20181330 王茜《網絡對抗技術》Exp5 資訊搜集與漏洞掃描

1.實踐原理說明

1.1 實踐目标

掌握資訊搜集的最基礎技能與常用工具的使用方法。

1.2 實踐内容

1.2.1 各種搜尋技巧的應用

1.2.2 DNS IP注冊資訊的查詢 

1.2.3 基本的掃描技術：主機發現、端口掃描、OS及服務版本探測、具體服務的查點（以自己主機為目标）

1.2.4 漏洞掃描：會掃，會看報告，會查漏洞說明，會修補漏洞（以自己主機為目标）

2.實踐過程記錄

2.1 各種搜尋技巧的應用

2.1.1 搜尋網址目錄結構

原理：

• 利用metasploit的dir_scanner輔助子產品，暴力猜解，擷取網站目錄結構。
• dir_scanner是Metasploit當中的一個輔助子產品，通過“use uxiliary/scanner/http/dir_scanner”指令調用。參數設定完成後使用exploit或者run指令發起攻擊。
• 開始攻擊前的參數設定：
  • THREADS：攻擊使用的線程數，數值越大力度越大，數值小不容易被發現
  • RHOSTS：目标網址或IP位址，url或IP前後http://和具體路徑

實踐：

• 我們輸入以下指令：

msfconsole
use auxiliary/scanner/http/dir_scanner
set THREADS 20
set RHOSTS www.baidu.com
exploit
      

• 于是獲得目标 www.baidu.com 的網頁目錄結構如下：
• 然後可以通過枚舉法，暴力猜解網站目錄結構

• 

• 

2.1.2 檢測特定類型的檔案

• 網上一些網站會直接連結通訊錄、各種名單等很多有敏感資訊的檔案，可以對特定類型的檔案進行針對性查找
  • filetype 限定搜尋結果的檔案類型
    • 格式：檢索詞 filetype:檔案類型
  • site ：限定檢索結果的來源
    • 格式：“檢索詞 site:限制域名”（域名不含有“http:”和“www.”）
  •  inurl ：在網址中進行搜尋
    • 格式：“檢索詞inurl:檢索詞”
  •   |  ：表示布爾邏輯中的或者（or）關系
    • 格式：“關鍵詞1 | 關鍵詞2”
  •  (空格) ：表示布爾邏輯中的交集（and）關系
    • 使用格式為“關鍵詞1 關鍵詞2”

• 在百度中搜尋 site:edu.cn filetype:xls
• 表示我們針對的是一些學校的網站，查詢的檔案類型為xls

• 點選搜尋結果後，就會自動開始下載下傳
• 我們檢視下載下傳的檔案，裡面就有很多個人隐私資訊

2.1.3 使用traceroute指令進行路由偵查

• traceroute指令利用ICMP協定定位使用者計算機和目标計算機之間的所有路由器。
• 通過traceroute我們可以知道資訊從我們自己的計算機到網際網路另一端的主機是走的什麼路徑。
• 每次資料包由某一同樣的出發點（source）到達某一同樣的目的地(destination)走的路徑可能會不一樣，但大部分時候所走的路由是相同的。
• traceroute指令讓我們追蹤網絡資料包的路由途徑，預設資料包大小是40Bytes，當然我們也可以另行設定。
• 格式： 具體參數格式：traceroute [-dFlnrvx][-f<存活數值>][-g<網關>...][-i<網絡界面>][-m<存活數值>][-p<通信端口>][-s<來源位址>][-t<服務類型>][-w<逾時秒數>][主機名稱或IP位址][資料包大小] 

• 我們使用一個最簡單、最常用的指令，輸入 traceroute www.baidu.com 

結果分析：

• 第一列：生存時間，每個紀錄就是一跳 ，每跳表示一個網關，每途經一個路由器結點自增1，
• 中間三列：三次發送的ICMP包，網關響應後傳回的時間，機關為毫秒。
  • 如果在 3 秒的逾時時間間隔中沒有來自探測的應答，那麼會針對該探測顯示出 *（星号）。
• 第五列：主機名以及途經路由器的IP位址。

那麼得到這些結果我們可以幹什麼呢？

• 我們就可以通過這個指令找到到達目的伺服器的線路，如果發現這條線路網絡掉包較高可以切雲伺服器的地點。
• 可以通過這個網站進行查找：https://tool.lu/ip/

查詢結果如下：

• 這裡就不一一舉例了，最後得到計算機的大緻線路如下：

124.65.143.5        北京市 聯通
61.51.113.109    北京市 聯通
125.33.186.17    北京市海澱區 聯通
110.242.66.182   河北省保定市 聯通
221.194.45.130    河北省保定市阜平縣 聯通
110.242.68.4        河北省保定市 聯通      

2.2 DNS IP注冊資訊的查詢 

2.2.1 whois域名注冊資訊查詢

• 在kali中輸入 whois + 域名 （要注意的是，域名是不包括www.和https://這些内容的），我們可以得到以下資訊：

Domain Name: 域名
Registrar: 注冊商（注意，有可能給你提供注冊服務的不是頂級注冊商，是使用了别人的域名接口，是以可能你看到的注冊商和你的域名商不一緻。）
Whois Server: whios的伺服器
Referral URL:注冊位址，就是為你提供注冊域名的服務商網址
Name Server:解析該域名的DNS伺服器
Status: clientDeleteProhibited (域名的狀态)
Status: clientTransferProhibited(域名的狀态)
Updated Date:已續費時間和域名操作更新時間
Creation Date: 注冊時間
Expiration Date: 過期時間      

• 我們輸入 whois csdn.net 查詢到的資訊如下：

2.2.2 nslookup,dig域名查詢

• nslookup
  • 可以指定查詢的類型，可以查到DNS記錄的生存時間還可以指定使用那個DNS伺服器進行解釋。
  • 在已安裝TCP/IP協定的電腦上面均可以使用這個指令。
  • 主要用來診斷域名系統(DNS)基礎結構的資訊。
  • 可以得到DNS解析伺服器儲存的Cache的結果，但并不是一定準确的。
  • 我的kali中沒有安裝nslookup
  • 如果不是最新的安裝源需要先更新，輸入 sudo apt-get update 
  • 然後安裝nslookup，輸入 sudo apt-get install dnsutils 
  • 安裝好之後，我們輸入nslookup csdn.net 進行查詢

  • 

  •  Server : 傳回的是自己的伺服器
  •  Address : 傳回自己的IP
  •  Non-authoritative answer : 未驗證的回答
  •  Name ：目标域名
  •  Addresses : 目标傳回的Ip

• dig
  • 查詢域名的A記錄，查詢的dns伺服器将采用系統配置的伺服器，即 /etc/resovle.conf  中的。
  • 如果要查詢其他類型的記錄，比如MX，CNAME，NS，PTR等，隻需将類型加在指令後面即可。
  • DNS 記錄的類型說明
    •  類型A記錄 : A記錄是指定域名對應的IP位址。
    •  類型AAAA記錄 ：該記錄是将域名解析到一個指定的IPV6的IP上
    •  類型CNAME記錄 ：通常稱别名解析。可以将注冊的不同域名都轉到一個域名記錄上，由這個域名記錄統一解析管理，與A記錄不同的是，CNAME别名記錄設定的可以是一個域名的描述而不一定是IP位址
    •  類型NS記錄  : 域名伺服器記錄，如果需要把子域名交給其他 DNS 伺服器解析，就需要添加 NS 記錄。
    •  類型MX記錄  :如果需要設定郵箱，讓郵箱能夠收到郵件，需要添加 MX 記錄。
    •  類型TXT記錄  : 可以寫任何東西，長度限制為 255。絕大多數的 TXT記錄是用來做 SPF 記錄(反垃圾郵件)。

• • 可以從官方DNS伺服器上查詢精确的結果。
  • 我們輸入 dig csdn.net 查詢

  

• 第一部分：顯示 dig 指令的版本和輸入的參數。
• 第二部分：顯示服務傳回的一些技術詳情，比較重要的是 status。如果 status 的值為 NOERROR 則說明本次查詢成功結束。
• 第三部分： "QUESTION SECTION" 顯示我們要查詢的域名。
• 第四部分： "ANSWER SECTION" 是查詢到的結果。
• 第五部分：本次查詢的一些統計資訊，比如用了多長時間，查詢了哪個 DNS 伺服器，在什麼時間進行的查詢等等。
此外，還可以在dig後面添加字尾，查詢其他内容，比如：
• +short 控制顯示内容。dig 指令預設傳回的結果展示詳細的資訊，如果要獲得精簡的結果可以使用 +short 選項
• +trace跟蹤整個查詢過程，如果你好奇 dig 指令執行查詢時都經曆了哪些過程，你可以嘗試使用 +trace 選項。它會輸出從根域到最終結果的所有資訊。
• +[no]search 使用 [不使用] 搜尋清單或 resolv.conf 中的域僞指令（如果有的話）定義的搜尋清單。預設情況不使用搜尋清單。 
• +[no]tcp 查詢域名伺服器時使用 [不使用] TCP。預設行為是使用 UDP，除非是 AXFR 或 IXFR 請求，才使用 TCP 連接配接。 
• +[no]vc 查詢名稱伺服器時使用 [不使用] TCP。+[no]tcp 的備用文法提供了向下相容。vc 代表虛電路。 
• +[no]nssearch 這個選項被設定時，dig 試圖尋找包含待搜名稱的網段的權威域名伺服器，并顯示網段中每台域名伺服器的 SOA 記錄。

• 

• 

2.2.3  IP2Location地理位置查詢

Step1：根據ip檢視地理位置

網站：www.maxmind.com

• 在指令行輸入 ping csdn.net 得到網站的ip位址：

• 

• csdn.net的ip位址為 47.95.164.112 
• 在www.maxmind.com網站下方輸入ip位址，送出檢視結果：

• 

• 送出自己的ip位址試試呢？

• 

• 可以看到我目前的地理位置。

Step2：根據ip位址查詢更多詳細資訊

網站：www.ip-adress.com

• 網站上方顯示的是自己本機的ip位址

• 

• 在右上角輸入我自己的ip看看~

• 

• 居然經緯度都有，好具體。

2.2.4 IP2反域名查詢

網站：https://www.shodan.io/

• 這個網站可以進行反域名查詢，能搜尋到查詢IP位址的地理位置、服務占用端口号，以及提供的服務類型
• 打開網站，輸入ip位址 47.95.164.112 ，這裡我查詢的是 csdn.net 的ip位址

• 

• 可以看到 csdn.net 占用的端口号為80和443
• 地理位置是中國北京
• 還可以看到 csdn.net 提供的服務

2.2.5 netcraft提供資訊查詢服務

網站：http://www.netcraft.com/

• 打開網站，輸入要查詢的網址，同樣地我們查詢csdn.net的網址 https://www.csdn.net/ 

• 

• 可以看到很多網站的資訊，包括：
  • 域名伺服器： vip3.alidns.com 
  • 域名注冊商： hichina.com 
  • 托管公司： 阿裡巴巴集團 
  • ……

2.3 基本的掃描技術：主機發現、端口掃描、OS及服務版本探測、具體服務的查點（以自己主機為目标）

2.3.1 主機發現

• ping
• ping 用于測試網絡連接配接量檢查網絡是否連通，可以很好地幫助我們分析和判定網絡故障。
• Ping發送一個ICMP即網際網路信報控制協定；回聲請求消息給目的地并報告是否收到所希望的ICMP echo。
• 它是用來檢查網絡是否通暢或者網絡連接配接速度的指令。
• 我們在指令行輸入 ping csdn.net

• 

• metasploit的arp_sweep子產品和udp_sweep子產品
  • Metasploit 中提供了一些輔助子產品可用于活躍主機的發現，這些子產品位于Metasploit 源碼路徑的 modules/auxiliary/scanner/discovery/  目錄中
  • 主要有以下幾個：
    • arp_sweep
    • ipv6_multicast_ping
    • ipv6_neighbor
    • ipv6_neighbor_router_advetisement
    • udp_probe
    • udp_sweep
  • 我們使用其中兩個常用子產品——arp_sweep子產品和udp_sweep子產品，主要功能為：
    • arp_sweep ：使用ARP請求枚舉本地區域網路絡中的所有活躍主機。
      • 輸入（這裡需要輸入 sudo su ，否則會沒有權限）：

      • msfconsole
        use auxiliary/scanner/discovery/arp_sweep //進入arp_sweep 子產品
        show options //查詢子產品參數
        set RHOSTS 192.168.91.0/24 //用set進行hosts主機段設定
        set THREADS 50 //加快掃描速度
        run //執行run進行掃描      

      • 

    • udp_sweep ：通過發送UDP資料包探查指定主機是否舌躍，并發現主機上的UDP服務。
      • 依次輸入以下指令：

      • msfconsole
        use auxiliary/scanner/discovery/udp_sweep //進入udp_sweep 子產品
        show options //查詢子產品參數
        set RHOSTS 192.168.91.0/24 //用set進行hosts主機段設定
        set THREADS 50 //加快掃描速度
        run //執行run進行掃描      

      • 

      • 

• nmap -sn
  • 可以用來探測某網段的活躍主機
  • nmap還有一些其他參數如下：
    • -vv ：設定對結果的詳細輸出；
    • --traceroute：路由跟蹤；
    • -sS：TCP SYN掃描，可以穿透防火牆；
    • -sA：TCP ACK掃描。有時候由于防火牆會導緻傳回過濾/未過濾端口；
    • -sP：發送ICMP echo探測， 設定掃描方式為ping掃描；
    • -sT：TCP connect掃描，最準确，但是很容易被IDS檢測到，不推薦；
    • -sF/-sX/-sN：掃描特殊的标志位以避開裝置或軟體的監測；
    • -O：啟用TCP/IP協定棧的指紋特征資訊掃描以擷取遠端主機的作業系統資訊；
    • -sV：擷取開放服務的版本資訊；
  • 輸入 nmap -sn 192.168.91.0/24 

  • 

2.3.2 端口掃描

• nmap -PU
  • 對UDP端口進行探測，與 metasploit 的 udp_sweep 子產品功能相同。
  • 輸入指令 nmap -PU 192.168.91.0/24 

  • 

• metasploit的tcp子產品
  •  modules/auxiliary/scanner/portscan 下的tcp子產品用來掃描靶機的TCP端口使用情況；
  • 依次輸入指令如下：

  • msfconsole
    use auxiliary/scanner/portscan/tcp //設定子產品
    set RHOSTS 192.168.91.133 //設定掃描位址 
    set PORTS 0-1024  //設定掃描端口範圍
    exploit //開始掃描
          

  • 

2.3.3 作業系統版本探測

• nmap -O <目标IP>
  • 讓Nmap對目标的作業系統進行識别，擷取目标機的作業系統和服務版本等資訊。
  •  其中-O是檢測作業系統交換機 <目标IP>是特定目标IP位址。
  • 輸入指令 nmap -O 123.127.3.121  

  • 

• nmap -sV
  •  -sV ：打開版本探測，檢視目标主機的詳細服務資訊
  •  -Pn ：非ping掃描，不執行主機發現，可以跳過防火牆，也就是在掃描之前，不發送ICMP echo請求測試目标。
  • 輸入指令 nmap -sV -Pn 192.168.91.133 

  • 

2.3.4 具體服務的查點

每個具體服務的探測都對應一個msf子產品，在modules/auxiliary/scanner中進行搜尋

• Telnet服務掃描
  • telnet指令用于登入遠端主機，對遠端主機進行管理。
  • 如果我們要使用telnet的遠端登入，使用前應在遠端伺服器上檢查并設定允許telnet服務的功能。
  • 輸入以下指令：

  • msfconsole
    use auxiliary/scanner/telnet/telnet_version //進入telnet子產品
    set RHOSTS 192.168.91.0/24 //掃描192.168.91.0網段
    set THREADS 50 //提高查詢速度
    run      

  • 

  • 

• SSH服務
  • 使用 auxiliary/scanner/ssh/ssh_login 子產品
  • 安全外殼協定(SSH)是一種在不安全網絡上提供安全遠端登入及其它安全網絡服務的協定。
  • SSH是廣泛使用的用于保護資料通信安全的協定。
  • 通過使用SSH，你可以把所有傳輸的資料進行加密，這樣“中間人”這種攻擊方式就不可能實作了， 而且也能夠防止DNS和IP欺騙。還有一個 額外的好處就是傳輸的資料是經過壓縮的，是以可以加快傳輸的速度。 

  • msfconsole
    use auxiliary/scanner/ssh/ssh_version //進入ssh子產品
    set RHOSTS 192.168.91.0/24 //掃描網段
    set THREADS 50 //提高查詢速度
    run      

  • 

• Oracle資料庫服務查點
  • 使用 auxiliary/scanner/oracle/tnslsnr_version 子產品

  • msfconsole
    use auxiliary/scanner/oracle/tnslsnr_version//選用需要的子產品
    show options
    set RHOSTS 192.168.91.0/24 //掃描網段
    set THREADS 200  //提高查詢速度
    run      

  • 

2.4 漏洞掃描：會掃，會看報告，會查漏洞說明，會修補漏洞（以自己主機為目标）

 Step1：安裝OpenVAS

• openvas在kali新版本下已被取代，執行openvas-start、openvas-feed-update指令會報錯，顯示沒有該指令。
• 是以我們直接安裝gvm
• 依次輸入：

• sudo apt-get update  //更新軟體庫
  sudo apt-get upgrade //更新軟體
  sudo apt-get dist-upgrade //更新系統
  sudo apt-get clean 
  apt-get install gvm //安裝gvm
  gvm-setup //初始化gvm，這裡需要很久      

• 初始化完成，gvm自動建立賬号admin、密碼

• 

• 可以輸入指令更改使用者名和密碼 sudo runuser -u _gvm -- gvmd --user=admin --new-password=[password] 
• 輸入 sudo gvm-check-setup 檢查是否安裝成功，出現下面的一行字就說明安裝成功

• 

 Step2：登入

• 輸入 gvm-start 啟動

• 

• 在另一個終端中（不能在root下，否則會報錯）輸入 firefox 
• 打開浏覽器，輸入網址
• 輸入使用者名和密碼成功登入

• 

 Step2：掃描

• 建立Target，依次點選 scans——>Tasks——>魔法棒——>Task Wizard 
• 然後輸入自己win10的主機位址 192.168.91.133 ，點選 start scan ，開始掃描

• 

• 如下圖，顯示Done後，就是掃描完成，點選掃描任務可以檢視結果

• 

 Step3：分析結果

• 我們點選 Full and Fast 檢視詳細資訊

• 

• 

• 可以看到，這裡共有六項内容：
  • Information：資訊
  • Scanner Preference：掃描器選擇
  • NVT FamiliesNVT ：指漏洞族群
  • NVT Preferences：網絡漏洞測試選擇
  • User Tags：使用者标簽
  • Permissions：使用者準入
• 我們來看看漏洞族中的内容，打開 Buffer overflow 看看

• 

• 可以看到裡面有很多漏洞，但是危險等級不同，我們打開這個最高的10的漏洞看看

• 

• 可以看到結果：

• 

• 其中的主要内容是：
•  Summary 該漏洞的描述，也就是此主機正在運作3CTftpSvc TFTP伺服器，容易出現緩沖區溢出漏洞。
•  Insight 是說該缺陷是由于處理過程中的邊界錯誤造成的，TFTP讀/寫請求包類型。這個可以利用此漏洞導緻堆棧通過發送帶有超長模式字段的巧盡心思建構的資料包，實作基于緩沖區的溢出。
•  Impact 代碼可能造成的後果，就是說：成功利用此漏洞将允許攻擊者導緻應用程式崩潰，拒絕向合法使用者提供進一步服務。
•  Solution 是關于該漏洞的解決方案：該漏洞至少一年内沒有解決方案或修補程式。這個網站可能不會再提供解決方案了。一般解決方案是更新到一個較新的版本，禁用各自的功能，删除産品或更換産品的另一個。
• 我們再來看一個FTP中的漏洞

• 

• 我們檢視這個危險等級為9.3的漏洞

• 

  、
• 可以看到：

• 

• 具體分析如下：
  •  Summary 描述：此主機安裝有3D FTP用戶端，容易出現目錄周遊漏洞。
  •  Insight 原因：該漏洞的存在是由于處理某些檔案時出錯造成的檔案名字。它未正确清理包含從FTP伺服器接收的directorytraversal序列的檔案名。
  •  Impact 後果：成功利用此漏洞将允許攻擊者将檔案寫入，在使用者登入時執行惡意代碼的使用者的啟動檔案夾。
  •  Solution 解決：更新至9.03或更高版本。

3.實驗後回答問題

3.1 哪些組織負責DNS，IP的管理。

• ICANN（網際網路名稱與數字位址配置設定機構）負責全球IP位址和域名管理。
• ICANN負責在全球範圍内對網際網路唯一辨別符系統及其安全穩定的營運進行協調，包括：
  • 網際網路協定（IP）位址的空間配置設定
  • 協定辨別符的指派
  • 通用頂級域名（gTLD）
  • 國家和地區頂級域名（ccTLD）系統的管理
  • 根伺服器系統的管理
• 全球根域名伺服器：絕大多數在歐洲和北美（全球13台，用A~M編号），中國僅擁有鏡像伺服器（備份）。
• 全球一共有5個地區性注冊機構：
  • ARIN主要負責北美地區業務
  • RIPE主要負責歐洲地區業務
  • APNIC主要負責亞太地區業務
  • LACNIC主要負責拉丁美洲美洲業務
  • AfriNIC負責非洲地區業務

3.2 什麼是3R資訊。

• 注冊人(Registrant)
• 注冊商(Registrar)
• 官方注冊局(Registry)

3.3 評價下掃描結果的準确性。

• 總體來說還是算準确的，但是難免會有一些出入。
• 有時候使用不同的方法掃描，同樣的内容還會有不同的結果。
• 具體見實驗過程記錄。

4.實驗總結與體會

本次實驗除了安裝openvas比較麻煩之外，其餘的内容難度不大。

通過實驗，我掌握了資訊搜集的最基礎技能，還有一些常用工具的使用方法，也學會了資訊分析的一些方法。

本次實驗中進行了資訊搜集，這是滲透測試的第一步。當然，在平時我們也可以對自己的資訊進行搜集，對自己的網絡安全性進行評估，優化防禦政策，增強網絡安全。

實驗中有一部分是檢測特定類型的檔案，從網上随意下載下傳了一份檔案是“2008年研究所學生挂職鍛煉名單”，裡面有學生的學号、性别、挂職機關、指導老師……

我又随便百度了檔案中的一個人名，出來了他的相關資訊和報道，具體就不展示了，但是可以推測出他所在的院校是浙江大學。

我們根本沒有使用什麼很難的技術，随随便便都可以擷取到這麼多的資訊，可見網絡上個人隐私的洩露是多麼嚴重……

平時還是要保護好自己的資訊，但是還真的不是一件很不容易的事情。