标签归档:nmap

发现内网存活主机的各种姿势

本文主要是讲nmap的扫描和基于msf的扫描发现内网存活主机,每一个点都尽量详细介绍。

1.基于UDP的扫描

UDP简介:UDP(User Datagram Protocol)是一种无连接的协议,在第四层-传输层,处于IP协议的 上一层。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报 文发送之后,是无法得知其是否安全完整到达的。

UDP显著特性:1.UDP 缺乏可靠性。UDP 本身不提供确认,超时重传等机制。UDP 数据报可能在网络中被 复制,被重新排序,也不保证每个数据报只到达一次。2.UDP 数据报是有长度的。每个 UDP 数据报都有长度,如果一个数据报正确地到达目的 地,那么该数据报的长度将随数据一起传递给接收方。而 TCP 是一个字节流协议,没有任 何(协议上的)记录边界。3.UDP 是无连接的。UDP 客户和服务器之前不必存在长期的关系。大多数的UDP实现中都 选择忽略源站抑制差错,在网络拥塞时,目的端无法接收到大量的UDP数据报 4.UDP 支持多播和广播

nmap扫描

nmao -sU -T5 -sV —max-retries 1 192.168.1.100 -p 500 (不推荐,理由慢)

-sU 基于UDP的扫描

-T5 nmap的扫描速度 -T(0-5)越大越快

-sV 探测开启的端口来获取服务、版本信息

—max-retries 扫描探测的上限次数设定

-p 只扫描指定端口

msf扫描

use auxiliary/scanner/discovery/udp_prob
use auxiliary/scanner/discovery/udp_sweep

use 引用

show options 显示可设置的参数

auxiliary (辅助)/ scanner(扫描)/discovery(发现)/udp_probe(探测)/udp_sweep(彻底搜索)

2.基于arp的扫描

ARP简介:ARP,通过解析网路层地址来找寻数据链路层地址的一个在网络协议包中极其重要的网络传输 协议。根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的 ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址

nmap扫描 nmap -sn -RP 192.168.1.1/24

-sn 不扫描端口,只扫描主机

-PR ARP ping扫描

-sP Ping扫描 sn

-P0 无Ping扫描

-PS TCP SYN Ping扫描

-PA TCP ACK Ping扫描

-PU UDP ping扫描

-PE/PM/PP ICMP Ping Types扫描

msf扫描 use auxiliary/scanner/discovery/arp_sweep

3.基于netbios 的扫描

nmap扫描

netbios简介:IBM公司开发,主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以 使用的应用程序编程接口(API),为程序提供了请求低级服务的同一的命令集,作用是为 了给局域网提供网络以及其他特殊功能。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名-——特指基于 NETBIOS协议获得计算机名称——解析为相应IP地址,实现信息通讯,所以在局域网内部使 用NetBIOS协议可以方便地实现消息通信及资源的共享

nmap -sU —script nbstat.nse -p137 172.16.0.127 -T4

—script 指定脚本

nbstat.nse netbios扫描脚本

137端口默认开发netbios

msf use auxiliary/scanner/netbios/nbname

4.基于snmp扫描

SNMP简介:SNMP是一种简单网络管理协议,它属于TCP/IP五层协议中的应用层协议,用于网络管理的 协议。SNMP主要用于网络设备的管理。SNMP协议主要由两大部分构成:SNMP管理站和 SNMP代理。SNMP管理站是一个中心节点,负责收集维护各个SNMP元素的信息,并对这 些信息进行处理,最后反馈给网络管理员;而SNMP代理是运行在各个被管理的网络节点之 上,负责统计该节点的各项信息,并且负责与SNMP管理站交互,接收并执行管理站的命 令,上传各种本地的网络信息。

nmap扫描

nmap -sU —script snmp-brute ip -T4

msf扫描

use auxiliary/scanner/snmp/snmp_enum

默认161端口

5.基于icp扫描

ICMP简介:它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指 网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输 用户数据,但是对于用户数据的传递起着重要的作用。

nmap扫描

nmap -sP -PI 192.168.1.1/24 -T4

nmap ‐sn ‐PE ‐T4 192.168.1.0/24

-PI 进行ping扫描

-PE与P0功能一样 无ping扫描

6.基于smb服务扫描

SMB(全称是Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。SMB最初是IBM的贝瑞·费根鲍姆(Barry Feigenbaum)研制的,其目的是将DOS操作系统中的本地文件接口“中断13”改造为网络文件系统。

nmap扫描

默认端口445

-sS :半开放扫描(非3次握手的tcp扫描)

(使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快,效率高(一个完整的tcp连接需要3次握手,而-sS选项不需要3次握手)Tcp SYN Scan (sS) 它被称为半开放扫描优点:Nmap发送SYN包到远程主机,但是它不会产生任何会话,目标主机几乎不会把连接记入系统日志。(防止对方判断为扫描攻击),扫描速度快,效率高,在工作中使用频率最高缺点:它需要root/administrator权限执行)

msf扫描

渗透测试信息收集工具篇

1、whois 查询网站及服务器信息

如果知道目标的域名,你首先要做的就是通过 Whois 数据库查询域名的注册信息,Whois 数据库是提供域名的注册人信息,包括联系方式,管理员名字,管理员邮箱等等,其中也包括 DNS 服务器的信息。

默认情况下,Kali 已经安装了 Whois 。你只需要输入要查询的域名即可:

利用以上收集到的邮箱、QQ、电话号码、姓名、以及服务商,可以针对性进行攻击,利用社工库进行查找相关管理员信息,另外也可以对相关 DNS 服务商进行渗透,查看是否有漏洞,利用第三方漏洞平台,查看相关漏洞。

2、Dig 使用

可以使用 dig 命令对 DNS 服务器进行挖掘,Dig 命令后面直接跟域名,回车即可,如图:

【Dig常用选项】

1 -c 选项,可以设置协议类型( class ),包括 IN (默认)、CH 和 HS。

2 -f 选项,dig 支持从一个文件里读取内容进行批量查询,这个非常体贴和方便。文件的内容要求一行为一个查询请求。来个实际例子吧:

3 -4 和 -6 两个选项,用于设置仅适用哪一种作为查询包传输协议,分别对应着 IPv4 和 IPv6。

4 -t 选项,用来设置查询类型,默认情况下是 A,也可以设置 MX 等类型,来一个例子:

5 -q 选项,其实它本身是一个多余的选项,但是它在复杂的 dig 命令中又是那么的有用。-q 选项可以显式设置你要查询的域名,这样可以避免和其他众多的参数、选项相混淆,提高了命令的可读性,来个例子:

6 -x 选项,是逆向查询选项。可以查询 IP 地址到域名的映射关系。举一个例子:

【跟踪 dig 全过程】

dig 非常著名的一个查询选项就是 +trace,当使用这个查询选项后,dig 会从根域查询一直跟踪直到查询到最终结果,并将整个过程信息输出出来

【精简 dig 输出】

使用 +nocmd 的话,可以节省输出 dig 版本信息。

Dig 可以用来查域传送漏洞

前面介绍了 dig 的使用,若将查询类型设定为 axfr,就能得到域传送数据。这也是我们要用来测试 DNS 域传送泄露的命令

3、Nslookup 用法

nslookup 是站长较为常用的工具之一,它甚至比同类工具 dig 的使用人数更多,原因是它的运行环境是 windows ,并且不需要我们再另外安装什么东西。dig 是在 linux 环境里运行的命令,不过也可以在 windows 环境里使用,只是需要安装 dig windows 版本的程序。

Nslookup 命令以两种方式运行:非交互式和交互式。本文第一次提到 “交互式” 的概念,简单说明:交互式系统是指执行过程中允许用户输入数据和命令的系统。而非交互式系统,是指一旦开始运行,不需要人干预就可以自行结束的系统。因此,nslookup 以非交互式方式运行,就是指运行后自行结束。而 “交互式”,是指开始运行后,会要求使用者进一步输入数据和命令。

DNS 记录类型:

A 地址记录 AAAA 地址记录 AFSDB Andrew 文件系统数据库服务器记录 ATMA ATM 地址记录 CNAME 别名记录 HINFO 硬件配置记录,包括 CPU 、操作系统信息 ISDN 域名对应的 ISDN 号码 MB 存放指定邮箱的服务器 MG 邮件组记录 MINFO 邮件组和邮箱的信息记录 MR 改名的邮箱记录 MX 邮件服务器记录 NS 名字服务器记录 PTR 反向记录 RP 负责人记录 RT 路由穿透记录 SRV TCP 服务器信息记录 TXT 域名对应的文本信息 X25 域名对应的 X.25 地址记录

举例说明:

设置类型为 ns

下面的例子查询 baidu.com 使用的 DNS 服务器名称:

下面的例子展示如何查询 baidu.com 的邮件交换记录:

查看网站 cname 值。

查看邮件服务器记录( -qt=MX )

同样 nslookup 也可以验证是否存在域传送漏洞,步骤如下:

1) nslookup 进入交互式模式

2) Server 设置使用的 DNS 服务器

3) ls 命令列出某个域中的所有域名

4、fierce 工具

在进行了基本域名收集以后,如果能通过主域名得到所有子域名信息,再通过子域名查询其对应的主机 IP,这样我们能得到一个较为完整的信息。除了默认使用,我们还可以自己定义字典来进行域名爆破。

使用 fierce 工具,可以进行域名列表查询:fierce -dns domainName

输出结果表明,程序首先进行了域传送测试,域传送通过一条命令就能获取服务器上所有的域名信息。如果一次就能简单获取服务器上所有记录域名信息,就不再暴力破解。

但从结果上看,“Unsucessful in zone transfer” , 域传送测试是失败了。接着执行暴力破解,测试的数量取决于字典中提供的字符串数量,上例中没有指定字典,在默认情况下在 Kali 中使用 /usr/share/fierce/hosts.txt。一个内部网络的 DNS 域名服务器可以提供大量信息,这些信息可以在以后评估网络漏洞。

5、theHarvester 的使用

theHarvester 是一个社会工程学工具,它通过搜索引擎、PGP 服务器以及 SHODAN 数据库收集用户的 email ,子域名,主机,雇员名,开放端口和 banner 信息。

-d 服务器域名 -l 限制显示数目 -b 调用搜索引擎(baidu,google,bing,bingapi,pgp,linkedin,googleplus,jigsaw,all) -f 结果保存为HTML和XML文件 -h 使用傻蛋数据库查询发现主机信息

实例1:

theHarvester -d sec-redclub.com -l 100 -b baidu

实例2:

输出到 html 文件中,可以更清晰的看到搜索的网站信息的模型。

theHarvester -d sec-redclub.com -l 100 -b baidu -fmyresults.html

6、DNS 枚举工具 DNSenum

DNSenum 是一款非常强大的域名信息收集工具。它能够通过谷歌或者字典文件猜测可能存在的域名,并对一个网段进行反向查询。它不仅可以查询网站的主机地址信息、域名服务器和邮件交换记录,还可以在域名服务器上执行 axfr 请求,然后通过谷歌脚本得到扩展域名信息,提取子域名并查询,最后计算 C 类地址并执行 whois 查询,执行反向查询,把地址段写入文件。本小节将介绍使用 DNSenum 工具检查 DNS 枚举。在终端执行如下所示的命令:

输出的信息显示了 DNS 服务的详细信息。其中,包括主机地址、域名服务地址和邮件服务地址,最后会尝试是否存在域传送漏洞。

使用 DNSenum 工具检查 DNS 枚举时,可以使用 dnsenum 的一些附加选项,如下所示。

–threads[number]:设置用户同时运行多个进程数。 -r:允许用户启用递归查询。 -d:允许用户设置 WHOIS 请求之间时间延迟数(单位为秒)。 -o:允许用户指定输出位置。 -w:允许用户启用 WHOIS 请求。

7、subDomainsbrute 二级域名收集

二级域名是指顶级域名之下的域名,在国际顶级域名下,它是指域名注册人的网上名称;在国家顶级域名下,它是表示注册企业类别的符号。我国在国际互联网络信息中心(Inter NIC) 正式注册并运行的顶级域名是CN,这也是我国的一级域名。在顶级域名之下,我国的二级域名又分为类别域名和行政区域名两类。类别域名共7个,包括用于科研机构的ac;国际通用域名com、top;用于教育机构的edu;用于政府部门的gov;用于互联网络信息中心和运行中心的net;用于非盈利组织的org。而行政区域名有34个,分别对应于我国各省、自治区和直辖市。(摘自百度百科

以上为工具默认参数,如果是新手,请直接跟主域名即可,不用进行其它设置。

python subDomainsbrute.py sec-redclub.com

就可以直接运行,等待结果,最后在工具文件夹下面存在txt文件,直接导入扫描工具就可以进行扫描了。

8、layer子域名检测工具

layer子域名检测工具主要是windows一款二级域名检测工具,利用爆破形式。

工具作者:http://www.cnseay.com/4193/

域名对话框直接输入域名就可以进行扫描了,工具显示比较细致,有域名、解析 ip、cnd 列表、web 服务器和网站状态,这些对于一个安全测试人员,非常重要。如下操作:

回显示大部分主要二级域名。

9、Nmap

Nmap 是一个网络连接端口扫描软件,用来扫描网上电脑开放的网络连接端口。确定哪些服务运行在哪些连接端口,并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一,以及用以评估网络系统安全。

功能:

1、 主机发现

2、 端口扫描

3、 版本侦测

4、 OS侦测

几种部署方式:

1、Kail 集成环境

2、单独安装(使用 yum 工具直接安装)

3、PentestBox 环境

4、Windows 版等等

Nmap 的参数和选项繁多,功能非常丰富。我们先来看一下 Nmap 的通用命令格式:(详细教程及下载方式参见:http://nmap.org/

Nmap < 扫描选项 > < 扫描目标 >

主机发现的原理与 Ping 命令类似,发送探测包到目标主机,如果收到回复,那么说明目标主机是开启的。Nmap 支持十多种不同的主机探测方式,比如发送 ICMP ECHO/TIMESTAMP/NETMASK 报文、发送 TCPSYN/ACK 包、发送 SCTP INIT/COOKIE-ECHO 包,用户可以在不同的条件下灵活选用不同的方式来探测目标机。

主机发现的基本用法:

-sL: List Scan 列表扫描,仅将指定的目标的IP列举出来,不进行主机发现。 -sn: Ping Scan 只进行主机发现,不进行端口扫描。 -Pn: 将所有指定的主机视作开启的,跳过主机发现的过程。 -PS/PA/PU/PY[portlist]: 使用TCPSYN/ACK或SCTP INIT/ECHO方式进行发现。 -PE/PP/PM: 使用ICMP echo,timestamp, and netmask 请求包发现主机。 -PO[protocollist]: 使用IP协议包探测对方主机是否开启。 -sP:Ping 指定范围内的 IP 地址 -n/-R: -n表示不进行DNS解析;-R表示总是进行DNS解析。 –dns-servers <serv1[,serv2],…>: 指定DNS服务器。 –system-dns: 指定使用系统的DNS服务器 –traceroute: 追踪每个路由节点

扫描局域网 192.168.80.1/24 范围内哪些 IP 的主机是活动的。

命令如下:

nmap –sn 192.168.80.1/24

由图可知:192.168.80.1、192.168.80.254、192.168.80.166 三台主机处于存活状态。

扫描局域网 192.168.80.100-200 范围内哪些 IP 的主机是活动的。

命令如下:

nmap –sP 192.168.80.100-200

端口扫描是 Nmap 最基本最核心的功能,用于确定目标主机的 TCP/UDP 端口的开放情况。默认情况下,Nmap 会扫描 1000 个最有可能开放的 TCP 端口。Nmap 通过探测将端口划分为 6 个状态:

open:端口是开放的。 closed:端口是关闭的。 filtered:端口被防火墙 IDS/IPS 屏蔽,无法确定其状态。 unfiltered:端口没有被屏蔽,但是否开放需要进一步确定。 open|filtered:端口是开放的或被屏蔽。 closed|filtered :端口是关闭的或被屏蔽。

端口扫描方面非常强大,提供了很多的探测方式:

TCP SYN scanning TCP connect scanning TCP ACK scanning TCP FIN/Xmas/NULL scanning UDP scanning

其他方式

-sS/sT/sA/sW/sM: 指定使用 TCPSYN/Connect()/ACK/Window/Maimon scans 的方式来对目标主机进行扫描。 -sU: 指定使用 UDP 扫描方式确定目标主机的UDP端口状况。 -sN/sF/sX: 指定使用 TCP Null,FIN, and Xmas scans 秘密扫描方式来协助探测对方的 TCP 端口状态。 –scanflags <flags>: 定制 TCP 包的 flags。 -sI zombiehost[:probeport]: 指定使用 idle scan 方式来扫描目标主机(前提需要找到合适的 zombie host ) -sY/sZ: 使用 SCTPINIT/COOKIE-ECHO 来扫描 SCTP 协议端口的开放的情况。 -sO: 使用 IP protocol 扫描确定目标机支持的协议类型。 -b <FTP relay host>: 使用 FTPbounce scan 扫描方式 -p 指定端口扫描

在此,我们以主机 192.168.80.166 为例。命令如下:

nmap-sS -p0-65535 -T4 192.168.80.166

参数 -sS 表示使用 TCP SYN 方式扫描 TCP 端口;-p0-65535 表示扫描所有端口;-T4 表示时间级别配置 4 级;

扫描特定端口是否开放

nmap -p21,80,445,3306 192.168.80.166

简要的介绍版本的侦测原理。版本侦测主要分为以下几个步骤:

1、首先检查 open 与 open|filtered 状态的端口是否在排除端口列表内。如果在排除列表,将该端口剔除。

2、如果是 TCP 端口,尝试建立 TCP 连接。尝试等待片刻(通常 6 秒或更多,具体时间可以查询文件 nmap-services-probesProbe TCP NULL q|| 对应的 totalwaitms )。通常在等待时间内,会接收到目标机发送的 “WelcomeBanner” 信息。nmap 将接收到的 Banner 与 nmap-services-probesNULL probe 中的签名进行对比。查找对应应用程序的名字与版本信息。

3、如果通过 “Welcome Banner” 无法确定应用程序版本,那么 nmap 再尝试发送其他的探测包(即从 nmap-services-probes 中挑选合适的 probe ),将 probe 得到回复包与数据库中的签名进行对比。如果反复探测都无法得出具体应用,那么打印出应用返回报文,让用户自行进一步判定。

4、如果是 UDP 端口,那么直接使用 nmap-services-probes 中探测包进行探测匹配。根据结果对比分析出 UDP 应用服务类型。

5、如果探测到应用程序是 SSL,那么调用 openSSL 进一步的侦查运行在 SSL 之上的具体的应用类型。

6、如果探测到应用程序是 SunRPC,那么调用 brute-force RPC grinder 进一步探测具体服务。

具体参数解释

-sV: 指定让 Nmap 进行版本侦测 –version-intensity <level>: 指定版本侦测强度 ( 0-9 ),默认为 7 。数值越高,探测出的服务越准确,但是运行时间会比较长。 –version-light: 指定使用轻量侦测方式 ( intensity 2 ) –version-all: 尝试使用所有的probes进行侦测 ( intensity 9 ) –version-trace: 显示出详细的版本侦测过程信息。

对主机 192.168.80.166 进行版本侦测。

命令如下:

nmap -sV -p0-65535 -T4 192.168.80.166

Nmap 使用 TCP/IP 协议栈指纹来识别不同的操作系统和设备。在 RFC 规范中,有些地方对 TCP/IP 的实现并没有强制规定,由此不同的 TCP/IP 方案中可能都有自己的特定方式。Nmap 主要是根据这些细节上的差异来判断操作系统的类型的。

具体实现方式如下:

Nmap 内部包含了 2600 多已知系统的指纹特征(在文件 nmap-os-db 文件中)。将此指纹数据库作为进行指纹对比的样本库。分别挑选一个 open 和 closed 的端口,向其发送经过精心设计的 TCP/UDP/ICMP 数据包,根据返回的数据包生成一份系统指纹。将探测生成的指纹与 nmap-os-db 中指纹进行对比,查找匹配的系统。如果无法匹配,以概率形式列举出可能的系统。

-O: 指定 Nmap 进行 OS 侦测。 –osscan-limit: 限制 Nmap 只对确定的主机的进行 OS 探测(至少需确知该主机分别有一个 open 和 closed 的端口)。 –osscan-guess: 大胆猜测对方的主机的系统类型。由此准确性会下降不少,但会尽可能多为用户提供潜在的操作系统。

命令如下:

nmap –O 192.168.80.166

-vv 详细显示扫描状态

nmap -p21,80,445,3306 -vv 192.168.80.166

–script 使用 nse 脚本,也可自行编写 nse 脚本,nmap 有 580 多个脚本

nmap –script=auth 192.168.80.166

–script=brute 对弱口令进行暴力破解

nmap –script=brute 192.168.80.166

–script=default 使用默认 nse 脚本搜集应用的信息

nmap –script=default 192.168.80.166

–script=vuln 检测常见漏洞

nmap –script=vuln 192.168.80.166

优势:

1、功能灵活强大,支持多种目标,大量计算机的同时扫描;

2、开源,相关帮助文档十分详细;

3、流行,由于其具有强大的扫描机探测功能,,已被成千上万安全专家使用。

劣势:

Nmap 参数众多,难以一一记忆;

10、DirBuster

DirBuster 是一款路径及网页暴力破解的工具,可以破解出一直没有访问过或者管理员后台的界面路径。

安装方式:

Java 运行环境 + DirBuster 程序包

使用方式:

1、直接双击 DirBuster.jar 打开软件,在 URL 中输入目标 URL 或者主机 IP 地址

2、在 file with list of dirs/files 栏后点击 browse,选择破解的字典库为 directory-list-2.3-small.txt

3、将 File extension 中填入正确的文件后缀,默认为 php ,如果为 jsp、asp、aspx 页面,需要填入 jsp、asp、aspx 同样可以选择自己设置字典,线程等等

4、其他选项不变,点击右下角的 start,启动目录查找

5、观察返回结果,可点击右下角的 report,生成目录报告

优点:

1、敏感目录发掘能力强

2、OWASP安全机构极力推荐

缺点:

探测目录依赖字典文件(可以说工具只是辅助,在不同的人手里,工具有不同的功效,为什么呢?因为核心是字典,牛逼的人经过常年的渗透测试收集到的字典足够精准足够全面,所以新手可以先学习工具,想要成长还是要搞清楚原理。)