一、实验目标
掌握信息搜集的最基础技能与常用工具的使用方法。
二、预备知识
网络信息收集方式
- 网络踩点(Footprinting)
- Web搜索与挖掘:ZoomEye
- DNS和IP查询:
nslookup/dig
、ping
和WHOIS查询
- 网络拓扑侦察
Traceroute
- 网络查点( Enumeration)
- 旗标抓取
- 网络服务查点
- 网络扫描(Scanning)
- 主机扫描:
auxiliary/scanner/discovery
- 端口扫描:
auxiliary/scanner/portscan
- 系统类型探查:
nmap -O
- 漏洞扫描:OpenVAS漏洞扫描器
- 社会工程学
类似于被动信息收集,主要是针对人为错误,信息以打印输出、电话交谈、电子邮件等形式泄露
OpenVAS漏洞扫描器
- 服务器层组件
- openvas-scanner(扫描器):负责调用各种漏洞检测插件,完成实际的扫描操作。
- openvas-manager(管理器):负责分配扫描任务,并根据扫描结果生产评估报告。
- openvas-administrator(管理者):负责管理配置信息,用户授权等相关工作。
- 客户层组件(任选其一即可)
- penvas-cli(命令行接口):负责提供从命令行访问OpenVAS服务层程序。
- greenbone-security-assistant(安装助手):负责提供访问OpenVAS服务层的Web接口,便于通过浏览器来建立扫描任务,是使用最简便的客户层组件。
- Greenbone-Desktop-Suite(桌面套件):负责提供访问OpenVAS服务层的图形程序界面,主要允许在Windows客户机中。
更多详情请参见0x52_漏洞扫描-OpenVAS.md
三、实验内容
任务一:各种搜索技巧的应用
(1)使用搜索引擎
GHDB(Google Hacker DataBase)包含了大量使用Google从事渗透的搜索字符串,拥有很多常用的模块,还有我们之前使用过的各个平台下的shellcode,也可以在SHELLCODES模块里面获取。
查找中国地区的apache
查找中国的教育网站
(2)搜索网址目录结构
- 利用metasploit的dir_scanner辅助模块,暴力猜解,获取网站目录结构
- 步骤如下:
msfconsole
use auxiliary/scanner/http/dir_scanner
set THREADS 13
set RHOSTS www.baidu.com
exploit
(3)检测特定类型的文件
Google高级搜索的使用指南
filetype
能对搜索结果的文件类型进行限定,格式为“检索词 filetype:文件类型”-
能在检索结果中获取检索词的补集,格式为“检索词 -词语”
site能限制检索结果的来源,格式为“检索词 site:限制域名”(不要在“:”后的域名中输入“http:”和“www.”)
inurl能在网址中进行搜索,格式为“检索词inurl:检索词”|
表示布尔逻辑中的或者(or)关系,使用格式为“关键词1 | 关键词2”
高级搜索使用范例
site:edu.cn filetype:xls 身份证号
可见以前网站还保留上传了别人的身份证号,现在终于知道删除了。。。
site:baidu.com filetype:xls 北京电子科技学院
site:baidu.com filetype:xls 家庭住址 仙游县
(4)路由侦查
- kali下输入traceroute www.baidu.com对经过的路由进行探测
- 结果分析
- 记录按序列号从1开始,每个纪录就是一跳 ,每跳表示一个网关;
- 每行有三个时间,单位是ms,是探测数据包向每个网关发送三个数据包后,网关响应后返回的时间;
- 有一些行是以
*
表示,可能是防火墙封掉了ICMP的返回信息,所以我们得不到什么相关的数据包返回数据
任务二:DNS IP注册信息的查询
whois查询域名注册信息
通过whois查询可以获得它的ip地址,域名信息,子域信息,服务器位置信息等
nslookup,dig域名查询
nslookup可以得到DNS解析服务器保存的Cache的结果,但并不是一定准确的。dig可以从官方DNS服务器上查询精确的结果
IP2Location 地理位置查询
- 进入网站www.maxmind.com下拉查询IP,得到结果
ping www.baidu.com
过程显示了www.a.shifen.com
这个地址,查了下原因:这是百度为其域名加的外壳,以免被攻击 ,属于网络安全范畴。- 从上图可以看出,地理位置在福建。
任务三:基本的扫描技术
(1)主机发现
ping命令
metasploit中的arp_sweep模块
use auxiliary/scanner/discovery/arp_sweep
进入arp_sweep 模块show options
查询模块参数set RHOSTS 192.168.186.0/24
用set进行hosts主机段设置set THREADS 50
加快扫描速度run
执行run进行扫描
其中我虚拟机ip=192.168.186.133
(2)端口扫描
metasploit中的udp_sweep模块
use auxiliary/scanner/discovery/udp_sweep
进入udp_sweep 模块show options
查询模块参数set RHOSTS 192.168.186.0/24
用set进行hosts主机段设置set THREADS 50
加快扫描速度run
执行run进行扫描
Nmap参数使用
Nmap -p
nmap -p 1-1024 -r 192.168.186.133
对目标机的1-1024端口按序进行扫描
(3)OS及服务版本探测
操作系统类型扫描
nmap -O 192.168.186.133
获取目标机的操作系统等信息
服务版本探测
nmap -sV -Pn 192.168.186.133
查看目标机的详细服务信息
- 从上图,我们可以看到netbios服务的打开的。
- NetBIOS (Network Basic Input/Output System,网络基本输入输出) 为局域网内 Windows 系统上的应用程序实现会话层之间的通信提供基本支持。metasploit中也给出了相应的功能实现。
(4)具体服务的查点
netbios服务扫描
msfconsole
进入控制台use auxiliary/scanner/netbios/nbname
进入netbios模块show options
查询模块参数set RHOSTS 192.168.186.0/24
用set进行hosts主机段设置set THREADS 50
加快扫描速度run
执行run进行扫描
这里可以看到与上面的服务版本探测出来的结果相同。
Telnet服务扫描
msfconsole
use auxiliary/scanner/telnet/telnet_version //进入telnet模块
set RHOSTS 192.168.186.133/24
set THREADS 50 //提高查询速度
run
可见大多数主机都没有开启这个服务,需要自己去设置手动开启。
SSH服务扫描
msfconsole
use auxiliary/scanner/ssh/ssh_version //进入ssh模块
set RHOSTS 192.168.186.133/24
set THREADS 50 //提高查询速度
run
Oracle数据库服务扫描
use auxiliary/scanner/oracle/tnslsnr_version
show options
set RHOSTS 192.168.186.133/24
set THREADS 50
run
任务四:漏洞扫描
(1)OpenVAS的安装
apt-get update
apt-get dist-upgrade
apt-get install openvas
openvas-setup
(2)OpenVAS的配置
安装完以后,重复运行openvas-check-setup
,每次根据FIX提示来进行下一步操作.
更多详情请参见配置OpenVAS和漏洞扫描-OpenVAS
(3)OpenVAS的登录
- 输入网址
https://127.0.0.1:9392/login/login.html
进入登陆界面 - 输入用户名、密码,登录成功
(4)新建Target,开始扫描
- 在菜单栏选择
Scans
->Tasks
- 进入后点击紫色烟花
Task Wizard
新建一个任务向导,在栏里输入待扫描主机的IP地址192.168.186.133,并单击Start Scans
确认,开始扫描
(5) 查看并分析扫描结果
- 点击Name下名称,查看扫描的详细信息,并点击其中的
Full and fast
,我选择DataBases
进行分析,并且选择了一个漏洞等级最高的
- 结果分析:
- Sunmmary:主机正在运行IBMDB2,容易出现权限弱漏洞
- Solution:升级版本即可。
四、实验思考
(1)哪些组织负责DNS,IP的管理?
因特网技术协调机构ICANN负责全球的域名根服务器、DNS和IP地址管理。
- ASO: 地址支持组织,负责IP地址分配和管理
- GNSO: 基本名称支持组织,负责通用顶级域名分配
- CNNSO: 国家代码域名支持组织,负责国家顶级域名分配
(2)什么是3R信息?
3R
注册人(Registrant)→注册商(Registrar) →官方注册局(Registry)
3R注册信息
- 分散在官方注册局或注册商各自维护数据库中
- 官方注册局一般会提供注册商和Referral URL信息
- 具体注册信息一般位于注册商数据库中
(3)评价下扫描结果的准确性。
- 就我目前看来,扫描结果还是比较准确的,比如上文扫描出netbios是开放的而后面进入metasploit中的netbios模块中也能验证相关信息的准确性,详情见上文。
- 不过,就是在对操作系统类型判断时,并不能准确地定位到具体的操作系统,而只能给出一个正确的范围。
五、实践体会
- 本次实验,使用Nmap扫描的部分信安课上已有所涉及,相对而言理解起来比较简单,主要就是一些网站的使用和OpenVAS的使用花费了我大量的时间,不过确实OpenVAS还挺好用的,能够让我这种电脑小白懂得如何去修复自己电脑上的漏洞,避免一些安全隐患。
- 而针对信息收集方面,看到好多属于个人隐私的东西比如家庭住址、学籍等信息都暴露在网络上,真是让我感到害怕,希望中国也能有相关法律来执行网络信息遗忘来消除一些个人隐私的泄露。