Exp6 信息收集與漏洞掃描

實踐過程記錄

一、各種搜索技巧的應用

1_搜索網址目錄結構

• dir_scanner

use auxiliary/scanner/http/dir_scanner

This module identifies the existence of interesting directories in a given directory path.
此模塊標識給定目錄路徑中存在的有趣目錄。

• dir_listing

use auxiliary/scanner/http/dir_listing

This module identifies directory listing vulnerabilities

in a given directory path.
此模塊在給定的目錄路徑中標識目錄列表漏洞

• brute_dirs

use auxiliary/scanner/http/brute_dirs

This module identifies the existence of interesting directories by brute forcing the name in a given directory path.
此模塊通過強制在給定目錄路徑中強制名稱來標識有趣目錄的存在。

2_檢測特定類型的文件

• 有些網站會鏈接通訊錄，訂單等敏感的文件，可以進行針對性的查找， 如Google，site:XXX.com filetype:xls
  • filetype
    能對搜索結果的文件類型進行限定，格式為“檢索詞 filetype:文件類型”
  • -能在檢索結果中獲取檢索詞的補集，格式為“檢索詞 -詞語”
  • site能限制檢索結果的來源，格式為“檢索詞 site:限制域名”（不要在“:”後的域名中輸入“http:”和“www.”）
  • inurl能在網址中進行搜索，格式為“檢索詞inurl:檢索詞”
  • |表示布爾邏輯中的或者（or）關系，使用格式為“關鍵詞1 | 關鍵詞2”
  • 空格` `表示布爾邏輯中的交集（and）關系，使用格式為“關鍵詞1 關鍵詞2”
  • 高級搜索界面，高級搜索界面的入口在搜索引擎首頁右上角“設置”->“高級搜索”
    

• 搜索引擎輸入搜索filetype:xls site:edu.cn 四級

  
  

• 下載其中一個文件，打開
  

3_IP路由偵查

traceroute命令利用ICMP協議定位用戶計算機和目標計算機之間的所有路由器。TTL值可以反映數據包經過的路由器或網關的數量，通過操縱獨立ICMP呼叫報文的TTL值和觀察該報文被拋棄的返回信息，traceroute命令能夠遍歷到數據包傳輸路徑上的所有路由器。

從左到右的5條信息分別代表了“生存時間”（每途經一個路由器結點自增1）、“三次發送的ICMP包返回時間”（共計3個，單位為毫秒ms）和“途經路由器的IP地址”（如果有主機名，還會包含主機名）。其中帶有星號（*）的信息表示該次ICMP包返回時間超時。

二、DNS IP註冊信息查詢

1_whois

• 可以查詢到註冊人、註冊商、官方註冊局等3R信息
• whois [網址] （註意：進行whois查詢時去掉www等前綴，因為註冊域名時通常會註冊一個上層域名，子域名由自身的域名服務器管理，在whois數據庫中可能查詢不到。）
  

2_nslookup域名查詢

• 可以得到DNS解析服務器保存的Cache結果，結果不一定準確
• nslookup [網址]
  

3_dig域名查詢

• 可以從官方DNS服務器得到精確的查詢結果

• dig csdn.net
  

• dig命令還有很多其他的查詢選項，每個選項被帶前綴（+）的關鍵字表示，例如：

4_IP2Location 地理位置查詢

• 利用MAXMIND網站可以根據IP查詢地理位置。
  

(查一下www.maxmind.com自己>w<)

• 利用IP-Adress.com查詢詳細信息

（也是查一下www.ip-adress.com >w<）

5_IP2 反域名查詢

• 利用shodan搜索引擎進行反域名查詢，可以查詢到IP的地理位置、服務占用端口號，以及提供的服務類型

三、基本的掃描技術(以本機為目標)

1_主機發現：ping

ping命令用發送ICMP報文的方法檢測活躍主機

2_主機發現：msf的 arp_sweep 模塊

arp_sweep Description:
Enumerate alive Hosts in local network using ARP requests.
使用ARP請求枚舉本地網絡中的活動主機。

use auxiliary/scanner/discovery/arp_sweep

3_主機發現：udp_sweep

udp_sweep Description:
Detect interesting UDP services.
檢測有趣的UDP服務.

use auxiliary/scanner/discovery/udp_sweep(註意這裏要把靶機防火墻關掉，不然掃描失敗了)

4_主機發現：nmap -sn

nmap -sn參數可以用來探測某網段的活躍主機
相關參數：
-sS：TCP SYN掃描，可以穿透防火墻；
-sA：TCP ACK掃描。有時候由於防火墻會導致返回過濾/未過濾端口；
-sP：發送ICMP echo探測；
-sT：TCP connect掃描，最準確，但是很容易被IDS檢測到，不推薦；
-sF/-sX/-sN：掃描特殊的標誌位以避開設備或軟件的監測；
-O：啟用TCP/IP協議棧的指紋特征信息掃描以獲取遠程主機的操作系統信息；
-sV：獲取開放服務的版本信息

nmap -sn 192.168.1.0/24

5_端口發現：nmap -PU

nmap -PU參數是對UDP端口進行探測，與udp_sweep模塊功能相同。

nmap -sn 192.168.1.0/24

6_版本探測：nmap -O

nmap -O選項讓Nmap對目標的操作系統進行識別，獲取目標機的操作系統和服務版本等信息

nmap -O 192.168.1.104

發現提示No exact OS matches for host（沒有確切的OS匹配主機），看了一下後面指路的網站操作系統/服務指紋和更正提交頁面，說有時Nmap完全無法確定目標計算機的操作系統或服務的版本詳細信息，因此它會吐出操作系統或服務指紋。然後順手去提交了一波

7_版本探測：nmap -sV

nmap -sV查看目標主機的詳細服務信息

nmap -sV -Pn 192.168.1.104，其中-Pn是在掃描之前，不發送ICMP echo請求測試目標

8_具體服務的查點：Telnet服務掃描

telnet命令用於登錄遠程主機,對遠程主機進行管理
Telnet協議是TCP/IP協議族中的一員，是Internet遠程登錄服務的標準協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到服務器。終端使用者可以在telnet程序中輸入命令，這些命令會在服務器上運行，就像直接在服務器的控制臺上輸入一樣。可以在本地就能控制服務器。要開始一個telnet會話，必須輸入用戶名和密碼來登錄服務器。Telnet是常用的遠程控制Web服務器的方法。

use auxiliary/scanner/telnet/telnet_version

9_具體服務的查點：SSH服務

SSH（“安全外殼”）協議是用於從一個系統安全遠程登錄到另一個的方法。用戶通過客戶端 - 服務器架構格式的不安全網絡使用安全通道，用於將SSH客戶端與SSH服務器連接起來。

use auxiliary/scanner/ssh/ssh_version

10_具體服務的查點：Oracle數據庫服務查點

tnslsnr_version Description:
This module simply queries the tnslsnr service for the Oracle build.
該模塊只是查詢tnslsnr服務以獲取Oracle構建。
tnslsnr.exe是附屬於軟件 TNSLSNR.exe 或 HSPM 或 Oracle Database 10g Express Edition 由 Oracle Corporation 發行。
註釋: 文件 TNSLSNR.exe 是存放在 "C:\Program Files" 下的子目錄。已知的 Windows XP 文件大小為 204,800 字節 (占總出現比率 37% )，279,560 字節，476,752 字節，266,192 字節，113,152 字節，263,712 字節。
這個文件沒有發行者的資料。 應用程序是不可見的。 這個不是 Windows 系統文件。 這進程打開接口到局域網或互聯網以發放或接收資料。 總結在技術上威脅的危險度是 71% , 但是也可以參考 用戶意見。
切記： TNSLSNR.exe 也可能是惡意軟件所偽裝，尤其是當它們存在於 c:\windows 或 c:\windows\system32 目錄。我們建議使用 Security Task Manager 來檢查電腦的安全狀況，以便進一步查看 TNSLSNR.exe 進程是否真的有害。
參考資料 (這一段應該是直接用翻譯軟件翻譯的英文)

use auxiliary/scanner/oracle/tnslsnr_version

四、漏洞掃描————安裝OpenVAS

1_安裝OpenVAS

apt-get update
apt-get dist-upgrade
apt-get install openvas
openvas-setup //安裝成功後悔自動生成管理員賬號和密碼
openvas-check-setup //檢查是否安裝成功

遇到的問題及解決方案看下一個模塊~

2_登錄

在執行完openvas-setup後，或使用openvas-start命令，會自動打開瀏覽器的openvas界面，輸入生成的用戶名和密碼登錄

3_新建目標並掃描

• Scans->Task->Task Wizard，新建一個任務巫師
  

• 鍵入主機ip地址，開始掃描
  

• 點擊掃描結果中的Full and fast
  

• 進入Network Vulnerability Test Families（網路漏洞測試系列），可以看到很多種類的漏洞，單擊其中的Buffer overflow（緩沖區溢出）
  

• 查看其中一個漏洞的詳細信息（以Adobe Acrobat and Reader SING ‘uniqueName‘ Buffer Overflow Vulnerability (Windows)為例)
  

  • 摘要：此主機與Adobe Reader / Acrobat一起安裝，容易出現緩沖區溢出漏洞
  • 受影響的軟件/操作系統：Adobe Reader 9.3.4及更早版本。Adobe Acrobat版本9.3.4和之前的Windows操作系統。
  • 漏洞觀察力：該缺陷是由於在處理字體中SING表的‘uniqueName‘條目時‘CoolType.dll‘內的邊界錯誤。
  • 解決方案：（類型：供應商修復）升級到Adobe Reader / Adob??e Acrobat 9.4或更高版本。

實驗後回答問題

（1）哪些組織負責DNS，IP的管理。

全球根服務器均由美國政府授權的互聯網名稱與數字地址分配機構（ICANN）決定域名和IP地址的分配。

其下有三個支持機構，其中地址支持組織 ASO 負責IP地址系統的管理；域名支持組織 DNSO 負責互聯網上的域名系統的管理。 ICANN 是為承擔域名系統管理，IP地址分配，協議參數配置，以及主服務器系統管理等職能而設立的非盈利機構。

全球一共有5個地區性註冊機構：ARIN（北美地區業務），RIPE（負責歐洲地區業務），APNIC（負責亞太地區業務），LACNIC（負責拉丁美洲美洲業務），AfriNIC（負責非洲地區業務）。

（2）什麽是3R信息。

註冊人 Registrant 、註冊商 Registrar 、官方註冊局 Registry

（3）評價下掃描結果的準確性。

掃描結果相對準確吧，至少從我使用的這幾個程序/模塊來看，就是nmap操作系統沒掃描出來。

實驗過程中遇到的問題及解決方案

在下載openvas時，執行apt-get dist-upgrade後，出現資源無法下載的問題

• 更換軟件源，這裏我換成了清華大學的源deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free

通過openvas-check-setup檢查，提示找不到Openvas CERT數據庫

• 直接根據下方提示執行greenbone-certdata-sync
  

• 再次執行openvas-check-setup，顯示It seems like your OpenVAS-9 installation is OK.，檢測成功
  

無法登陸127.0.0.1:9392

• “127.0.0.1:9392使用無效的安全證書”

• 點擊Advanced(高級)->Add Exception(添加例外)->Get Certificate，得到新的安全證書
  

• 可以查看證書內容，點擊Confirm Security Exception，確認
  

• 輸入用戶名和密碼，可以登錄啦~
  

參考資料

[1] OpenVAS安裝過程
[2] Kali linux 2016.2（Rolling）裏安裝OpenVAS
[3] OS/Service Fingerprint and Correction Submission Page
[4] tnslsnr.exe是什麽進程

20165218 《網絡對抗技術》Exp6 信息收集與漏洞掃描