2018-2019-2 網絡對抗技術 20165230 Exp6 信息搜集與漏洞掃描

目錄

• 1.實驗內容
• 2.實驗過程
  • 任務一：各種搜索技巧的應用
    • 通過搜索引擎進行信息搜集
      • 使用Google Hacking
    • 搜索網址目錄結構
    • 使用IP路由偵查工具traceroute
    • 搜索特定類型的文件
  • 任務二：DNS IP注冊信息的查詢
    • （1）whois域名注冊信息查詢
    • （2）nslookup,dig域名查詢
      • 使用nslookup
      • 使用dig
    • （3）IP2Location地理位置查詢
    • （4）IP2反域名查詢
  • 任務三：基本的掃描技術：主機發現、端口掃描、OS及服務版本探測、具體服務的查點
    • 主機發現
      • ping
      • metasploit中的模塊
      • 使用nmap探索活躍主機
      • 端口掃描
    • OS及服務版本探測
    • 具體服務的查點
      • telnet
      • SSH
      • Oracle數據庫服務查點
      • 開放代理探測
    • 口令猜測與嗅探
      • SSH口令猜測
      • psnuffle口令探測
  • 任務四：漏洞掃描：會掃，會看報告，會查漏洞說明，會修補漏洞
    • 安裝OpenVAS
      • 報錯提示1
      • 報錯提示2
      • 報錯提示3
    • 啟動openVAS
      • < center> 問題：打開提示連接不安全 < /center>
• 3.基礎問題回答
• 4.離實戰還缺些什么技術或步驟
• 5.實驗總結

1.實驗內容

• （1）各種搜索技巧的應用
• （2）DNS IP注冊信息的查詢
• （3）基本的掃描技術：主機發現、端口掃描、OS及服務版本探測、具體服務的查點
• （4）漏洞掃描：會掃，會看報告，會查漏洞說明，會修補漏洞

2.實驗過程

• 外圍信息搜集
• NMAP
• OpenVAS

任務一：各種搜索技巧的應用

通過搜索引擎進行信息搜集

使用Google Hacking

• Google提供了高級搜索功能。GHDB數據庫包含了大量使用Google從事滲透的搜索字符串，許多我們之前用過的模塊和代碼網站上都有
  

搜索網址目錄結構

• 使用暴力模塊進行暴力猜解。以dir_scanner為例

msf > use auxiliary/scanner/http/dir_scanner 
set rhosts www.cnblogs.com
set threads 30

exploit

使用IP路由偵查工具traceroute

• 輸入命令traceroute www.cnblogs.com
  

• 由於虛擬機使用的是nat連接，traceroute返回的TTL exceeded消息無法映射到源IP地址、源端口、目的IP地址、目的端口和協議，因此無法反向NAT將消息路由傳遞回來。顯示都是*號

搜索特定類型的文件

> 有些網站會鏈接通訊錄，訂單等敏感的文件，可以進行針對性的查找

• 輸入site:edu.cn filetype:xls
  

• 但是這些xls文件下載下來在我的電腦里都打不開，會顯示文件已損壞，用網頁版html看一下博士上線名單
  

• 這個表直接暴露了具體博士姓名、地址、電話、具體報考信息

任務二：DNS IP注冊信息的查詢

（1）whois域名注冊信息查詢

• 可以在MSF終端使用whois命令進行查詢。whois baidu.com
• 包括注冊人的姓名、組織和城市等信息。
  

注意：進行whois查詢時去掉www等前綴，因為注冊域名時通常會注冊一個上層域名，子域名由自身的域名服務器管理，在whois數據庫中可能查詢不到。

• 還可以看組織、注冊時間等等
  

（2）nslookup,dig域名查詢

使用nslookup

• nslookup baidu.com可以看到服務器地址和注冊地址可以得到DNS解析服務器保存的Cache的結果，但並不是一定准確的。
  

使用dig

• dig可以從官方DNS服務器上查詢精確的結果。
  

• 可以看到他的注冊地址結果和nslookup一樣

• 除此之外，dig命令還有很多查詢選項，每個查詢選項被帶前綴（+）的關鍵字標識。例如：

  • +[no]search：使用 [不使用] 搜索列表或 resolv.conf 中的域偽指令（如果有的話）定義的搜索列表。缺省情況不使用搜索列表。
  • +[no]trace:切換為待查詢名稱從根名稱服務器開始的代理路徑跟蹤。缺省情況不使用跟蹤。一旦啟用跟蹤，dig 使用迭代查詢解析待查詢名稱。它將按照從根服務器的參照，顯示來自每台使用解析查詢的服務器的應答。
  • +[no]identify:當啟用 +short 選項時，顯示 [或不顯示] 提供應答的 IP 地址和端口號。
  • +[no]stats:該查詢選項設定顯示統計信息：查詢進行時，應答的大小等等。缺省顯示查詢統計信息。

• 試着先使用+short再用+ifentify，看看結果， 可以看見提供應答的 IP 地址和端口號。
  

（3）IP2Location地理位置查詢

• 用谷歌瀏覽器打開maxmind官網（因為谷歌可以翻譯），查詢一下自己主機的地理位置
  

• 可以利用之前返回的IP地址，去純真IP庫里查（純中文）。
  

（4）IP2反域名查詢

• 輸入主機ip會顯示該地址為保留的私有地址，在網站里找到有一處是查本地IP，點擊進去會看到主機IP變了，可能是用了NAT轉換了地址才可以查到
  

• 在IP-address網站
  里輸入百度的IP：119.75.217.109
  可以看到此IP對應的地理位置、編碼（ASN）、互聯網服務提供商（ISP）等信息
  

• 以上都是可用的前期搜集信息的方法，具體的操作中可以視情況選擇。如第四個實驗中對惡意代碼的分析就可以使用IP2Location，它的中文界面能夠友好地向我們展示IP所在地和機構信息等，這對我們排除可疑IP有很大幫助。

任務三：基本的掃描技術：主機發現、端口掃描、OS及服務版本探測、具體服務的查點

主機發現

ping

• 通過ping www.baidu.com命令發送ICMP報文的方法檢測活躍主機
  

metasploit中的模塊

• 位於modules/auxiliary/scanner/discovery 主要有

  • arp_sweep
  • ipv6_multicast_ping
  • ipv6_neighbor
  • ipv6_neighbor_router_advertise
  • ment, udp_probe，udp_sweep

• 以ipv6_neighbor為例， 掃描UDP服務的主機

  use auxiliary/scanner/discovery/ipv6_neighbor
  show options
  set RHOSTS 10.1.1.207
  set THREADS 30
  exploit
  

使用nmap探索活躍主機

• 使用命令nmap -sn 10.1.1.207/30

• -sn參數可以用來探測某網段的活躍主機

• 可以看見在該網段里有4台主機活躍
  

端口掃描

• 使用MSF中的auxiliary模塊

• use auxiliary/scanner/portscan/tcp
  show options
  set RHOSTS 10.1.1.207/30
  set THREADS 30
  exploit
  
  

• 可以看見主機開放的端口有139、135、445、443等
  

• 使用nmap掃描端口

  參數	功能
  -sS/sT/sA/sW/sM	使用TCP SYN方式掃描TCP端口
  -sU	指定使用UDP掃描方式確定目標主機的UDP端口狀況
  -sN/sF/sX	指定使用TCP Null, FIN, and Xmas scans秘密掃描方式來協助探測對方的TCP端口狀態
  -sO	使用IP protocol 掃描確定目標機支持的協議類型

• 使用nmap -sS 10.1.1.207可以看見開放的TCP端口與對應的服務
  

OS及服務版本探測

• 使用nmap -sV 10.1.1.207

  • -sV 檢測目標主機的服務版本
    

• 使用nmap -O 10.1.1.207檢測Win10主機

  • -O選項啟用遠程操作系統檢測
    

• 結果沒有掃出來win10的，反而掃出了XP win7 win Server2012？？這不是我上一個實驗的靶機嗎？怎么出了他們呢？

• 看了一下學長學姐們的博客，發現他們也沒有出來win10。又去網上查了一下，網上說-O存在誤報，看來確實不太准呀

具體服務的查點

• 服務掃描和查點 metasploit中有許多相關工具，大部分都在Scanner輔助模塊，常以[service_name]_version（用以遍歷主機，確定服務版本）和[service_name]_login（進行口令探測攻擊）命名
• 可輸入search name:_version查看所有服務查點模塊

telnet

• telnet命令用於登錄遠程主機,對遠程主機進行管理。

use auxiliary/scanner/telnet/telnet_version //進入telnet模塊
set RHOSTS 10.1.1.207/30 //掃描10.1.1.207/30網段
set THREADS 30 
run

SSH

• 掃描主機的ssh服務

use auxiliary/scanner/ssh/ssh_version //進入ssh模塊
set RHOSTS 10.1.1.207/30 //掃描10.1.1.207/30網段
set THREADS 30 
run

Oracle數據庫服務查點

use auxiliary/scanner/oracle/tnslsnr_version//進入oracle模塊
set RHOSTS 10.1.1.207/30 //掃描10.1.1.207/30網段
set THREADS 30 
run

開放代理探測

 use auxiliary/scanner/http/open_proxy //進入open_proxy模塊
set RHOSTS 10.1.1.207/30 //掃描10.1.1.207/30網段
set THREADS 30 
run

口令猜測與嗅探

SSH口令猜測

use auxiliary/scanner/ssh/ssh_login
 set rhosts 10.1.1.207
 set username root
 set pass_file /home/tset.txt
set threads 50
run

psnuffle口令探測

psnuffle是目前Metasploit中唯一用於口令嗅探的工具，它的功能算不上強大，但是非常實用，可以使用它截獲常見協議的身份認證過程，並將用戶名和口令信息記錄下來。

use auxiliary/sniffer/psnuffle 
run

• 登錄了QQ郵箱，會顯示success.txt文件，由於這是https的訪問，所以抓不到明文的口令包。要實現這個需要搭建FTP服務器
  

任務四：漏洞掃描：會掃，會看報告，會查漏洞說明，會修補漏洞

安裝OpenVAS

• 安裝OpenVASapt-get update
• 使用OpenVASopenvas-check-setup

報錯提示1

ERROR: The NVT collection is very small.
FIX: RUN A synchronization script like green-nvt-sync.

• 根據FIX的提示，更新nvt
  sudo greenbone-nvt-sync
  （這一步耗時比較長）

• 接下來再openvas-check-setup

報錯提示2

ERROR: The SCAP collection is very small.
FIX: RUN A SCAP synchronization script like green-scapdata-sync.

• 根據FIX的提示，更新scap數據庫
  sudo greenbone-scapdata-sync

• 接下來再openvas-check-setup

報錯提示3

ERROR: The CERT collection is very small.
FIX: RUN a synchronization script like greenbone-certdata-sync

• 根據FIX的提示，更新cert數據庫
  sudo greenbone-certdata-sync

• 接下來再openvas-check-setup

• 成功!
  

啟動openVAS

• 使用命令openvasmd --user=admin --new-password=admin添加admin用戶

• 啟動OpenVAS：openvas-start自動打開主頁https://127.0.0.1:9392。
  

• 登錄之后選擇Scans、Tasks點擊小魔棒Task Wizard新建任務，輸入要掃描的目標主機的IP地址，開始掃描
  

• 掃描完成后點擊Full and fast

• Databases可以看到不同的漏洞危險等級不一樣
  

• 選擇FTP，看一個危險等級比較高的漏洞說明
  

• 翻譯了一下這個漏洞的意思是：安裝了3D FTP客戶端，容易出現目錄遍歷漏洞。

• 可以看見解決方法是更新至9.03版本
  

• 再看一個vmware最新的漏洞介紹
  

• 大概的意思是：在SVGA中，ESXi存在堆緩沖區溢出和未初始化的堆棧內存使用。這些問題可能允許客戶在主機上執行代碼。

• 去網上搜了一下CVE-2017-4902，看見了不用翻譯的介紹
  

• 解決方法： Apply the missing patch(es).應用缺失的補丁

• 通過漏洞掃描，我們能知道電腦上存在哪些安全隱患以及解決的辦法，這樣就能使我們的電腦更安全了。

< center> 問題：打開提示連接不安全 < /center>

• 解決：點擊Advanced、Add Exception 將網址加入信任站點就可以了
  

3.基礎問題回答

• 哪些組織負責DNS，IP的管理
  • 全球一共有5個地區性注冊機構：ARIN主要負責北美地區業務，RIPE主要負責歐洲地區業務，APNIC主要負責亞太地區業務，LACNIC主要負責拉丁美洲美洲業務，AfriNIC負責非洲地區業務。
  • ICANN負責協調管理DNS各技術要素以確保普遍可解析性，使所有的互聯網用戶都能夠找到有效的地址。
  • 在ICANN下有三個支持機構
    • 地址支持組織（ASO）負責IP地址系統的管理
    • 域名支持組織（DNSO）負責互聯網上的域名系統（DNS）的管理
    • 協議支持組織（PSO）：負責涉及Internet協議的唯一參數的分配。
• 什么是3R信息
  • 注冊人(Registrant)
  • 注冊商(Registrar)
  • 官方注冊局(Registry)
• 評價下掃描結果的准確性
  • 就目前已知來看，掃描結果還是很准確的，對於曾經被攻擊過的漏洞都檢測出來了

4.離實戰還缺些什么技術或步驟

要將掃描得到的結果進行整理，篩選出有用的信息並針對這些信息決定使用什么樣的攻擊手段。

5.實驗總結

這次實驗中學習了很多常用的信息收集方法，每一種都記錄的是不同的方面，多種方法也就更能立體了解到相關信息了。唯一比較耗時的就是安裝openvas。前前后后出了許多錯誤，但通過看學長學姐的博客都順利解決了。網絡的信息很多，關鍵在於信息的整合與利用，對於平常生活中經常用到的一些網站也可以進行有針對地信息搜集。

</font size>