的portscan模块

• 方法：进入msf控制台，然后输入：

use auxiliary/scanner/portscan/tcp //进入模块
set RHOSTS 192.168.1.5 //设置主机段
set THREADS 27 //加快扫描速度
set PORTS 1-1752 //设置端口范围
run //扫描

• 结果如下：

可以看到主机一些打开的端口信息，其中有443端口，是SSL的端口。

OS及服务版本探测

①nmap -O

• 原理：namp -O可以对目标主机的OS进行识别，获取其OS和服务版本等信息。
• 方法：输入命令nmap -O 192.168.1.5

它说我的操作系统是Win XP/7/2012，这个不太对啊

②nmap -sV

• 原理：该命令可以查看目标主机的详细服务信息
• 方法：输入nmap -sV -Pn 192.168.1.5，其中-Pn是在扫描之前，不发送ICMP echo请求测试目标

它说有些数据无法分析出来，让我上传到他说的那个网站试试；不过还是可以看到微软和VM的服务信息。

具体服务的查点

①Telnet服务扫描

• 原理：telnet命令用于登录全程主机并对其管理。
• 方法：进入msf控制台后，输入

use auxiliary/scanner/telnet/telnet_version //进入telnet模块
set RHOSTS 192.168.1.0/24 //设置扫描网段
set THREADS 50 //提高查询速度
run

大多数主机都没有开启这个服务，也有开启的，比较少。

②SMB网络服务扫描

• 原理：提供了 Windows 网络中最常用的远程文件与打印机共享网络服务。
• 方法：进入msf控制台后，输入

use auxiliary/scanner/smb/smb_version //进入telnet模块
set RHOSTS 192.168.1.0/24 //设置扫描网段
set THREADS 50 //提高查询速度
run

③Oracle数据库服务查点

• 原理：大家都知道吧，我就不说了
• 方法：进入msf控制台后，输入

use auxiliary/scanner/oracle/tnslsnr_version //进入telnet模块
set RHOSTS 192.168.1.0/24 //设置扫描网段
set THREADS 50 //提高查询速度
run

返回目录

漏洞扫描

OpenVAS

• 安装
  • 参考学姐的博客，自己的经验是：
    • 无论安装还是运行OpenVAS时都要sudo su进入root，这样不会因为权限问题而导致安装、运行失败。
    • openvas-check-setup遇到问题时，自己试着输一输错误提示后面的FIX中的命令
    • 注意：在OpenVAS初始化的时候，最后会有初始密码出现，如下图，记得保存，账号默认是：admin

• 使用
  • 开启服务：终端中输入openvas-start，它会拉取浏览器进入主页https://127.0.0.1:9392
  • 新建任务：
    • 点击Scans->Tasks。
    • 进入后点击左上角处紫色的烟花，选择Task Wizard新建一个任务向导。
    • 在弹框中输入待扫描主机的IP地址192.168.1.5，点击Start Scans开始扫描。

• 扫描结果如下：
• 点击Name下的名称，查看详细信息

• 点击Scanner下的Full and fast

• 选择第四行Buffer overflow进行分析

• 进入后会发现每个漏洞都标有危险等级，我们选择第一个漏洞来看一下

• Summary处为该漏洞的描述
• 意为：

  该主机运行3CTftpSvc TFTP服务器，容易出现缓冲区溢出漏洞。

• Solution处为该漏洞解决方法。
• 意为：

  自该漏洞被披露以来，至少有一年的时间可以使用已知的解决方案。可能再也不会提供任何援助。通用解决方案选项是升级到一个新版本，禁用各自的特性，删除产品或用另一个产品替换产品。

返回目录

老师提问

哪些组织负责DNS，IP的管理？

• 回答：
  • ICANN（互联网名称与数字地址分配机构）是一个非营利性的国际组织，成立于1998年10月，是一个集合了全球网络界商业、技术及学术各领域专家的非营利性国际组织。
    • 三个支持组织是：
      1. 地址支持组织（ASO）负责IP地址系统的管理。
      2. 域名支持组织（DNSO）负责互联网上的域名系统（DNS）的管理。
      3. 协议支持组织（PSO）负责涉及Internet协议的唯一参数的分配。此协议是允许计算机在因特网上相互交换信息，管理通讯的技术标准。
  • 全球一共有5个地区性注册机构
    • ARIN主要负责北美地区业务
    • RIPE主要负责欧洲地区业务
    • APNIC主要负责亚太地区业务
    • LACNIC主要负责拉丁美洲美洲业务
    • AfriNIC负责非洲地区业务。

什么是3R信息？

• 回答：3R指注册人(Registrant)、注册商(Registrar)、官方注册局(Registry)

评价下扫描结果的准确性。

• 回答：见实验内容

返回目录

所遇到的问题及其解决方法

问题1

• 描述：在安装OpenVAS时，无论更新了源还是安装软件、文件库，仍然提示无法定位软件包
• 解决方法：换了清华、中科大、阿里云的源都不行，最后尝试了浙大的源才成功，如下：

deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free
deb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free

换源方法参考这篇博文

返回目录

实验感想

• 通过做这次实验，还是发现这几年这些搜索引擎啥的功能还在往上走，但是开始注意防范安全攻击了，就是权限不够或是没有进行实名认证就不给你看具体信息。我掌握了信息搜集和漏洞扫描的基本方法，和前几次实验结合起来对网络攻防的认识更加全面了起来，也引起了自己的兴趣。

返回目录

参考资料

• https://www.cnblogs.com/ginvip/p/6365605.html
• https://www.cnblogs.com/xiaolee-tech/p/12373859.html
• https://www.cnblogs.com/besty-zyx/p/10775830.html#16

返回目录