2018-2019-2 网络对抗技术 20165216 Exp6 Exp6 信息搜集与漏洞扫描

2018-2019-2 网络对抗技术 20165216 Exp6 Exp6 信息搜集与漏洞扫描

---

1.1实验内容概述

掌握信息搜集的最基础技能与常用工具的使用方法。

• 各种搜索技巧的应用
• DNS IP注册信息的查询
• 基本的扫描技术：主机发现、端口扫描、OS及服务版本探测、具体服务的查点（以自己主机为目标）
• 漏洞扫描：会扫，会看报告，会查漏洞说明，会修补漏洞（以自己主机为目标）

/ 大家做的时候可以根据个人兴趣有轻有重 /

1.2.基础问题回答

（1）哪些组织负责DNS，IP的管理。

• 全球根服务器均由美国政府授权的ICANN统一管理，负责全球的域名根服务器、DNS和IP地址管理。
• 全球根域名服务器：绝大多数在欧洲和北美（全球13台，用A~M编号），中国仅拥有镜像服务器（备份）。
• 全球一共有5个地区性注册机构：ARIN主要负责北美地区业务，RIPE主要负责欧洲地区业务，APNIC主要负责亚太地区业务，LACNIC主要负责拉丁美洲美洲业务,AfriNIC负责非洲地区业务。

(2)什么是3R信息.

• 3R即注册人(Registrant)、注册商(Registrar)、官方注册局(Registry)
• 3R注册信息分散在官方注册局或注册商各自维护数据库中，官方注册局一般会提供注册商和Referral URL信息，具体注册信息一般位于注册商数据库中。

（3）评价下扫描的准确性

扫描解决与网络环境有关，与防火墙有关，且很多扫描结果都不全面，甚至不准确，精确使用不足，但足够参考。

---

实践过程

2. 外围信息收集

2.1通过DNS和IP挖掘目标网站的信息

• 使用"whois"命令查询域名注册信息
  / 注意：进行whois查询时去掉www等前缀，因为注册域名时通常会注册一个上层域名，子域名由自身的域名服务器管理，在whois数据库中可能查询不到。 /
• kali终端输入whois baidu.com
• 结果如下：
• 我们可以从中找到3R信息！
• 结果如下

2.2nslookup

• nslookup可以得到DNS解析服务器保存的Cache的结果，但并不是一定准确的。
• 终端输入 nslookup baidu.com
• 结果如下：
• 搜索结果的二个IP都是可以直接连接上百度的，在浏览器输入下面IP中的任意一个都可以进入百度首页

原因分析

1个网站是可以拥有多个IP的，IP可能是做到转发的功能，一个网址可以有多个转发IP，转发IP不是最终的IP地址，需要跳转，这样我们看起来就是一个网址多个IP了
/ 一个主机也可以有多个IP /

2.3 dig

• dig可以从官方DNS服务器上查询精确的结果。
• dig @dns.baidu.com
• 结果如图：
  / 自己主机的DNS服务器可以cmd 运行 ipconfig/all /

2.4 https://www.maxmind.com/en/home

• 进入网址https://www.maxmind.com/en/home
• 输入IP地址
• 结果如图

2.5 搜索网址目录结构

• 原理：暴力破解一般就是指穷举法，它的原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。因为理论上来说，只要字典足够庞大，枚举总是能够成功的！（本实验以dir_scanner模块为例，获取网站目录结构）
• msfconsole
• use auxiliary/scanner/http/dir_scanner
• set THREADS 20
• set RHOSTS www.baidu.com
• exploit
• 结果如下：

2.6检测特定类型的文件

• filetype 能对搜索结果的文件类型进行限定，格式为“检索词 filetype:文件类型”
• • 能在检索结果中获取检索词的补集，格式为“检索词 -词语”
• site能限制检索结果的来源，格式为“检索词 site:限制域名”（不要在“:”后的域名中输入“http:”和“www.”）
• inurl能在网址中进行搜索，格式为“检索词inurl:检索词”
• |表示布尔逻辑中的或者（or）关系，使用格式为“关键词1 | 关键词2”
• 空格表示布尔逻辑中的交集（and）关系，使用格式为“关键词1 关键词2”
• 高级搜索
• 使用site:gov.cn filetype:xls
• 随便点击一个进入
• 结果如下：

2.7使用traceroute命令进行路由侦查

• traceroute baidu.com
• 结果如图：

2.8 IP2反域名查询

• shodan搜索引擎可以进行反域名查询，可以搜索到该IP的地理位置、服务占用端口号，以及提供的服务类型.
• 地址

3.主机探测和端口扫描

3.1主机探测

• ICMP Ping命令 如：Ping www.baidu.com
• 使用netdiscover探测私有网段存活主机：

/ netdiscover是基于ARP的网络扫描工具。ARP是将IP地址转化物理地址的网络协议。通过该协议，可以判断某个IP地址是否被使用，从而发现网络中存活的主机。Kali Linux提供的netdiscover工具，就是借助该协议实施主机发现。它既可以以被动模式嗅探存活的主机，也可以以主动模式扫描主机。用户还可以根据网络稳定性，调整发包速度和数量。 /

• 结果如下
• metasploit中的模块
• 位于modules/auxiliary/scanner/discovery 主要有 arp_sweep, ipv6_multicast_ping, ipv6_neighbor, ipv6_neighbor_router_advertisement, udp_probe，udp_sweep.
  arp_sweep 使用ARP请求枚举本地局域网的活跃主机，即ARP扫描器
  udp_sweep 使用UDP数据包探测。
• msfconsole
• use auxiliary/scanner/discovery/arp_sweep //进入arp_sweep 模块
• set RHOSTS 192.168.1.125 //用set进行hosts主机段设置
• set THREADS 50 //加快扫描速度
• run //执行run进行扫描
• 结果如下：

nmap -sn

• 关于nmap
  • -sS：TCP SYN扫描，可以穿透防火墙；
  • -sA：TCP ACK扫描。有时候由于防火墙会导致返回过滤/未过滤端口；
  • -sP：发送ICMP echo探测；
  • -sT：TCP connect扫描，最准确，但是很容易被IDS检测到，不推荐；
  • -sF/-sX/-sN：扫描特殊的标志位以避开设备或软件的监测；
  • -O：启用TCP/IP协议栈的指纹特征信息扫描以获取远程主机的操作系统信息；
  • -sV：获取开放服务的版本信息；
• nmap -sn可以用来探测某网段的活跃主机
• 输入 nmap -sn 192.168.1.125
• 结果如下：

端口扫描

• 原理：nmap -PU参数是对UDP端口进行探测，与udp_sweep模块功能相同。
• 输入 nmap -PU 10.1.1.0/24
• 结果如下：

版本探测

• nmap -O 让Nmap对目标的操作系统进行识别，获取目标机的操作系统和服务版本等信息
• nmap -O 10.1.1.149
• 结果如下

nmap -sV

• 原理：nmap -sV查看目标主机的详细服务信息
• 输入命令nmap -sV -Pn 192.168.1.125，其中-Pn是在扫描之前，不发送ICMP echo请求测试目标
• 结果如下：

具体服务的查点

/metasploit中有许多相关工具，大部分都在Scanner辅助模块，常以[service_name]_version（用以遍历主机，确定服务版本）和[service_name]_login（进行口令探测攻击）命名。 /

Telnet服务扫描

• telnet命令用于登录远程主机,对远程主机进行管理。
• msfconsole

SSH服务

• SSH（“安全外壳”）协议是用于从一个系统安全远程登录到另一个的方法。用户通过客户端 - 服务器架构格式的不安全网络使用安全通道，用于将SSH客户端与SSH服务器连接起来。
• msfconsole
• use auxiliary/scanner/ssh/ssh_version //进入ssh模块
• set RHOSTS 192.168.1.125 //扫描网段
• set THREADS 50 //提高查询速度
• run

漏洞扫描

• 打开OpenVAS扫描本机
• 扫描完成后可以看到有一个中危漏洞
• 我们点进去看下
• 发现这些端口都存在可能执行的代码
• 解决方法是关闭端口，如下：

实验总结与体会

本次实验是渗透测试中的最基础，帮助我们掌握目标主机更多信息，可以更高效率的进行测试，对于漏洞扫描的报告，帮助我们更多地了解漏洞可能存在的危害，之中还有很多属于未知的，值得我们警惕。