枚举服务
枚举主要用来从一个网络中收集某一类的所有相关信息
DNS枚举
- DNSenum
DNSenum是一款域名信息收集工具,它能够通过谷歌或字典文件猜测可能存在的域名,并对网段进行反向查询。它不仅可以获取主机地址信息、域名服务器、邮件交换记录、还可以在域名服务其上执行axfr请求,然后通过谷歌脚本得到扩展域名信息,提取子域名并查询,然后使用whois查询,执行反向查询,把地址段写入文件。
官方用途说明:
- 获取主持人的收件人(A记录)。
- 获取namservers(线程)。
- 获取MX记录(线程)。
- 对名称服务器执行axfr查询并获取BIND VERSION(线程)。
- 通过谷歌搜索获取额外的名称和子域名(google query =“allinurl:-www site:domain”)。
- 来自文件的暴力子域,也可以在具有NS记录的子域上执行递归(所有线程)。
- 计算C类域网络范围并对它们执行whois查询(线程化)。
- 对netranges(C类或/和whois netranges)执行反向查找(线程化)。
- 写入domain_ips.txt文件ip-blocks。
来源:https://github.com/fwaeytens/dnsenum
实例:dnsenum --enum [域名]
[email protected] ~ [23:36:11] > $ dnsenum --enum baidu.com Smartmatch is experimental at /usr/bin/dnsenum line 698. Smartmatch is experimental at /usr/bin/dnsenum line 698. dnsenum VERSION:1.2.4 Warning: can't load Net::Whois::IP module, whois queries disabled. Warning: can't load WWW::Mechanize module, Google scraping desabled. ----- baidu.com ----- Host's addresses: __________________ baidu.com. 5 IN A 123.125.114.144 baidu.com. 5 IN A 220.181.57.216 Name Servers: ______________ ns2.baidu.com. 5 IN A 220.181.37.10 ns4.baidu.com. 5 IN A 14.215.178.80 ns3.baidu.com. 5 IN A 112.80.248.64 dns.baidu.com. 5 IN A 202.108.22.220 ns7.baidu.com. 5 IN A 180.76.76.92 Mail (MX) Servers: ___________________ mx1.baidu.com. 5 IN A 61.135.165.120 mx1.baidu.com. 5 IN A 220.181.50.185 jpmx.baidu.com. 5 IN A 61.208.132.13 mx50.baidu.com. 5 IN A 180.76.13.18 mx.n.shifen.com. 5 IN A 220.181.50.185 mx.n.shifen.com. 5 IN A 220.181.3.85 mx.maillb.baidu.com. 5 IN A 220.181.50.185 Trying Zone Transfers and getting Bind Versions: _________________________________________________ Trying Zone Transfer for baidu.com on dns.baidu.com ... AXFR record query failed: REFUSED Trying Zone Transfer for baidu.com on ns2.baidu.com ... AXFR record query failed: REFUSED Trying Zone Transfer for baidu.com on ns3.baidu.com ... AXFR record query failed: REFUSED Trying Zone Transfer for baidu.com on ns7.baidu.com ... AXFR record query failed: REFUSED Trying Zone Transfer for baidu.com on ns4.baidu.com ... AXFR record query failed: REFUSED brute force file not specified, bay.官方提供完整选项:常用附加选项
--threads [number] 设置用户同时运行多个进程数 -r 允许用户启用递归查询 -d 允许用户设置WHOIS请求之间时间延迟数(单位是秒) -o path 允许用户制定输出位置(xml文件) -w 允许用户启用WHOIS请求 输出的XML样例:用法:dnsenum [选项] <域> [选项]: 注意:强制-f开关是强制性的。 常规选项: - dnsserver <server> 将此DNS服务器用于A,NS和MX查询。 --enum Shortcut选项相当于--threads 5 -s 15 -w。 -h, - help打印此帮助信息。 --noreverse跳过反向查找操作。 --nocolor禁用ANSIColor输出。 --private在文件domain_ips.txt的末尾显示并保存私有ips。 --subfile <file>将所有有效的子域写入此文件。 -t, - timeout <value> tcp和udp超时值,以秒为单位(默认值:10秒)。 --threads <value>将执行不同查询的线程数。 -v, - verbose详细:显示所有进度和所有错误消息。 GOOGLE SCRAPING OPTIONS:-p , - pages <value>刮取名称时要处理的Google搜索页数, 默认为5页,必须指定-s开关。 -s,-scrap <value>将从Google中删除的子域的最大数量(默认为15)。 BRUTE FORCE OPTIONS: -f, - file <file>从此文件中读取子域以执行暴力破解。 -u, - update <a | g | r | z> 使用有效子域更新使用-f开关指定的文件。 使用所有结果进行(全部)更新。 g仅使用谷歌抓取结果进行更新。 r仅使用反向查找结果进行更新。 z仅使用zonetransfer结果进行更新。 -r, - incursion在子域上递归,强制所有具有NS记录的已发现的子域。 WHOIS NETRANGE选项: -d, - delay <value> whois查询之间等待的秒数的最大值,该值是随机定义的,默认值:3s。 -w, - whois在c类网络范围上执行whois查询。 **警告**:这会产生非常大的网络范围,并且执行反向查找将花费大量时间。 反向查找 选项: -e, - exclude <regexp> 从反向查找结果中排除与regexp表达式匹配的PTR记录,对无效主机名很有用。 输出选项: -o --output <file>以XML格式输出。可以在MagicTree中导入(www.gremwell.com)
kali linux 渗透技术学习笔记 1.信息收集——枚举服务枚举服务
Fierce
Fierce 主要对子域名进行扫描和搜集信息,使用Fierce 工具获取目标主机上所有IP地址和主机信息。
官方用途说明:
首先是Fierce不是。Fierce不是IP扫描程序,它不是DDoS工具,它不是为扫描整个Internet或执行任何非目标攻击而设计的。它专门用于定位企业网络内外的可能目标。仅列出那些目标(除非使用-nopattern开关)。不执行任何攻击(除非您使用-connect开关执行故意恶意攻击)。Fierce是一种侦察工具。Fierce是一个PERL脚本,可以使用多种策略快速扫描域(通常只需几分钟,假设没有网络延迟)。
Fierce是一种半轻量级扫描程序,可帮助查找指定域中的非连续IP空间和主机名。它实际上是作为nmap,unicornscan,nessus,nikto等的前传,因为所有这些都要求您已经知道您正在寻找什么IP空间。这不会执行利用,也不会无差别地扫描整个互联网。它专门用于定位企业网络内外的可能目标。因为它使用DNS主要是您经常会发现错误配置的网络泄漏内部地址空间。这在目标恶意软件中特别有用。
实例:fierce -dns [域名] -file [存储地址]
[email protected] ~ [23:36:11] > $ fierce -dns baidu.com -file /home/fxy/文档/txt/fierce-dns_of_baidu.com.txt Now logging to /home/fxy/文档/txt/fierce-dns_of_baidu.com.txt DNS Servers for baidu.com: #域名服务器 ns2.baidu.com ns3.baidu.com dns.baidu.com ns7.baidu.com ns4.baidu.com Trying zone transfer first... Testing ns2.baidu.com Request timed out or transfer not allowed. Testing ns3.baidu.com Request timed out or transfer not allowed. Testing dns.baidu.com Request timed out or transfer not allowed. Testing ns7.baidu.com Request timed out or transfer not allowed. Testing ns4.baidu.com Request timed out or transfer not allowed. Unsuccessful in zone transfer (it was worth a shot) Okay, trying the good old fashioned way... brute force Checking for wildcard DNS... Nope. Good. Now performing 2280 test(s)... #所有子域名地址 10.94.49.39 access.baidu.com 10.11.252.74 accounts.baidu.com 182.61.62.50 ad.baidu.com 10.26.109.19 admin.baidu.com 10.42.4.225 ads.baidu.com 10.99.87.18 asm.baidu.com 10.42.122.102 at.baidu.com 10.91.161.102 athena.baidu.com 10.143.145.28 backup.baidu.com 172.18.100.200 bd.baidu.com 10.36.155.42 bh.baidu.com ......此处省略部分信息 10.94.35.35 ws.baidu.com 180.76.177.109 x.baidu.com 180.97.34.175 xi.baidu.com 10.46.229.22 zeus.baidu.com Subnets found (may want to probe here using nmap or unicornscan): #所有子网 10.100.46.0-255 : 1 hostnames found. 10.100.84.0-255 : 1 hostnames found. 10.105.97.0-255 : 1 hostnames found. 10.11.0.0-255 : 1 hostnames found. 10.11.250.0-255 : 1 hostnames found. 10.11.252.0-255 : 1 hostnames found. 10.114.40.0-255 : 1 hostnames found. 10.126.81.0-255 : 1 hostnames found. ......此处省略部分信息 61.135.163.0-255 : 1 hostnames found. 61.135.185.0-255 : 2 hostnames found. Done with Fierce scan: http://ha.ckers.org/fierce/ Found 239 entries. #一共找到239个子域名 Have a nice day.官方提供完整选项:常用附加选项
-file filepath 导出到文档 -wordlist filepath 使用字典来进行操作 用法:perl fierce.pl [-dns example.com] [OPTIONS ] 选项: -connect尝试与任何非RFC1918 (公共)地址建立http连接。这将输出返回标题但 会被警告,这可能需要很长时间才能对付具有 多个目标的公司,具体取决于网络/机器滞后。我不 建议这样做,除非它是一家小公司或你手上有 很多空闲时间(可能需要几小时)。 在指定的文件内,文件“Host:\ n”将被 指定的主机替换。 用法: perl fierce.pl -dns example.com -connect headers.txt -delay查找之间等待的秒数。 -dns您要扫描的域。 -dnsfile使用文件提供的DNS服务器(每行一个)进行 反向查找(强力)。 -dnsserver使用特定的DNS服务器进行反向查找 (可能应该是目标的DNS服务器)。Fierce 使用您的DNS服务器进行初始SOA查询,然后 默认使用目标的DNS服务器进行所有其他查询。 -file要输出以记录的文件。 -fulloutput当与-connect结合使用时,这将输出所有内容 Web服务器发送回来,而不仅仅是HTTP标头。 -help这个屏幕。 -nopattern在查找附近的 主机时不要使用搜索模式。而是转储一切。这确实很嘈杂,但 对于查找垃圾邮件发送者可能正在 使用的其他域名非常有用。它还会给你很多误报, 特别是在大型域名上。 -range扫描内部IP范围(必须与 -dnsserver 结合使用)。请注意,这不支持模式 ,只会输出它找到的任何内容。 用法: perl fierce.pl -range 111.222.333.0-255 -dnsserver ns1.example.co - 搜索列表。当激烈尝试遍历 ipspace时,可能会遇到 可能属于同一公司的其他域中的其他服务器。如果您提供 逗号分隔列表以激烈,它将报告找到的任何内容。 如果公司服务器的名称 与面向公众的网站不同,则此功能尤其有用。 用法: perl fierce.pl -dns examplecompany.com -search corpcompany,blahcompany 请注意,使用搜索还可以大大扩展 找到的主机数量,因为一旦找到 您在搜索列表中指定的服务器,它将继续遍历。越多的 越好。 -suppress抑制所有TTY输出(与-file结合使用时)。 -tcptimeout指定不同的超时(默认为10秒)。 如果您查询的DNS服务器 速度很慢或网络滞后很多,您可能希望增加此值。 -threads指定扫描时要使用的线程数(默认 为单线程)。 -traverse指定在您 找到的用于查找附近IP 的IP之上和之下的IP数。默认值为5以上和 以下。Traverse不会移动到其他C块中。 -version输出版本号。 -wide在找到任何匹配后扫描整个C类 该类C中的主机名。这会产生更多流量, 但可以发现更多信息。 -wordlist使用单独的单词表(每行一个单词)。 用法: perl fierce.pl -dns examplecompany.com -wordlist dictionary.txt
SNMP枚举
使用SNMP时注意:
(1) 确保你的kali已经启动了snmpd.service服务。
(2) 确保目标windows主机已启用snmp服务
(3) 确保能ping通目标windows主机(实验中可关闭防火墙)
(4) 可能是目标Windows主机的snmp服务没设置好,右击电脑图标->管理->服务和应用程序->服务-->右击SNMP Service选择属性->安全选项->在社区中添加名称public,权限为只读或读写->在下面选择接受来自任何主机的SNMP数据包。
来源:http://blog.sina.cn/dpool/blog/s/blog_45b28bfb0100kzbb.html
Snmpwalk
Snmpwalk 使用SNMP的GETNEXT请求,查询指定的所有OID树信息,并显示给用户。
实例:snmpwalk -c public [IP](这里使用回环地址) -v 2c(版本)
[email protected] ~ [1:17:30] > $ snmpwalk -v 2c -c public localhost iso.3.6.1.2.1.1.1.0 = STRING: "Linux kali 4.19.0-kali4-amd64 #1 SMP Debian 4.19.28-2kali1 (2019-03-18) x86_64" iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.8072.3.2.10 iso.3.6.1.2.1.1.3.0 = Timeticks: (7317) 0:01:13.17 iso.3.6.1.2.1.1.4.0 = STRING: "Me <[email protected]>" iso.3.6.1.2.1.1.5.0 = STRING: "kali" iso.3.6.1.2.1.1.6.0 = STRING: "Sitting on the Dock of the Bay" iso.3.6.1.2.1.1.7.0 = INTEGER: 72 iso.3.6.1.2.1.1.8.0 = Timeticks: (11) 0:00:00.11 iso.3.6.1.2.1.1.9.1.2.1 = OID: iso.3.6.1.6.3.11.3.1.1 iso.3.6.1.2.1.1.9.1.2.2 = OID: iso.3.6.1.6.3.15.2.1.1 iso.3.6.1.2.1.1.9.1.2.3 = OID: iso.3.6.1.6.3.10.3.1.1 iso.3.6.1.2.1.1.9.1.2.4 = OID: iso.3.6.1.6.3.1 iso.3.6.1.2.1.1.9.1.2.5 = OID: iso.3.6.1.6.3.16.2.2.1 iso.3.6.1.2.1.1.9.1.2.6 = OID: iso.3.6.1.2.1.49 iso.3.6.1.2.1.1.9.1.2.7 = OID: iso.3.6.1.2.1.4 iso.3.6.1.2.1.1.9.1.2.8 = OID: iso.3.6.1.2.1.50 iso.3.6.1.2.1.1.9.1.2.9 = OID: iso.3.6.1.6.3.13.3.1.3 iso.3.6.1.2.1.1.9.1.2.10 = OID: iso.3.6.1.2.1.92 iso.3.6.1.2.1.1.9.1.3.1 = STRING: "The MIB for Message Processing and Dispatching." iso.3.6.1.2.1.1.9.1.3.2 = STRING: "The management information definitions for the SNMP User-based Security Model." iso.3.6.1.2.1.1.9.1.3.3 = STRING: "The SNMP Management Architecture MIB." iso.3.6.1.2.1.1.9.1.3.4 = STRING: "The MIB module for SNMPv2 entities" iso.3.6.1.2.1.1.9.1.3.5 = STRING: "View-based Access Control Model for SNMP." iso.3.6.1.2.1.1.9.1.3.6 = STRING: "The MIB module for managing TCP implementations" iso.3.6.1.2.1.1.9.1.3.7 = STRING: "The MIB module for managing IP and ICMP implementations" iso.3.6.1.2.1.1.9.1.3.8 = STRING: "The MIB module for managing UDP implementations" iso.3.6.1.2.1.1.9.1.3.9 = STRING: "The MIB modules for managing SNMP Notification, plus filtering." iso.3.6.1.2.1.1.9.1.3.10 = STRING: "The MIB module for logging SNMP Notifications." iso.3.6.1.2.1.1.9.1.4.1 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.2 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.3 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.4 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.5 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.6 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.7 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.8 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.9 = Timeticks: (10) 0:00:00.10 iso.3.6.1.2.1.1.9.1.4.10 = Timeticks: (11) 0:00:00.11 iso.3.6.1.2.1.25.1.1.0 = Timeticks: (252184) 0:42:01.84 iso.3.6.1.2.1.25.1.2.0 = Hex-STRING: 07 E3 04 07 01 12 0E 00 2B 08 00 iso.3.6.1.2.1.25.1.3.0 = INTEGER: 393216 iso.3.6.1.2.1.25.1.4.0 = STRING: "BOOT_IMAGE=/boot/vmlinuz-4.19.0-kali4-amd64 root=UUID=0fb75442-bfba-4432-af7b-d44a972449ee ro initrd=/install/gtk/initrd.gz quie" iso.3.6.1.2.1.25.1.5.0 = Gauge32: 2 iso.3.6.1.2.1.25.1.6.0 = Gauge32: 221 iso.3.6.1.2.1.25.1.7.0 = INTEGER: 0 iso.3.6.1.2.1.25.1.7.0 = No more variables left in this MIB View (It is past the end of the MIB tree)一些常用的方法如下:
1、snmpwalk -v 2c -c public IPv4 .1.3.6.1.2.1.25.1 得到取得windows端的系统进程用户数等.其中-v是指版本,-c 是指密钥,也就是客户端snmp.conf里面所设置的,下面类同.
2、snmpwalk -v 2c -c public IPv4 .1.3.6.1.2.1.25.2.2 取得系统总内存
3、snmpwalk -v 2c -c public IPv4 hrSystemNumUsers 取得系统用户数
4、snmpwalk -v 2c -c public IPv4 .1.3.6.1.2.1.4.20 取得IP信息
5、snmpwalk -v 2c -c public IPv4 system 查看系统信息
6、snmpwalk -v 2c -c public IPv4 ifDescr 获取网卡信息
来源:https://andyniu.iteye.com/blog/2126542
Snmp-check
Snmpcheck允许用户枚举SNMP设备的同时将结果以可读的方式输出。
官方用途说明:
与snmpwalk一样,snmp-check允许您枚举SNMP设备并将输出置于一种非常易读的友好格式。它可用于渗透测试或系统监控。根据GPL许可证分发,并基于jshaw的“Athena-2k”脚本。
snmp-check支持以下枚举:联系、描述、检测写访问(通过枚举单独执行)、设备、域、硬件和存储信息、主机名、IIS统计信息、IP转发、监听UDP端口、地点、MOTD、挂载点、网络接口、网络服务、流程、路由信息、软件组件、系统正常运行时间、TCP连接、总记忆力、运行时间、用户帐户。
实例:snmp-check [IP](此处localhost) -c public -v 2c
[email protected] ~ [1:54:18] > $ snmp-check localhost -c public -v 2c [!] Invalid IP address! [email protected] ~ [1:54:26] > $ snmp-check 127.0.0.1 -c public -v 2c snmp-check v1.9 - SNMP enumerator Copyright (c) 2005-2015 by Matteo Cantoni (www.nothink.org) [+] Try to connect to 127.0.0.1:161 using SNMPv2c and community 'public' [*] System information: Host IP address : 127.0.0.1 Hostname : kali Description : Linux kali 4.19.0-kali4-amd64 #1 SMP Debian 4.19.28-2kali1 (2019-03-18) x86_64 #消息描述 Contact : Me <[email protected]> Location : Sitting on the Dock of the Bay Uptime snmp : 01:18:24.02 #SNMP进程运行时间 Uptime system : 00:37:35.37 #开机时间 System date : 2019-4-7 01:54:36.0 [*] Network information: Default TTL : noSuchObject TCP segments received : noSuchObject TCP segments sent : noSuchObject TCP segments retrans : noSuchObject Input datagrams : noSuchObject Delivered datagrams : noSuchObject Output datagrams : noSuchObject [*] File system information: Index : noSuchObject Mount point : noSuchObject Access : noSuchObject Bootable : noSuchObject官方提供完整选项:常用附加选项
-file filepath 导出到文档 -wordlist filepath 使用字典来进行操作 官方实例:用法:snmp-check [OPTIONS] <目标IP地址> -p --port:SNMP端口。默认端口为161; -c --community:SNMP社区。默认是公开的; -v --version:SNMP版本(1,2c)。默认值为1; -w --write:检测写访问(通过枚举单独执行); -d --disable_tcp:禁用TCP连接枚举! -t --timeout:以秒为单位的超时。默认值为5; -r --retries:请求重试。默认值为1; -i --info:show script version; -h --help:显示帮助菜单;root @ kali:〜#snmp-check 192.168.1.2 -c public snmp-check v1.9 - SNMP enumerator Matteo Cantoni版权所有(c)2005-2015(www.nothink.org) [+]尝试连接到192.168。 1.2:161使用SNMPv1和社区'public' [*]系统信息: 主机IP地址:192.168.1.2 主机名:...缩回... 说明:...缩回... 联系人:...缩回... 位置:...缩回... 正常运行时间snmp: - 正常运行时间系统:3天,00:13:51.05 系统日期: - [*]网络信息: .... SNIP ... [*]网络接口: .... SNIP ... [*]网络IP: .... SNIP ... [*]路由信息: .... SNIP ... [*] TCP连接和监听端口: .... SNIP ... [*]听UDP端口: .... SNIP ...
SMTP枚举
smtp-user-enum
smtp-user-enum是针对SMTP服务器的25端口,进行用户名枚举的工具,用以探测服务器已存在的邮箱账户。
官方用途说明:
smtp-user-enum是一种通过SMTP服务(sendmail)在Solaris上枚举操作系统级用户帐户的工具。通过检查对VRFY,EXPN和RCPT TO命令的响应来执行枚举。它可以适用于对抗其他易受攻击的SMTP守护进程,但是从v1.0开始就没有这样做。
实例:smtp-user-enum -t [IP](这里测试的是163的smtp服务器) -M VRFY -u [测试用户名](此处测试的是root)
官方提供完整选项:[email protected] ~ [2:06:04] > $ smtp-user-enum -t 220.181.12.17 -M VRFY -u root Starting smtp-user-enum v1.2 ( http://pentestmonkey.net/tools/smtp-user-enum ) ---------------------------------------------------------- | Scan Information | ---------------------------------------------------------- Mode ..................... VRFY #SMTP枚举使用的模式 Worker Processes ......... 5 #运行的进程数 Target count ............. 1 #目标账户数(此处用-u root只有一个账户,当然也可以-U file来使用字典) Username count ........... 1 #用户名帐号数 Target TCP port .......... 25 #目标TCP端口 Query timeout ............ 5 secs#超时时间 Target domain ............ #目标域名 ######## Scan started at Sun Apr 7 02:06:37 2019 ######### #扫描启动时间 ######## Scan completed at Sun Apr 7 02:06:37 2019 ######### #扫描结束时间 0 results. 1 queries in 1 seconds (1.0 queries / sec)用法:smtp-user-enum.pl [options] (-u username | -U file-of-usernames)( - t host | -T file-of-targets) 选项为: -mn最大进程数(默认值:5) -M mode用于猜测用户名的方法EXPN ,VRFY或RCPT(默认值:VRFY) -u用户检查远程系统上是否存在用户 -f addr MAIL FROM电子邮件地址。仅在“RCPT TO”模式下使用(默认值:[email protected]) -D dom域附加到提供的用户列表以生成电子邮件地址(默认值:无) 当您想要猜测有效的电子邮件地址而不是仅使用此选项时用户名 例如“-D example.com”会猜foo @ example.com,bar @ example.com等。而 不仅仅是用户名foo和bar。 -U file要通过smtp service检查的用户名文件 -t host运行smtp服务的服务器主机 -T文件运行smtp服务的主机名文件 -p port 运行smtp服务的TCP端口(默认值:25) -d调试输出 -tn等待最多n秒进行回复(默认值:5) -v Verbose -h此帮助消息 另请参阅smtp-user-enum tar ball中的smtp-user-enum-user-docs.pdf。
博主还在学习kali的相关内容,如有错误,还请各位指出,谢谢。
![“云管边端”协同的边缘计算安全防护解决方案0 引 言1 5G 及边缘计算2 边缘计算面临的风险3 “云管边端”安全防护技术4 “云管边端”安全防护实践5 结 语[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)