# EXP 5
回答問題
(1)哪些組織負責DNS,IP的管理。
ICANN(Internet 域名與地址管理機構)負責全球的DNS、IP和域名根服務器的管理。
ICANN是為承擔域名系統管理IP地址分配,協議參數配置,以及主服務器系統管理等職能而設立的非盈利機構。
(2)什么是3R信息。
注冊人(Registrant)、注冊商(Registrar)、官方注冊局(Registry)
(3)評價下掃描結果的准確性。
掃描的系統和掃描方式的不同,掃描結果可能會有偏差。還有一些手機在不使用時會啟動類似“休眠模式”,只有在用戶使用時才會連接到網絡,所以有時候會掃描不出來,這里就會造成在某一時間段前后掃描結果的不同
在用openvas(gvm)進行漏掃的過程中發現(網關)路由器與其他主機進行通訊的過程中存在未加密傳輸漏洞,我打算嘗試使用wireshark抓包,看看是否能抓到用戶登錄路由器管理后台時輸入的密碼。
登錄路由器管理后台:192.168.1.1
在輸入密碼框輸入密碼測試樣例(for_test),並打開wireshark抓包。篩選目的地址為192.168.1.1的數據包
在HTTP傳輸包中,查看傳輸內容,可以看到我們剛剛輸入的測試樣例(for_test),就是我們向網關發出的數據包,數據包內容(輸入的密碼)是以明文傳輸的(password=for_test),這就驗證了我們在使用gvm漏掃的結果
實驗總結與體會
實踐過程與記錄
1.各種搜索技巧的應用
搜索某一個網址目錄結構
這里我選擇利用工具查看一下xinhuanet網站的目錄結構
msfconsole
use auxiliary/scanner/http/dir_scanner
set THREADS 50
set RHOSTS www.xinhuanet.com
exploit
掃到的結構如圖所示
這些在目錄后面的200、403、502是狀態碼,這些數據都是什么意思呢?
| 類別 | 原因短語 | |
|---|---|---|
| 1XX | Informational(信息性狀態碼) | 接收的請求正在處理 |
| 2XX | Success(成功狀態碼) | 請求正常處理完畢 |
| 3XX | Redirection(重定向) | 需要進行附加操作以完成請求 |
| 4XX | Client Error(客戶端錯誤狀態碼) | 服務器無法處理請求 |
| 5XX | Server Error(服務器錯誤狀態碼) | 服務器處理請求出錯 |
相關方面的更多信息,可以訪問這個網站噢一文牢記HTTP狀態碼借助狀態碼,用戶可以知道服務器端是正常處理了請求,還是出現了錯誤。 注意:這個掃到的結果是有差別的,如果該網站的運維人員采取了相關措施,是掃不出網站的目錄結構的。可以打開哪些狀態碼是2XX類型的,看看都有什么
我打開一個狀態碼是200的,看到這個目錄下存儲的好像是一個多年前的網頁
通過搜索引擎進行信息搜索
例如,我想要從互聯網中扒出某個人的信息,但是我目前已經知道了此人得到名字及學校,我還想知道此人在學校內參加過什么活動、擔任什么職位、負責研究過什么項目、有什么科研成果、拿過什么獎項越詳細越好,應該如何利用搜索引擎進行搜索呢?
比如此次實驗我將搜索范圍設置在“首都經貿大學學校官網”中,我先上搜索引擎上搜索這個學校,可以得到學校官網
https://www.cueb.edu.cn 就是學校的官網,注意:需要去掉www等前綴,還有也要把xxgk/dlwz/index.html這些后綴也要去掉
通過搜索引擎查找學校官網中上傳的excel表格,可以查找到一些校內人員負責項目的一些信息,
我大概逛了一下,這個網站對相關人員信息保護的還比較好,暫時沒有找到如電話號碼、學號、身份證號碼等信息。
我改變了一下搜索目標,發現有一個網站上傳的excel表格里面有一些學生信息,還有電話號碼,有心人員利用這些收集到的信息,基本上可以開始實施電信詐騙了(掌握了你的學校、學號、姓名、同學名稱、手機號、老師,會引導你進行校園貸注銷等操作)
咱們學校對個人信息保護得比較好,我查看了這些搜索引擎抓取到的文件,通過這種方法幾乎扒不出太多有用的信息
2.DNS IP注冊信息的查詢 1分
whois命令查詢
whois有什么用?
它是用來查詢域名的ip及所有者信息的;在滲透測試中,whois得到信息一般是為社會工程學攻擊做准備。在kali中可以輸入whois+域名進行查詢。進行whois查詢時記得去掉www等前綴
對新浪網用whois命令查詢,查詢結構如下圖
Registrant: 北京新浪互聯信息服務有限公司
域名擁有者是北京新浪互聯信息服務有限公司
得到的信息中有域名擁有者的聯系郵箱
Sponsoring Registrar: 北京新網數碼信息技術有限公司
域名注冊服務商是北京新網數碼信息技術有限公司
nslookup、dig域名查詢
nslookup結果中有這樣一條提示:Non-authoritative answer:
這是因為nslookup可以得到DNS解析服務器Cache的結果,這不一定是正確的,dig是從官方DNS服務器上查詢精確的結果。從圖中可以看到,查詢新浪的域名,這兩種方式得到的結果是一樣的。
為什么查詢的是sina.com.cn而不是sina.com呢?因為sina.com已經停止提供服務
如果需要查詢whois信息,除了kali的whois命令以外,還可以到網站進行查詢
whois(國外):https://www.whois.com/whois
IP2Location地理位置查詢
可以先用ping命令獲取目標域名的IP地址
IP地址所在位置查詢網站:https://www.ipaddressguide.com/ip2location
這個查詢有次數限制,每天能查20次
3.基本的掃描技術:主機發現、端口掃描、OS及服務版本探測、具體服務的查點(以自己主機為目標)1分
3.1主機發現
ping命令
原理:ping命令用發送ICMP報文的方法檢測活躍主機
輸入命令 ping [目標ip]
metasploit中arp_sweep模塊與udp_sweep 模塊
arp_sweep使用ARP請求枚舉本地局域網絡中的所有活躍主機
udp_sweep模塊除了可以探測到存活主機之外,還可以獲得主機名稱信息
注意:要先將Kali設成橋接模式才能掃描同一個網段下的其他主機,也可以選擇多開虛擬機,開啟“僅主機”模式,掃描由虛擬機組成的局域網
msfconsole
use auxiliary/scanner/discovery/arp_sweep //進入arp_sweep 模塊
set RHOSTS 主機地址 //用set進行hosts主機段設置
set THREADS 50
run //執行run進行掃描
nmap掃描
使用nmap命令
nmap -sn 192.168.1.0/24
尋找該網段下的活躍主機
windows端有nmap可視化界面應用,也可以下載nmap(for windows)進行掃描操作
3.2端口掃描
metasploit掃描端口
利用metasploit中的auxiliary/scanner/portscan中的掃描器進行端口掃描
use auxiliary/scanner/portscan/tcp
就是通過一次完整的TCP鏈接來判斷端口是否開放
msfconsole
use auxiliary/scanner/portscan/tcp
set RHOST 192.168.1.1
set THREADS 50
run
我這里掃描的是路由器(網關),發現一些端口是打開的
nmap掃描端口
nmap命令
-sS:TCP SYN掃描;
-sA:TCP ACK掃描。有時候由於防火牆會導致返回過濾/未過濾端口;
-sP:發送ICMP echo探測;
-sT:TCP connect掃描,最准確,但是很容易被IDS檢測到;
-sF/-sX/-sN:掃描特殊的標志位以避開設備或軟件的監測;
-O:啟用TCP/IP協議棧的指紋特征信息掃描以獲取遠程主機的操作系統信息;
-sV:獲取開放服務的版本信息;
nmap -sN 192.168.1.1
nmap掃描路由器,發現打開了9個端口,掃描結果與metasploit掃描結果一致
3.3 OS及服務版本探測
nmap -o 192.168.1.0/24
掃描網段內主機的操作系統類型及設備類型
3.4 具體服務的查點
Telnet服務掃描
telnet命令用於登錄遠程主機,對遠程主機進行管理。利用Telnet服務,黑客可以搜索遠程登錄Unix的服務。Telnet-23端口
msfconsole
use auxiliary/scanner/telnet/telnet_version
set RHOSTS 192.168.1.1
set THREADS 50
run
剛剛掃描過一次,路由器的23端口沒有打開,說明Telnet服務是關閉的。此次掃描結果是23端口沒有打開,與上一次掃描結果相符。
若想要查看某一網段里面的主機Telnet服務的開放情況,也可以設置掃描端口為某一網段
set RHOSTS 192.168.1.0/24
SSH服務掃描
一台服務器打開了SSH服務,就能通過輸入密碼登錄此台服務器。攻擊者一般先會掃描SSH服務是否打開,若打開,則會通過密碼字典等暴力破解等方式嘗試登錄此台服務器。SSH-22端口
msfconsole
use auxiliary/scanner/ssh/ssh_version
set RHOSTS 192.168.1.1
set THREADS 50
run
若想要查看某一網段里面的主機Telnet服務的開放情況,也可以設置掃描端口為某一網段
set RHOSTS 192.168.1.0/24
4.漏洞掃描:會掃,會看報告,會查漏洞說明,會修補漏洞(以自己主機為目標) 1分
在kali新版本中openvas改名成了gvm,openvas(gvm)運行報錯可以參考這篇博客:
https://www.cnblogs.com/wqnmlkb/p/14660127.html
注意:這里我建議無論是否在root下,都不要落下這個sudo,否則可能后面的步驟會出現報錯
更新軟件包列表
sudo apt-get update
獲取到最新的軟件包
sudo apt-get dist-upgrade
安裝(在root用戶下)
sudo apt-get install gvm
初始化
sudo gvm-setup
安裝完整性檢驗
sudo gvm-check-setup
看到It seems like your GVM installation is ok表示階段性安裝完畢
開啟這個軟件
gvm-start
開啟后會自動在瀏覽器打開gvm界面,輸入用戶名與密碼
掃描目標一:網關(路由器)
scan標簽下選擇Task,使用Task-Wizard新建掃描任務,輸入掃描目標的IP地址進行漏洞掃描
查看並分析掃描結果:打開查看一下掃描的詳細信息
點擊“Fri, Apr 22, 2022 9:40 AM UTC”即可查看掃描詳細信息
Vulnerability一列是漏洞名稱
solution type(圖標像拼圖)的一列表示的是解決此問題的方法;workaround大意就是可以使用替換方案解決此問題,mitigation大意是可以采取方案減輕此漏洞帶來的危害(個人理解)
Severity 一列是漏洞的危險級別
Host一列是漏洞存在的主機
Location一列顯示的是漏洞的端口及提供的服務
解決方案:
The mitigation for this kind of vulnerabilities highly depends on the service/product this vulnerability is detected at so no specific mitigation hints can / will be given here.
譯文:此類漏洞的緩解措施高度依賴於檢測到此漏洞的服務/產品,因此這里不能/將不會給出具體的緩解提示。
此次掃描結果大意就是此IP地址提供了web服務,但是未對傳輸的數據進行加密,中間人可以通過竊聽的方式獲取傳輸內容
我個人感覺這個漏洞的意義不大,因為192.168.1.1是網關(路由器)的地址,你通過抓包獲取人家的后台管理密碼,並修改了密碼,但是人家可以在路由器按一下RESET恢復出廠設置。你這個攻擊也無效
掃描目標二:本人手機
然后我還有對我的手機(honor_note10)進行了掃描,發現了CVE-1999-0524漏洞,危害等級: 低危
該漏洞大致就是該主機會應答 ICMP 時間戳請求。這導致攻擊者了解目標計算機上設置的日期,從而可能幫助未經認證的遠程攻擊者破壞基於時間進行認證的協議。
Description(漏洞描述)
ICMP information such as netmask and timestamp is allowed from arbitrary hosts.
譯文:允許任意主機提供諸如netmask和timestamp等ICMP信息
解決方案:過濾掉 ICMP 時間戳請求以及出站的 ICMP 時間戳回復。
可以在終端中使用以下命令:
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
sudo iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
sudo iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP接下來,重啟iptables服務,重啟命令:service iptables restart
檢查新添加的規則是否有效,檢查命令:iptables -L -n
solution source 解決方案來源:ICMP timestamp請求響應漏洞