教材内容总结
网络嗅探
- 网络嗅探的定义:网络嗅探是一种黑客的窃听技术,嗅探器通过捕获经过封包处理的二进制数据,再结合网络协议分析技术,恢复出相应信息。
- 在交换式网络中,实现嗅探的方式有:
- MAC地址洪泛攻击
- MAC欺骗
- ARP欺骗
- Linux平台的网络嗅探技术主要通过内核态的BPF和用户态的libpcap抓包工具库实现
- windows系统中网络嗅探技术的实现需要与BPF模块兼容的NPF。它可以过滤数据包,并将这些数据包原封不动的传给用户态模块。
- 类Unix系统中的网络嗅探器软件
- libpcap抓包开发库
- tcpdump嗅探器软件
- wireshark嗅探器软件
- 其他嗅探器软件
- 网络嗅探的检测与防范
- 采用安全的网络拓扑,尽量使用交换式网络,通过交换机上设置VLAN等技术手段,对网络进行合理的分段
- 用静态ARP或者MAC-端口映射表代替动态机制
- 重视网络数据传输的集中位置点的安全防范
- 避免使用明文传输口令或敏感信息的网络协议
网络协议分析
- 定义:网络协议分析,是指网络嗅探器进一步解析与理解捕获数据包必须的技术手段。通过对原始报文内容的还原,得出各个协议层上的协议格式及其内容,以及在应用层传输的实际数据
- 网络协议分析的几个步骤
- 从链路层获取二进制数据包,大多数情况下是以太网数据帧
- 根据帧头的Type字段确定网络层协议类型,并提取其中包含的网络层数据内容
- 进一步对IP数据包进行分析,确定传输层协议类型(TCP或UDP),并提取其中的传输层数据内容
- 根据TCP或UDP的目标端口确定具体的应用层协议,并对TCP或UDP数据包进行拼接重组,得到应用层特定协议的应用交互内容
- 根据相应的应用层协议对数据进行整合恢复,得到实际传输的数据。
- 网络协议分析的技术实现
- 解析以太网数据帧
- 解析IP数据包
- 解析TCP数据包
- 网络协议分析工具wireshark
- wireshark:wireshark是一款开源的网络数据包分析工具,其主要作用是捕获网络数据包,并对其进行协议分析。
kali视频学习(11——15)
openvas的使用
首先先确定靶机可以ping通,然后在openvas界面中添加一个新的目标,点击new target,如下
在name和manual里面输入目标主机的IP地址,其他保持默认即可。创建完成后会在target当中显示如下
创建好目标了,下一步就是新建扫描任务,点击Scan Management——New Task,随意起一个名字,然后IP地址是正确的即可,其他均默认
主界面显示ok
下面就是扫描的详细信息
扫描结束之后还可以生成报告,操作很简单。
kali中的其他扫描工具
Golismero
golismero含有多种插件,输入如下命令可以查看插件列表
使用scan命令扫描靶机,如下
Nikto.pl
Nikto是一款开源的网页服务扫描器,它可以对网页服务进行多种扫描。用如下命令可以扫描靶机
扫描出的漏洞信息如下
Lynis系统信息收集整理工具
这个工具是对Linux详细配置等信息进行枚举收集,生成易懂的报告文件,使用如下
为了避免交互,可以在末尾添加-Q,枚举出的系统信息如下
检查一些目录是否存在
查看一些服务和内核的信息
unix-privesc-check
这个工具是一个类似lynis的工具。使用如下命令查看安全设置
包括record hostname,uname,ip信息,是否存在/etc/password,一些可写的配置文件,/etc/shadow是否可读等等信息
web爬行
针对WEB网站的扫描,往往需要对网站路径,页面,账户等进行枚举,这就需要用到web安全中的爬行工具,kali中的web爬行工具如下
kali中的字典存放于/usr/share/wordlist中,便于调用
apache-users
这个工具是枚举apache存在着哪些账号。命令行中,-h加上目标主机的IP地址,-l是加一个用户名的字典,这里使用的是dirbuster中的apache-user-enum-2.0,-p指定端口号,-s看是否有ssl支持,0表示没有。-e表示返回的状态码,-t参数指定线程,比如10个进程
cutycapt
这个工具是用来截图的,使用方法如下
这会生成一个图片在当前目录下面
DIRB
一个强大的web目录扫描工具,命令行输入dirb可以得到下面的使用示例
dirbuster
这是kali下的图形化web目录扫描器,拥有直观的的扫描结果
vega
kali下的一个web漏洞扫描器
只需要点scan,输入ip地址即可扫描
webslayer
主要用于爆破攻击
这个工具在web中间代理的章节再做介绍
WEB漏洞扫描
cadaver
这个工具是一个用来浏览和修改WebDAV共享的Unix命令行程序。这种工具就是以一种客户端,命令行的格式链接webdav
DAVtest
测试对支持WebDAV的服务器上传文件等
语法:davtest -url http://222.28.136.226/dav/
deblaze
针对FLASH远程调用等的枚举,一般在xss或者较深入的web安全中可能会用到
Fimap
文件包含漏洞利用工具
Grabber
Grabber是一个WEB应用漏洞扫描器,可以指定扫描漏洞类型结合爬虫对网站进行安全扫描
joomscan
类似于Wpscan的扫描器,针对特定CMS
SkipFish
skipfish是谷歌出品的一款自动化的网络安全扫描工具,与Nikto,Nessus等工具有相似的功能。它的语法如下:
执行完之后开始发包扫描
扫描结束之后,打开之前创建的report123目录,在目录下找到index.html文件,用浏览器打开,就可以看到这个页面
uniscan
这个工具可以勾选一些选项,然后加上url,然后直接开始扫描就行了
W3AF
w3af是一个web应用程序攻击和检查框架,包括检查网站爬虫,SQL注入,跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等。该项目的目标是要建立一个框架,以寻找和开发web应用安全漏洞,所以很容易使用和扩展
wapiti
wapiti的工作方式与nikto类似,也采用黑盒的方式主动对被测web应用进行扫描,寻找其中潜在的安全缺陷。
它扫描的方式就是,python wapiti.py http://www.xxxxxx.com -v 2
webshag
一个综合性的调用框架,可以调用Nmap,UScan,信息收集,爬虫等功能,是扫描过程更简单
websploit
主要用于远程扫描和分析系统漏洞,使用它可以非常容易和快速发现系统中存在的问题,并用于深入分析
wireshark的使用
首先是wireshark的界面,在interface list 中选取etho这块网卡,点击Start,即可开始抓包。
从左向右,第一列是编号,第二列是抓包的时间。第三列是所抓报文的源,源地址若是二层报文,则显示的是MAC地址,如果是三层以上的报文,会显示一个IP地址。第四列是目标,同第三列相同,要么是目标MAC,要么是目标IP。第五列是报文的协议。最后一列是关于报文信息的描述。
我们随便点击一个,ARP请求报文,可以看到底部有如下图所示的详细信息。
可以看到,它的目标mac是全f,源mac是00:e0:4c:68:01:20,等等其他的信息
再下面就是报文中的原始字段,为16进制表示。点击就可以看到中间栏中对该字段的解释。
接下来就是wireshark的一个很强大的报文过滤功能。,例如需要按照协议来过滤,只需要在filter中输入协议名称即可
如果想按照目标地址进行过滤,就在filter中输入ip.dst==222.28.136.223,即可筛选出,如下图
需要按照源地址进行过滤,就用如下的操作命令
也可以根据端口号进行过滤,比如需要过滤80端口的数据,就这样输入
需要过滤二层报文,输入的条件需要为eth.addr==mac地址
三层报文的过滤是ip.addr
如果需要搜索更复杂的条件,就需要使用逻辑表达式来进行搜索,常用的逻辑表达式有三种,分别是与,或,非。
例如,我们想同时显示ARP报文或HTTP报文,则用or连接即可
例如,我们想过滤一个源ip是222.28.136.223,同时还是TCP协议的报文,只需使用and连接
例如,我们想显示除ip报文以外的所有报文,就要用到非。
这些表达式也可以组合运用,就不再演示了。
然后就是wireshark另一个很强大的功能——流分析
首先我们打开wireshark开始抓包,然后用telnet命令去查看靶机222.28.136.226,这时telnet的过程就被全部捕捉到了。我们用之前介绍的过滤功能来查看捕捉到的内容
这时,我们点击Analyze——Follow TCP Stream,弹出如下窗口
其中蓝色字段显示的是远程主机回显的数据,红色部分表示我们输入的部分,其中可以看到我们输入的密码等许多信息。
通过这个例子可以看出,telnet是一种明文的传输方式。不够安全。
wireshark可以根据我们产生的一个完整的流来做一些分析,甚至包括用户名密码等字段。