主要內容
枚舉服務;
測試網絡范圍: DNS
識別活躍的主機和查看打開的端口;
系統指紋識別;
服務指紋識別;
其他信息收集手段;
使用Maltego收集信息;
繪制網絡圖
信息搜集 DNS信息搜集 ping 域名/ip 。 whois 域名/ip //查看域名的詳細信息。 nslookup IP/域名 dig 域名/ip //查看域名解析的詳細信息 dig @<dns域名> <待查詢域名> 如:dig @ns.watson.ibm.com testfire.net dnsenum baidu.com dnsenum -f dns.txt(域名字典) –dnsserver IP/域名 –o output.txt dnsmap baidu.com –w wordlist.txt –c output.csv dnsmap baidu.com -w wordlist.txt -c output.csv(只能輸出scv結果) DNS枚舉 fierce -dns example.com fierce –dns example.com [–wordlist myWordList.txt] 通過查詢 DNS 服務器枚舉主機名 類似工具:subDomainsBrute 和 SubBrute 等等 路由信息搜集: traceroute 目標域名 指紋識別 操作系統指紋: nmap -O IP use auxiliary/scanner/smb/smb_version xprobe2 ip/域名 xprobe2 -v -p tcp:80:open IP http 指紋: nc -nvv ip port telnet ip port httsquash –r IP/域名 (backtrack: pentest/scanners/httsquash) whatweb IP/域名 端口探測 nmap -T4 –sS –Pn IP nmap -T4 –sV –Pn IP amap –A IP 端口號 amap –bqv IP 端口號 zmap -p 端口 ip段 -o output.txt -B 10M -i eth0 nc v w 1 target z 11000 主機發現 arping -c 請求包數量 IP段 genlist -s 10.10.10.\* nbtscan 192.168.1.1-255 nmap -sP -PN IP段 | grep for nmap -PU -sn IP段 use auxiliary/scanner/discoveryarp-sweep netdiscover fping cat IP.txt | grep alive > alive.txt fping -a -s -f /root/ip.txt *IP文件中,每個ip或域名占一行。-g 10.10.10.0 10.10.10.255 主機發現,生成存活主機列表 $ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 && grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt 注: 我們可以利用其它在線主機作為誘餌主機,這樣掃描時會盡量少留下我們自己的ip,增加追查難度。 舉例:192.168.1.15,192.168.1.16是誘餌主機,192.168.1.12是我們要掃描的主機 nmap -D192.168.1.15,192.168.1.16,ME -p 21,22,80,443 -Pn 192.168.1.12 參數解釋 -D開關表示實施一次誘餌掃描,-D后面緊跟選擇好的誘餌主機的IP地址列表並且這些主機都在線 -Pn不發ping請求包,-p選擇掃描的端口范圍。“ME”可以用來代替輸入自己主機的IP。 防火牆探測 版本探測:wafw00f URL nmap掃描策略 nmap -sP -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 –source-port 53 -T4 -iL tcp-allports-1M-IPs -iL tcp-allports-1M-Ips:使用產生的IP地址 –source-port 53 :指定發送包的源端口為53,該端口是DNS查詢端口, 一般的防火牆都允許來自此端口的數據包 -T:時序級別為4,探測速度比較快 以TCP SYN包方式探測目標機的21,22,23,25,80,113,31339端口,以TCP ACK包方式探測對方80,113,443,10042端口 發送ICMP ECHO/ICMP TIMESTAMP包探測對方主機 只要上述的探測包中得到一個回復,就可以證明目標主機在線。 過濾狀態: nmap -sS -T4 www.fakefirewall.com //探測端口開放狀態 nmap -sF -T4 www.fakefirewall.com // FIN掃描識別端口是否關閉 nmap -sA -T4 www.fakefirewall.com // ACK掃描判斷端口是否被過濾 nmap -sW -p- -T4 docsrv.caldera.com //發送ACK包探測目標端口(只適合TCPIP協議棧) FIN掃描:收到RST回復說明該端口關閉,否則說明是open或filtered狀態。 ACK掃描:未被過濾的端口(無論打開、關閉)都會回復RST包。 將ACK與FIN掃描的結果結合分析,我們可以找到很多開放的端口。例如7號端口,FIN中得出的狀態是:open或filtered,從ACK中得出的狀態是 unfiltered,那么該端口只能是open的。 電子郵件/用戶名/子域名信息搜集工具 theharvester:theharvester -d baidu.com -l 100 -b bing (通過bing搜集) 通過LinkedIn.com查找搜集目標用戶名 theharvester -d baidu.com -l 100 -b linkedin.com
Recon-ng工具
root@kali:~/recon-ng# ./recon-ng
[recon-ng][default] > use recon/companies-contacts/linkedin_crawl
[recon-ng][default][linkedin_crawl] > set URL http://www.xxx.com/
[recon-ng][default][linkedin_crawl] > run
查看聯系人
[recon-ng][default] > show contacts
利用搜索引擎搜集敏感信息: 以下命令可組合查詢,威力更強大(最好不要帶 www,因為不帶的話可以檢測二級域名) site:域名(指定查某站點的所有頁面) inurl:inc(sql,bak,sql,mdf,login) //搜索含指定文件的頁面 filetype:mdb //查找指定文件 inurl:"Vieweframe?Mode= //搜索在線監控設備 intext:to parent directory //IIS配置不當可遍歷目錄 parent directory site:testfire.net 例: site:abc.com inurl:login(登錄): site:abc.com filetype:mdb(inc,conf,sql): intext:to parent directory intext:to parent directory site:abc.com inurl:asp?id= site:example.com intext:管理|后台|登陸| 用戶名|密碼|驗證碼|系統|帳號|manage|admin|login|system site:heimian.com inurl:login|admin|manage|manager|admin_login|login_admin|system 自動化信息搜集和安全審計工具 Unicornscan Unicornscan 是一個信息收集和安全審計的工具。 us H msf Iv IP p 165535 us H mU Iv IP p 1 65535 H 在生成報告階段解析主機名 Iv 詳細結果 m 掃描類型 ( sf: tcp , U:udp ) Metagoofil 元數據收集工具 $ python metagoofil.py d example.com t doc,pdf l 200 n 50 o examplefiles f results.html Samba探測 利用smbclient工具可以獲得這個TCP的139端口服務的旗標 smbclient -L 192.168.50.102 -N smbclient連接到192.168.50.102,然后顯示服務信息。-N選項表示沒有目標的root密碼。 我們可以利用這個服務的版本信息來搜索針對這個服務可能存在的漏洞,如: searchploit samba 枚舉 Samba nmblookup A target smbclient //MOUNT/share -I target -N rpcclient U "" target enum4linux target SNMP探測 1.windows: snmputil walk 目標IP public .1.3.6.1.4.1.77.1.2.25 (.1.3.6.1.4.1.77.1.2.25 "目標標識符(OID)",是為了得到更多信息) 2.linux:(net-snmp工具包) snmpget -c public -v 2c 目標IP public system.sysName.0(=wave) snmpwalk -c public -v 2c 目標IP #更快竊取MIB(與OID有關) 枚舉 SNMP snmpget v 1 c public IP snmpwalk v 1 c public IP snmpbulkwalk v2c c public Cn0 Cr10 IP snmp自動探測工具 windows: SNScan(www.foundstone.com/us/resources/proddec/scan.htm) linux: onesixtyone nmblookup -A target smbclient //MOUNT/share -I target -N rpcclient -U "" target 枚舉Snmp 掛載遠程 Windows 共享文件夾 smbmount //X.X.X.X/c$ /mnt/remote/ -o username=user,password=pass,rw mount –t smbfs //192.168.0.103/c /mnt/remote -o username=administrator mount.cifs //192.168.2.230/job /mnt/share -o username=administartor%123456 smbclient //192.168.1.114/d -U administrator%333333 新版: mount -t cifs -o username=user,pass=password //127.0.0.1/shared /mnt linux下NetBIOS信息探測: nmbscan 工具(nmbscan.g76r.eu/)
服務探測
服務掃描及攻擊 1.Web服務: nmap -sS -PS80 -p 80 –oG web.txt use auxiliary/sanner/http/webdav_scanner(Webdav服務器) 2.SSH服務: Nmap use auxiliary/sanner/ssh/ssh_version 猜解:use auxiliary/sanner/ssh/ssh_login 3.Telnet服務 use auxiliary/sanner/telnet/telnet_version 4.FTP服務 use auxiliary/sanner/ftp/ftp_version use auxiliary/sanner/ftp/anonymous //探測是否允許匿名登錄 5.SMB服務: 猜解:use auxiliary/smb/smb_login(易被記錄) use exploit/windows/smb psexec #憑證攻擊登錄域控制器 use auxiliary/admin/smb/psexec_command #命令執行 6.Oracle服務: nmap -sS -p 1521 IP use auxiliary/sanner/oracle/tnslsnr_version 7.Mssql服務: nmap -sS -p T:1433,U:1434 IP nmap –sU 192.168.33.130 -p1434 use auxiliary/sanner/mssql/mssql_ping 8.Mysql服務: use auxiliary/sanner/mysq/mysql_version發現mysql服務 use auxiliary/scanner/mysql/mysql 9.VNC服務 use auxiliary/sanner/vnc/vnc_none_auth //探測VNC空口令 10.SNMP服務: use auxiliary/sanner/snmp/snmp_enum 猜解:use auxiliary/sanner/snmp_login admsnmp IP –wordfile snmp.password [-outputfile <name>] 利用字符串獲取系統信息:./snmpenum.pl IP 字符串 cisco.txt(linux.txt) 11.OpenX11空口令: use auxiliary/scanner/x11/open_x11 當掃描到此漏洞的主機后可以使用 xspy工具來監視對方的鍵盤輸入: cd/pentest/sniffers/xspy/ xspy –display 192.168.1.100:0 –delay 100
google搜索密碼相關語法
摘自:http://blog.csdn.net/jeanphorn/article/details/44907737
1 “Login: ” “password =” filetype: xls ( 搜索存儲在excel文件中含有password的數據)。 2 allinurl: auth_user_file.txt (搜索包含在服務器上的 auth_user_file.txt 的文件)。 3 filetype: xls inurl: “password.xls” (查找 用戶名和密碼以excel格式)這個命令可以變為“admin.xls”. 4 intitle: login password (獲取登陸頁面的連接,登陸關鍵詞在標題中。) 5 intitle: “Index of” master.passwd (密碼頁面索引) 6 index of / backup ( 搜索服務器上的備份文件) 7 intitle: index.of people.lst (包含people.list的網頁) 8 intitle: index.of passwd.bak ( 密碼備份文件) 9 intitle: “Index of” pwd.db (搜索數據庫密碼文件). 10 intitle: “Index of .. etc” passwd (安裝密碼建立頁面索引). 11 index.of passlist.txt (以純文本的形式加載包含passlist.txt的頁面). 12 index.of.secret (顯示包含機密的文檔,.gov類型的網站除外) 還可以使用: index.of.private 13 filetype: xls username password email (查找表格中含有username和password的列的xls文件). 14.”# PhpMyAdmin MySQL-Dump” filetype: txt (列出包含敏感數據的基於PHP的頁面) 15 inurl: ipsec.secrets-history-bugs (包含只有超級用戶才有的敏感數據). 還有一種舊的用法 inurl: ipsec.secrets “holds shared secrets” 16 inurl: ipsec.conf-intitle: manpage 17 inurl: “wvdial.conf” intext: “password” (顯示包含電話號碼,用戶名和密碼的連接。) 18inurl: “user.xls” intext: “password” (顯示用戶名和密碼存儲在xls的鏈接。) *19 filetype: ldb admin (web服務器查找存儲在數據庫中沒有唄googledork刪去的密碼。) *20inurl: search / admin.php (查找admin登陸的php頁面). 如果幸運的話,還可以找到一個管理員配置界面創建一個新用戶。 *21 inurl: password.log filetype:log (查找特定鏈接的日志文件。) *22 filetype: reg HKEY_CURRENT_USER username (在HCU (Hkey_Current_User)路徑中查找注冊表文件(registyry)。) 還有很多命令可以用來抓取密碼或者搜素機密信息。 “Http://username: password @ www …” filetype: bak inurl: “htaccess | passwd | shadow | ht users” (這條命令可以找到備份文件中的用戶名和密碼。) filetype:ini ws_ftp pwd (通過ws_ftp.ini 文件查找admin用戶的密碼) intitle: “Index of” pwd.db (查找加密的用戶名和密碼) inurl:admin inurl:backup intitle:index.of (查找關鍵詞包含admin和backup的目錄。) “Index of/” “Parent Directory” “WS _ FTP.ini” filetype:ini WS _ FTP PWD (WS_FTP 配置文件, 可以獲取FTP服務器的進入權限) ext:pwd inurl:(service|authors|administrators|users) “# -FrontPage-” filetype: sql ( “passwd values *” |” password values *” | “pass values **“) 查找存儲在數據庫中的sql代碼和密碼。 )
相關閱讀:
工具:maltego,wydomain,subdomain,discover,recon-ng,dmitry
discover,recon-ng 簡單使用: http://www.cnblogs.com/ssooking/p/6049114.html
maltego調用nmap進行端口掃描: http://www.freebuf.com/sectool/21015.html