信息搜集与漏洞扫描

1.实践目标

掌握信息搜集的最基础技能与常用工具的使用方法。

2.实践内容

2.1各种搜索技巧的应用

2.1.1使用搜索引擎（google hacking）

在进行渗透测试的过程中，信息收集具有很重要的地位。其中Google hacking是进行信息收集的一个强有效的方法。Google hacking是指使用搜索引擎（不仅仅非要google，百度等也可以，不过不同的搜索引擎也发可能略有不同）对特定网站进行搜索，收集它的信息，以达到快速找到漏洞主机或特定主机的漏洞。一、基础语法：
1、逻辑或（A + B或A OR B） ：搜索引擎查找所有含有关键词A和B的结果，只要内容中有A和B就行。

2、逻辑与（A * B或A AND B） ：搜索引擎会将关键词A和B合起来一起搜索。

3、逻辑非（-A或NOT A）强制搜索引擎的结果不包含A。

4、完整匹配（“A”）：搜索引擎会搜索完整的关键字A。

5、通配符（* ？）：没什么好讲的。

二、进阶语法
1、site：找到与指定网站有联系的url。例：输入"site:baidu.com"，返回所有和这个网站有关的url。

2、intitle：返回所有网页标题中包含关键词的网页。例："intitle:words"，这样网页标题中带有words网页就都会被搜索出来。

3、inurl：搜索包含特定字符的url。例："inurl:words"，可以找到带有words的url。

4、intext：搜索网页正文内容中的指定字符。例："intext:words"，将返回所有在网页正文部分包含words的网页。
5、link：例："link:example.com"，返回所有和 example.com 做了链接的URL。

6、filetype：搜索指定类型的文件。例："site:baidu.com filetype:pdf"，将返回所有百度中以pdf结尾的文件URL。
7、allintitle：用法跟intitle类似，不过可以指定多个关键词。

8、allinurl：用法跟inurl类似，可以指定多个关键词。

9、cache：谷歌会返回它对搜索网站存储的历史页面。例："cache:baidu.com"。

10、info：返回搜索网站的信息。

11、define：返回关键词的定义。
例子如下：

• intext:A 搜索正文中含有关键字A的网页

2.1.2搜索网址目录结构

（1）使用metasploit的 brute_dirs，dir_listing，dir_scanner等辅助模块，用来探测网站的目录结构，便于查找漏洞点。

• dir_scanner模块
  启动msfconsole，输入命令
  use auxiliary/scanner/http/dir_scanner
set THREADS 100
set RHOST www.baidu.com
exploit
  如下图
  

• dir_listing模块
  启动msfconsole，输入命令
  use auxiliary/scanner/http/dir_listing
set THREADS 50
set RHOST www.baidu.com
exploit
  如下图

• brute_dirs模块
  启动msfconsole，输入命令
  use auxiliary/scanner/http/brute_dirs
set THREADS 50
set RHOST www.baidu.com
exploit
  如下图

2.1.3路由侦查

在kali虚拟机中使用traceroute

在windows中使用tracert

其中信息的含义分别为
第一列：生存时间，每途经一个路由器结点自增1。
第二列-第四列：三次发送的ICMP包返回时间，共计3个，单位为毫秒ms。其中带有星号的信息表示该次ICMP包返回时间超时。
第五列：途经路由器的IP地址，如果有主机名，还会包含主机名。
带有星号的信息表示该次ICMP包返回时间超时。

2.2DNS IP注册信息的查询

2.2.1 whois查询

whois 就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商），使用时要去掉www等前缀，因为注册域名时通常会注册一个上层域名，子域名由自身的域名服务器管理，在whois数据库中可能查询不到
下面为使用whois查询sina.com.cn的结果

由上图内容可知DNS注册商为北京新网数码信息技术有限公司，联系邮箱为domainname@staff.sina.com.cn

2.2.2 nslookup查询

可得到DNS解析服务器保存的Cache的结果，但结果可能有误差。

• 使用nslookup命令查询域名对应的IP地址，具体命令如下：
  nslookup sina.com.cn
  结果如下：
  
  由上图所得，返回了三个IP地址123.126.45.205、49.7.37.133、123.125.104.150

2.2.3 dig域名查询

dig查询可从官方DNS服务器上查询精确的结果。
输入命令dig baidu.com

2.2.4 IP2Location地理位置查询

2.3基本的扫描技术：主机发现、端口扫描、OS及服务版本探测、具体服务的查点（以自己主机为目标）

2.3.1主机发现

• 通过ping扫描

• metasploit中的arp_sweep模块
  使用ARP请求枚举本地局域网络中的所有活跃主机
  输入命令
  use auxiliary/scanner/discovery/arp_sweep
show options
set RHOSTS 192.168.42.129/24
set THREADS 50
run

• metasploit中的udp_sweep模块
  用UDP数据包探测，除了可以探测到存活主机之外，还可以获得主机名称信息
  use auxiliary/scanner/discovery/udp_sweep
show options
set RHOSTS 192.168.42.129/24
set THREADS 50
run

• nmap -sn
  扫描本地局域网络中的所有活跃主机
  

2.3.2 端口扫描

• 使用nmap -sP 192.168.157.135对靶机进行ping扫描,如图显示Host is up，表示靶机IP地址活跃。
  

• 使用nmap -sS 192.168.157.135或者nmap -sT 192.168.157.135对靶机进行TCP端口扫描，查看开放的tcp端口如图
  
  

• 使用nmap -sU 192.168.157.135对靶机进行UDP端口扫描，查看开放的udp端口
  

2.3.3OS及服务版本探测

• 使用nmap -O 192.168.157.135对靶机进行操作系统类型和版本扫描，如图显示按可能的操作系统类型的版本
  

• 使用nmap -sV 192.168.157.135对靶机进行服务扫描
  

2.3.4具体服务的查点

• telenet服务扫描
  输入命令
  use auxiliary/scanner/telnet/telnet_version
set RHOSTS 192.168.42.129/24
set THREADS 50
run

• SSH服务扫描
  use auxiliary/scanner/ssh/ssh_version
set RHOSTS 192.168.42.129/24
set THREADS 50
run

• Oracle数据库服务查点
  use auxiliary/scanner/oracle/tnslsnr_version
set RHOSTS 192.168.42.129/24
set THREADS 50
run

2.4漏洞扫描：会扫，会看报告，会查漏洞说明，会修补漏洞（以自己主机为目标）

使用Nessus开源软件对靶机环境进行扫描。
①Nessus下载

• 首先是Nessus开源软件的下载，在Kali内登录官网选择对应的Nessus debian6_amd64.deb进行下载
  

• 使用dpkg -i Nessus-10.1.2-debian6_amd64.deb命令进行解压安装
  

• 根据上一步的提示信息输入/bin/systemctl start nessusd.service启动Nessus服务并查看启动状态
  

• 根据提示登录https://zengyuhan:8834/
  
  

按顺序注册下去
② 使用Nessus对靶机进行扫描

• 新建一个advanced scan输入扫描类型和靶机的IP地址，扫描得到靶机存在的安全漏洞如图
  
  
  
  

• 如图还可以看到相关服务开放的端口（随机选择一高位漏洞截取）
  
  *下面是漏洞解析

1. 0/icmp

多以太网驱动程序帧填充信息公开（Etherleak）

远程主机使用一个网络设备驱动程序，该驱动程序将以太网帧与不同数据包连接起来，这些数据可能来自内核内存、分配给设备驱动程序的系统内存或其网络接口卡上的硬件缓冲区。
被称为“Etherleak”的此信息泄露漏洞可能允许攻击者从受影响的主机收集敏感信息，前提是他与该主机位于同一物理子网中。

2. 7/tcp/echo

Echo Service检测

远程主机正在运行“echo”服务。此服务会回显发送给它的任何数据。该服务目前未被使用，因此强烈建议禁用，因为攻击者可能会利用该服务对该主机发起拒绝服务攻击。

3. 17/udp-tcp/qotd

Quote of the Day (QOTD) Service检测

服务器监听TCP端口17上的TCP连接。一旦建立了一个连接，就会发送一条短消息（接收到的任何数据都会被丢弃）。服务在发送报价后关闭连接。
另一个quote of the day服务被定义为基于UDP的数据报应用程序。服务器监听UDP端口17上的UDP数据报。
当接收到数据报时，将发送包含报价的应答数据报（忽略接收到的数据报中的数据）。
一种简单的攻击是“乒乓球”，IP在运行qotd的两台机器之间欺骗数据包。这将导致它们相互吐出字符，使机器速度减慢，并使网络饱和。

4. 19/udp

Chargen UDP服务远程DoS

联系时，chargen会使用一些随机字符（类似于字母表中的所有字符）。当通过UDP联系时，它将以单个UDP数据包进行响应。当通过TCP联系时，它将继续喷出字符，直到客户端关闭连接。
该服务的目的主要是自行测试TCP/IP协议，以确保所有数据包都未经更改地到达目的地。现在它还未使用，因此建议您禁用它，因为攻击者可能会使用它来攻击此主机，或攻击使用此主机作为中继的第三方主机。
一种简单的攻击是“乒乓”，攻击者在运行chargen的两台机器之间欺骗数据包。这将导致它们相互吐出字符，使机器速度减慢，并使网络饱和。

5. 25/tcp/smtp

ASN.1多个整数溢出（SMTP检查）

远程Windows主机有一个ASN。1个库存在多个整数溢出漏洞。这些问题可能会导致基于堆的缓冲区溢出。远程攻击者可以利用这些问题执行任意代码。此特定检查发送了格式错误的SMTP授权数据包，并确定远程主机未修补。漏洞详情

Windows SMTP错误凭据身份验证绕过

远程SMTP服务器在其身份验证过程中易受漏洞攻击。此漏洞允许任何未经授权的用户成功验证和使用远程SMTP服务器。攻击者可能会利用此漏洞将此SMTP服务器用作垃圾邮件中继。漏洞详情

Windows SMTP服务NTLM空会话授权绕过

通过使用空会话登录，可以对远程SMTP服务进行身份验证。攻击者可能会利用此漏洞将SMTP服务器用作垃圾邮件中继。漏洞详情

Windows SMTP服务格式不正确的BDAT请求远程DoS

通过发送精心编制的“BDAT”请求，可以使远程SMTP服务器失败并重新启动。该服务将自动重新启动，但攻击时建立的所有连接都将被删除。攻击者可能会利用此漏洞降低邮件发送到您网站的效率。漏洞详情

允许SMTP服务明文登录

远程主机正在运行一个SMTP服务器，该服务器播发允许通过未加密的连接进行明文登录。如果使用了不太安全的身份验证机制（即登录或普通身份验证），攻击者可以通过嗅探服务器的流量来发现用户名和密码。

6. 42/tcp/wins

• MS04-035:WINS中的漏洞可能允许远程执行代码

远程Windows Internet命名服务（WINS）易受漏洞攻击，该漏洞可使攻击者在此主机上执行任意代码。要利用此漏洞，攻击者需要在远程主机的端口42上发送精心编制的数据包。漏洞详情

• MS09-039: WINS中的漏洞可能允许远程代码执行

远程主机安装了Windows WINS服务器。此服务器的远程版本有两个漏洞，允许攻击者在远程系统上执行任意代码：
-任何攻击者都可以利用一个堆溢出漏洞。
-WINS复制伙伴可以利用一个整数溢出漏洞。
攻击者可能会利用这些漏洞以系统权限在远程系统上执行任意代码。漏洞详情

7. 53/udp/dns

DNS服务器反向查询缓冲区过度读取

在远程主机上运行的Microsoft DNS服务器已启用反向查询功能。dns.exe!answerIQuery()受到缓冲区过度读取错误的影响，未能正确解析反向查询数据包中的资源记录。未经验证的远程攻击者可以利用此漏洞造成拒绝服务或泄露信息。漏洞详情

8. 80/tcp/www

微软FrontPage 2000 服务器扩展软件包缓冲区溢出漏洞

微软FrontPage 2000 服务器扩展软件包中带了一个动态链接库fp30reg.dll，它存在缓冲区溢出漏洞。当向fp30reg.dll提交一个包含超过258字节的长URL请求时，将触发基于堆栈的缓冲区溢出。成功地利用这个漏洞，攻击者可以在被攻击的主机上远程执行任意代码。漏洞详情

Microsoft IIS 6.0不支持的版本检测

根据其自行报告的版本号，不再支持在远程主机上安装Microsoft Internet Information Services（IIS）6.0。缺乏支持意味着供应商不会发布产品的新安全补丁。因此，它可能包含安全漏洞。

Microsoft IIS Unicode远程命令执行

尚未应用“Web服务器文件请求解析”问题的修补程序。此漏洞允许攻击者使远程IIS服务器执行任意命令。

• MS01-023：Microsoft IIS 5.0格式不正确的HTTP打印机请求头远程缓冲区溢出

IIS web服务器的远程版本包含一个漏洞，攻击者可能会利用该漏洞在远程系统上执行任意代码。要利用此漏洞，攻击者需要向远程主机发送恶意HTTP/1.1请求。漏洞详情

• MS01-026/MS01-044：Microsoft IIS远程命令执行

当IIS收到用户运行脚本的请求时，它会以解码的规范形式呈现请求，然后对解码的请求执行安全检查。由于在初始安全检查完成后执行了第二次多余的解码过程，因此会产生漏洞。因此，精心编制的请求可能会允许攻击者在IIS服务器上执行任意命令。MS01-026详情MS01-044详情

• MS00-006: Microsoft IIS IDA/IDQ Multiple Vulnerabilities

IIS的远程版本受到两个漏洞的影响：-信息泄露问题允许远程攻击者通过请求不存在的文件来获取文档根目录的真实路径名。艾达或者。idq扩展。
-WebHits组件中的参数验证问题使远程攻击者能够读取远程服务器上的任意文件。
据报道，路径泄露问题也会影响Microsoft Index Server。

• MS01-023：Microsoft IIS 5.0格式不正确的HTTP打印机请求头远程缓冲区溢出

IIS web服务器的远程版本包含一个漏洞，攻击者可能会利用该漏洞在远程系统上执行任意代码。要利用此漏洞，攻击者需要向远程主机发送恶意HTTP/1.1请求。

不支持的Web服务器检测

根据其版本，远程web服务器已经过时，不再由其供应商或提供商维护。缺乏支持意味着供应商不会发布产品的新安全补丁。因此，它可能包含安全漏洞。

FrontPage扩展检查

远程web服务器似乎正在使用FrontPage扩展运行。FrontPage允许远程web开发人员和管理员从远程位置修改web内容。虽然这是内部局域网上相当典型的情况，但FrontPage扩展不应通过互联网（或任何其他不受信任的第三方网络）提供给匿名用户。

Microsoft IIS shtml.dll XSS

远程web服务器上运行的FrontPage扩展版本受shtml中的跨站点脚本（XSS）漏洞影响。dll，因为文件名验证不正确。未经验证的远程攻击者可以通过说服用户遵循精心编制的URL，在用户的浏览器会话中执行任意脚本代码，利用此漏洞进行攻击。

允许使用HTTP跟踪/跟踪方法

远程web服务器支持跟踪和/或跟踪方法。TRACE和TRACK是用于调试web服务器连接的HTTP方法。

SMB使用主机SID枚举没有凭据的本地用户

Windows 2000（SP1未修补）中存在一个严重漏洞，允许攻击者查看ASP/ASA源代码，而不是已处理的文件。SP源代码可能包含敏感信息，例如ODBC连接的用户名和密码。

Microsoft IIS存在多个漏洞

此IIS服务器似乎容易受到MS02-018中描述的跨站点脚本攻击之一的攻击。IIS返回的默认“404”文件使用脚本输出指向所请求url的顶级域部分的链接。通过创建特定的URL，可以在页面中插入任意脚本以执行。
此漏洞的存在还表明您易受MS02-018中确定的其他问题（各种远程缓冲区溢出和跨站点脚本攻击）的攻击

9. 119/tcp/nntp

• MS04-036：NNTP中的漏洞可能允许远程执行代码
  远程主机运行的Microsoft NNTP server容易出现缓冲区溢出问题。攻击者可以利用此漏洞以NNTP服务器进程的权限在远程主机上执行任意命令。

10. 135/tcp/epmap

• MS04-012：Microsoft RPC/DCOM的累积更新

远程主机的RPC/DCOM实现中存在多个错误。攻击者可以利用其中一个漏洞在远程系统上执行任意代码。

11. 161/udp/snmp

SNMP代理默认社区名称

可以获取远程SNMP服务器的默认社区名称。攻击者可以使用此信息获取有关远程主机的更多信息，或更改远程系统的配置（如果默认社区允许进行此类修改）。

12. 135/udp

• MS03-043: Messenger Service中的缓冲区溢出可能允许执行代码

Messenger Service中存在允许在受影响的系统上执行任意代码的安全漏洞。成功利用此漏洞的攻击者可以在受影响的系统上以本地系统权限运行代码，或者可能导致Messenger服务失败。禁用Messenger服务将防止攻击的可能性。

13. 445/tcp/cif

• MS03-026：RPC接口中的缓冲区溢出可能允许执行代码

Windows的远程版本在其RPC接口中的函数RemoteActivation（）中包含一个漏洞，该漏洞可能允许攻击者以系统权限在远程主机上执行任意代码。已知一系列蠕虫会利用此漏洞。

• MS03-039：RPCSS服务中的缓冲区溢出可能允许执行代码

远程主机运行的Windows版本在其RPC接口中存在缺陷，这可能允许攻击者执行任意代码并获得系统权限。攻击者或蠕虫可能会利用它来控制此主机。请注意，这与MS03-026中描述的错误不同，MS03-026修复了“MSBlast”（或LoveSan）蠕虫利用的漏洞。

• MS05-027: SMB中存在允许远程代码执行的漏洞

Windows的远程版本在服务器消息块（SMB）实现中包含一个漏洞，该漏洞可能允许攻击者在远程主机上执行任意代码。攻击者无需经过身份验证即可利用此漏洞进行攻击。

• MS05-039: Plug and Play Service中存在允许远程代码执行的漏洞

Windows的远程版本在即插即用服务中的函数“PNP_QueryResConfList()”中包含一个漏洞，该漏洞可能允许攻击者以系统权限在远程主机上执行任意代码。已知一系列蠕虫利用这种漏洞。

• MS05-043: Printer Spooler Service中存在允许远程代码执行的漏洞

远程主机包含一个版本的后台打印程序服务，该服务可能允许攻击者在远程主机上执行代码或使后台打印程序服务崩溃。攻击者可以通过空会话在远程主机上执行代码：Windows 2000；攻击者可以通过空会话使远程服务崩溃：Windows 2000-Windows XP SP1；攻击者需要有效凭据才能使服务崩溃：Windows 2003-Windows XP SP2 。

• MS05-046: NetWare 客户端服务中的漏洞可能允许远程执行代码

远程主机包含易受缓冲区溢出攻击的NetWare客户端服务版本。攻击者可以通过连接到NetWare RPC服务（可能通过IP）并通过发送格式错误的RPC请求触发溢出来攻击此漏洞。

• MS05-047: Plug and Play Service中的漏洞可能允许远程执行代码和本地特权提升

远程主机包含的即插即用服务版本在处理用户提供的数据时存在漏洞。经过身份验证的攻击者可以通过向远程服务发送格式错误的RPC请求并以系统权限执行代码来利用此漏洞。请注意，如果缺少MS05-039修补程序，则不需要针对Windows 2000进行身份验证。

• MS06-040: Server Service中存在允许远程代码执行的漏洞

远程主机易受“Server”服务中缓冲区溢出的攻击，这可能使攻击者能够以“系统”权限在远程主机上执行任意代码。

• MS09-001: Microsoft Windows SMB漏洞远程代码执行

远程主机受到SMB中内存损坏漏洞的影响，该漏洞可能允许攻击者对远程主机执行任意代码或拒绝服务。

• MS04-007: ASN.1漏洞可能允许代码执行

远程Windows主机有一个ASN.1个库，允许攻击者在此主机上执行任意代码。要利用此漏洞，攻击者需要发送精心编制的ASN。1个不正确公布长度的编码数据包。此特定检查发送了一个格式错误的NTLM数据包，并确定远程主机未修补。

• MS04-011: Microsoft Windows的安全更新

Windows的远程版本在本地安全授权服务器服务（LSASS）的函数“DSROLERUPGRADEONDLEVELSERVER”中包含一个漏洞，该漏洞允许攻击者以系统权限在远程主机上执行任意代码。已知一系列蠕虫利用此漏洞。

• MS17-010: Microsoft Windows SMB服务器的安全更新(永恒之蓝、永恒冠军、永恒浪漫、永恒协作、WannaCry、永恒之石、Petya)

远程Windows主机受以下漏洞影响：
由于对某些请求的不当处理，Microsoft Server Message Block 1.0（SMBv1）中存在信息泄露漏洞。未经身份验证的远程攻击者可以通过精心编制的数据包利用此漏洞泄露敏感信息。
永恒之蓝、永恒冠军、永恒浪漫和永恒协作是一个名为影子经纪人的组织于2017/04/14披露的多个等式组漏洞和利用漏洞中的四个。WannaCry/WannaCrypt是一个利用永恒之蓝漏洞的勒索软件程序，永恒之石是一个利用七个等式组漏洞的蠕虫。Petya是一个勒索软件程序，首先利用Microsoft Office中的漏洞CVE-2017-0199，然后通过永恒蓝传播。

• MS02-045：Windows SMB协议SMB_COM_事务数据包远程溢出DoS

远程主机在其SMB堆栈中容易受到拒绝服务攻击。攻击者可以利用此漏洞远程使远程主机崩溃，而无需任何身份验证。

• MS06-035：Server Service中存在允许远程代码执行的漏洞

远程主机易受“服务器”服务中堆溢出的攻击，这可能使攻击者能够以“系统”权限在远程主机上执行任意代码。除此之外，远程主机还受到SMB中的信息泄露漏洞的影响，该漏洞可能允许攻击者获取远程主机的部分内存。

Windows SMB空会话身份验证

远程主机正在运行Microsoft Windows。可以使用空会话（即没有登录名或密码）登录。根据配置，未经验证的远程攻击者可能会利用此问题获取有关远程主机的信息。

Windows EFSRPC NTLM反射权限提升

远程主机受到名为“PetitPotam”的NTLM反射权限提升漏洞的影响。未经验证的远程攻击者可以通过发送精心编制的EFSRPC请求，利用此漏洞，使受影响的主机连接到恶意服务器。然后，攻击者可以利用NTLM中继模拟目标主机并针对远程服务进行身份验证。
KB5005413中描述的一种攻击场景使用此漏洞作为域控制器的计算机帐户启动NTLM会话。然后将该会话中继到Active Directory证书服务（AD CS）主机以获取证书。然后可以使用该证书在域环境中横向移动。

Windows SMB LsaQueryInformationPolicy Function SID Enumeration Without Credentials

通过模拟对LsaQueryInformationPolicy（）的调用，可以在没有凭据的情况下获取主机SID（安全标识符）。然后可以使用主机SID获取本地用户列表。

Windows SMB svcctl MSRPC Interface SCM Service Enumeration

通过连接到\srvsvc管道并绑定到事件日志服务OpenEventLog（），可以匿名读取远程Windows 2000主机的事件日志。攻击者可能会利用此漏洞匿名读取远程主机的系统日志。由于系统日志通常包含有价值的信息，攻击者可能会利用它们对远程主机执行更好的攻击。

Windows SMB服务枚举通过\srvsvc

此插件连接到\srvsvc（而不是\svcctl），以枚举在空会话上远程主机上运行的服务列表。攻击者可以使用此功能更好地了解远程主机。

不需要SMB签名

远程SMB服务器上不需要签名。未经验证的远程攻击者可以利用此漏洞对SMB服务器进行中间人攻击。

SMB使用主机SID枚举没有凭据的本地用户

使用主机安全标识符（SID），Nessus能够枚举远程Windows系统上的本地用户，而无需凭据。

14. 1025/tcp/dce-rpc

• MS05-051: MSDTC 和 COM+ 中的漏洞可能允许远程执行代码

Windows的远程版本包含一个版本的MSDTC（Microsoft Data Transaction Coordinator）服务，该服务存在多个远程代码执行、本地权限提升和拒绝服务漏洞。攻击者可以利用这些缺陷获得对远程主机的完全控制。

• MS06-018: Microsoft 分布式事务处理协调器中的漏洞可能允许拒绝服务

Windows的远程版本包含一个版本的MSDTC（Microsoft Data Transaction Coordinator）服务，该服务受多个远程代码执行和拒绝服务漏洞的影响。攻击者可以利用这些缺陷获得对远程主机（2000，NT4）的完全控制或使远程服务崩溃（XP，2003）。

15. 1031/tcp/dce rpc

• MS04-022：任务计划程序中的漏洞可能允许执行代码

任务计划程序应用程序中存在一个漏洞，允许远程攻击者远程执行代码。此漏洞有许多攻击向量。利用此漏洞的攻击者需要能够连接到目标计算机，或者能够强制本地用户安装。作业文件或浏览到恶意网站。

16. 1755/tcp/ms-streaming

• MS10-025：Media Services中存在允许远程代码执行的漏洞

远程主机上运行的Windows Media Services的版本受到单播服务组件中基于堆栈的缓冲区溢出情况的影响，原因是对用户提供的输入进行了不正确的清理。未经验证的远程攻击者可以通过特制的传输信息包利用此漏洞执行任意代码。

17. 2103/tcp/dce-rpc

• MS07-065: 消息队列中存在允许远程代码执行的漏洞

Windows的远程版本受Microsoft消息队列服务（MSMQ）中的漏洞影响。攻击者可以利用此漏洞以系统权限在远程主机上执行任意代码。

• MS08-065: Microsoft Windows消息队列服务RPC请求处理远程代码执行

Windows的远程版本受其Microsoft消息队列服务（MSMQ）中的漏洞影响。攻击者可以利用此漏洞以系统权限在远程主机上执行任意代码。

18. 3389 / tcp / msrdp

• MS12-020：远程桌面中存在允许远程代码执行的漏洞

远程Windows主机上的远程桌面协议（RDP）实现中存在任意远程代码漏洞。该漏洞是由于RDP访问内存中未正确初始化或已删除的对象的方式造成的。如果已在受影响的系统上启用RDP，未经身份验证的远程攻击者可能会利用此漏洞，通过向系统发送一系列精心编制的RDP数据包，使系统执行任意代码。此插件还检查Microsoft终端服务器中是否存在拒绝服务漏洞。如果启用了“仅允许从运行网络级身份验证的远程桌面的计算机进行连接”设置，或者远程主机上的安全层设置为“SSL（TLS 1.0）”，则此脚本不会检测到该漏洞。漏洞详情

Windows远程桌面协议服务器中间人弱点

远程桌面协议服务器（终端服务）的远程版本易受中间人（MiTM）攻击。在设置加密时，RDP客户端不需要验证服务器的身份。能够拦截来自RDP服务器的流量的攻击者可以在不被检测的情况下与客户端和服务器建立加密。这种性质的MiTM攻击将允许攻击者获取传输的任何敏感信息，包括身份验证凭据。
此漏洞的存在是因为RDP服务器在mstlsapi中存储了硬编码的RSA私钥。dll库。任何有权访问此文件的本地用户（在任何Windows系统上）都可以检索密钥并将其用于此攻击。

终端服务加密级别为中或低

远程终端服务未配置为使用强加密。在该服务中使用弱加密技术可能会使攻击者更容易窃听通信，并获得截图和/或击键。

终端服务不仅仅使用网络级身份验证（NLA）

远程终端服务未配置为仅使用网络级身份验证（NLA）。NLA使用凭证安全支持提供商（CredSSP）协议，通过TLS/SSL或Kerberos机制执行强大的服务器身份验证，以防止中间人攻击。除了改进身份验证，NLA还通过在建立完整的RDP连接之前完成用户身份验证，帮助保护远程计算机免受恶意用户和软件的攻击。

19.3389 / tcp / msrdp

终端服务加密级别不符合FIPS-140。远程终端服务使用的加密设置不符合FIPS-140。

3.报告内容

3.1实验后回答问题

（1）哪些组织负责DNS，IP的管理。

全球根服务器均由美国政府授权的ICANN统一管理，负责全球的域名根服务器、DNS和IP地址管理。

全球一共有5个地区性注册机构：其中ARIN主要负责北美地区业务，RIPE主要负责欧洲地区业务，APNIC主要负责亚太地区业务，LACNIC主要负责拉丁美洲美洲业务，AfriNIC负责非洲地区业务。

（2）什么是3R信息。

注册人(Registrant) 、注册商(Registrar) 、官方注册局(Registry)

（3）评价下扫描结果的准确性。

扫描结果还算准确，但并不是所有扫描都能得出准确结果。

3.2实验总结与体会

本次试验花费时间较长虽然总体难度不算大，但中途却不断出现一些小问题耽误进度。。但同样的，本次实验我也学到了很多东西，做完实验能很明显感觉到自己相关知识的增长。在做完一系列实验后我同样发现当前时代信息泄露的不可避免性，大量个人信息能在网络上轻松获取，我们有必要加强对于网络信息保管的重视程度。