1.4 信息收集

4 枚举服务

4.1 DNSenum

DNS枚举工具DNSenum
域名信息收集工具

4.1.1 DNSenum工具命令

dnsenum --enum 域名

4.1.2 附加参数

--threads [number]：  设置用户同时进行多个进程数
-r：  允许用户启用递归查询。
-d：  允许用户设置WHOIS请求之间时间延迟数（单位为秒）。
-o：  允许用户指定输出位置。
-w：  允许用户启用WHOIS请求。

4.2 fierce

DNS枚举工具fierce
对子域进行扫描和收集信息

4.2.1 fierce工具命令

fierce -dns 域名

4.3 Snmpwalk

SNMP枚举工具Snmpwalk
使用SNMP的GETNEXT请求，查询指定的所有OID树信息，并显示给用户。

4.3.1 Snmpwalk工具命令

所有信息：

snmpwalk -c public IP地址 -v 2c

安装的软件：

snmpwalk -c public IP地址 -v 1 | grep ftp

开启的TCP端口：

snmpwalk -c public IP地址 -v 1 | grep tcpConnstate | cut -d "." -f6 | sort -nu

4.3.2 SNMP request timeout错误

排错：

1. linux（入侵主机）确保snmpd服务已开启
2. windows（目标主机）确保SNMP服务已开启
3. windows（目标主机）确保能被Ping通[防火墙原因]

4.4 Snmpcheck

SNMP枚举工具Snmpcheck

4.4.1 Snmpcheck工具命令

snmp-check IP地址

4.4.2 获取信息种类

• 系统信息：主机名、操作系统类型及架构
• 设备信息：设备ID号、类型和状态
• 存储信息：设备ID、设备类型和文件系统类型
• 用户信息
• 进程信息：进程ID、进程名和进程类型
• 网络信息：TTL值、TCP段和数据元
• 网络接口信息：接口状态、速率、IP地址和子网掩码
• 路由信息：目标地址、下一跳地址、子网掩码、路径长度值
• 网络服务信息：分布式组件对象服务、DHCP客户端和DNS客户端
• 获取监听的TCP端口：如监听的TCP端口有****，**，*******
• TCP连接后的信息：本地地址、本机端口、远程主机地址、远程主机端和连接状态
• 获取监听的UDP端口信息：xxxxx,x,xxxx
• 获取软件组件信息
• 获取Web服务信息：发送的字节数、文件数和当前匿名用户

4.5 smtp-user-enum

针对SMTP服务器的25端口，进行用户名枚举
探测服务器已存在的邮箱用户

4.5.1 工具命令

提前准备枚举用的users.txt文件

smtp-user-enum -M VRFV -U /tmp/users.txt -t IP地址

4.5.2 参数

VRFV：枚举使用的模式
/tmp/users.txt：用户名文件路径

Linux命令（Linux Kali）

snmpd服务开启帮助

service 服务 start	#开始服务
service 服务 status	#查看状态
service -h			#查看帮助

Windows操作（Windows 7）

开启SNMP服务

1. 开始—控制面板—程序—打开或关闭Windows功能—勾选简单网络管理协议（SNMP）
2. 计算机右键—管理—服务和应用程序—服务—SNMP Service右键—启动
3. 启动后—SNMP Service右键—属性—安全—添加—public（权限
   读写）—接受来自任何主机的SNMP数据包

关闭防火墙

• 开始—控制面板—系统和安全—Windows防火墙—打开或关闭Windows防火墙—两个都选关

5 测试网络范围

5.1 DMitry

域名查询工具

作用：查询IP或域名WHOIS信息
WHOIS：查询域名是否已经被注册及注册域名的详细信息的数据库

5.1.1 工具命令

#DMitry命令
dmitry -wnpb 网址（域名）

#netmask工具可将域名转换成标准的子网掩码格式
netmask -s 域名

5.2 Scapy

跟踪路由工具

5.2.1 工具命令

#登陆
scapy

#sr函数实现发送和接收数据包
ans,unans=sr(IP(dst = "域名",ttl=(1, 6)) / TCP())

#以表的形式查看数据包发送情况
ans.make_table(lambda(s, r) : (s.dst, s.ttl,r, src))

#查看TCP路由跟踪信息
res,unans = traceroute(["域名" , "域名" , "域名"], dport = [80,443], maxttl = 20, retry = -2)

#以图的形式显示路由跟踪结果
res.graph()

#退出程序
exit()

6 识别活跃的主机

渗透之前，必须先识别这个目标网络内活跃的主机。

6.1 Nmap

网络映射器工具————免费

功能：

1. 探测一组主机是否在线
2. 扫描主机端口，嗅探所提供的网络服务
3. 可以推断主机所用的操作系统

6.1.2 工具命令

#查看目标主机是否在线
nmap -sP IP地址

#获取更多详细信息
nping --echo-client "public" 域名

#发送十六进制数据到指定的端口
nping -tcp -p 445 -data AF56A43D IP地址

7 查看打开的端口

有必要了解目标主机打开的端口

7.1 Nmap

TCP端口扫描工具

7.1.1 工具命令

#无范围（全部）
nmap IP地址

#指定范围
nmap -p x-xxx IP地址

#指定端口 + 主机群 = 打开指定端口的主机
nmap -p xx 192.168.1.*

#把扫描结果输出到某个文件 并 记录
nmap -p xx 192.168.1.* -oG /tmp/nmap-targethost-tcp445.txt

#查看文件
cat nmap-targethost-tcp445.txt

7.2 Zenmap

图形化TCP端口扫描工具

7.2.1 工具命令

#打开工具
zenmap

7.2.2 工具操作

• 在目标写入目标主机IP地址

8 系统指纹识别

系统指纹：Win7、Win8、Linux都有自己的特征，每一个特征就是一个指纹

8.1 Nmap命令

#识别系统的命令
nmap -O IP地址

8.2 p0f

p0f是一款被动指纹识别工具，通过主机发出的数据包，进行识别。

8.2.1 工具命令

#使用p0f分析Wireshark捕获的一个文件（targethost.pcap）
p0f -r /tmp/targethost.pcap -o p0f-result.log

9 服务指纹识别

服务的指纹
包括：

• 服务端口
• 服务名
• 版本

9.1 Nmap识别服务指纹

nmap -sV IP地址

9.2 Amap服务枚举

#范围端口
amap -bq IP地址 xx-xxx

10 其他收集手段

10.1 Recon-NG框架

Web信息收集框架

10.1.1 工具命令

#启动
recon-ng

#帮助
help

#所有模块
show modules

#使用模块	没有baidu_site模块！
use xxx

#所有配置参数
show options

#设置参数	不知道设置什么是最恐怖的！
set <Name> xxx

#运行
run

不太清楚，以后会了再搞！

10.2 ARP侦查工具 Netdiscover

主动/被动的ARP侦查工具，在不使用DHCP的无线网络上非常有用。

10.2.1 命令与参数

netdiscover [-i device] [-r range | -l file | -p] [-s time] [-n node] [-c count] [-f] [-d] [-S] [-P] [-C]
-i device：指定网络设备接口
 -r range：指定扫描网络范围  
  -l file：指定扫描范围列表文件
 	   -p：使用被动模式，不发送任何数据
  -s time：每个ARP请求之间的睡眠时间
  -n node：使用八字节的形式扫描
 -c count：发送ARP请求的时间次数
       -f：使用主动模式
       -d：忽略配置文件
       -S：启用每个ARP请求之间抑制的睡眠时间
       -P：打印效果
       -L：将捕获信息输出，并继续进行扫描

10.3 搜索引擎工具 Shodan

官网：https://www.shodan.io/

10.3.1 过滤器命令

#表示国家	<>代表-例子
country:<US> 

#表示城市
city:<Memphis>

#结合使用
country:<US> city:<Memphis>

#通过指定主机名来扫描整个域名
hostname:<google>

#网络范围（单个或范围）
net:<192.168.1.10>
net:<192.168.1.0/24>

#搜索项目
title:<"Server Room">	服务器机房

#关键字搜索
<apache/2.2.8 200 ok>
服务名称/版本 状态码
<apache/2.2.8 -401>
跳过显示401非法页

#组合搜索
中间加个空格就算是组合！

端口号：Port
操作系统：OS
时间：After或Before

10.3.2 实际操作

#注册并激活以及登陆（简单）
注册网址：https://account.shodan.io/register

#查看API Key


#启动PostgreSQL服务
service postgresql start
	
#启动Metasploit服务
msfconsole
	
#选择shodan_searc模块
use auxiliary/gather/shodan_search

#查看参数
show options

#配置QUERY和SHODAN_APIKEY参数
#APIKEY是shodan账户APIKey，尽量不要照着打，因为I和l太难分辨了！
set SHODAN_APIKEY xxxxxx
set QUERY iomega
	
#启动
run

11 使用 Maltego收集信息

漏洞评估工具

前提：需要注册账号

#注册、激活
注册网址：https://www.paterva.com/web7/community/community.php

11.1 运行 Maltego

#运行
maltego

1. 选择Maltego CE（Free）
2. 填写邮箱、邮箱密码、验证码
3. Next（确认用户）
4. Next（选则发不发送BUG）
5. Finish（我选open a blank # 空白）
6. 菜单—Machines—Run Machine—Company Stalker（组织网）
7. Domain Name：paterva.com — Don’t show again（勾选）
8. 从左边菜单栏中点击Domain拖到白板上，会出现paterva.com的图表
9. Property View—Domain Name—（改成）targethost.com
10. 设置完目标主机，可以收集信息。

#开始收集 

11. 右键图标—All Transforms，选择
12. 剩下的自己研究

12 绘制网络结构图 CaseFile

因没有CaseFile，没法继续此课程。
以后找到再说！