安全工具系列 -- 信息收集(二)
1、whois查询网站及服务器信息
如果知道目标的域名,你首先要做的就是通过Whois数据库查询域名的注册信息,Whois数据库是提供域名的注册人信息,包括联系方式,管理员名字,管理员邮箱等等,其中也包括DNS服务器的信息。
默认情况下,Kali已经安装了Whois。你只需要输入要查询的域名即可:
利用以上收集到的邮箱、QQ、电话号码、姓名、以及服务商,可以针对性进行攻击,利用社工库进行查找相关管理员信息,另外也可以对相关DNS服务商进行渗透,查看是否有漏洞,利用第三方漏洞平台,查看相关漏洞。
2、Dig使用
可以使用dig命令对DNS服务器进行挖掘。
Dig命令后面直接跟域名,回车即可
Dig常用选项
- -c 选项,可以设置协议类型(class),包括IN(默认)、CH和HS。
- -f 选项,dig支持从一个文件里读取内容进行批量查询,这个非常体贴和方便。文件的内容要求一行为一个查询请求。来个实际例子吧:
- -4 和-6 两个选项,用于设置仅适用哪一种作为查询包传输协议,分别对应着IPv4和IPv6。
- -t 选项,用来设置查询类型,默认情况下是A,也可以设置MX等类型,来一个例子:
- -q 选项,其实它本身是一个多余的选项,但是它在复杂的dig命令中又是那么的有用。-q选项可以显式设置你要查询的域名,这样可以避免和其他众多的参数、选项相混淆,提高了命令的可读性,来个例子:
- -x 选项,是逆向查询选项。可以查询IP地址到域名的映射关系。举一个例子:
跟踪dig全过程
dig非常著名的一个查询选项就是+trace,当使用这个查询选项后,dig会从根域查询一直跟踪直到查询到最终结果,并将整个过程信息输出出来
精简dig输出
使用+nocmd的话,可以节省输出dig版本信息。
Dig可以用来查域传送漏洞,前面介绍了dig的使用,若将查询类型设定为axfr,就能得到域传送数据。这也是我们要用来测试DNS域传送泄露的命令.
3、Nslookup用法
nslookup是站长较为常用的工具之一,它甚至比同类工具dig的使用人数更多,原因是它的运行环境是windows,并且不需要我们再另外安装什么东西。dig是在linux环境里运行的命令,不过也可以在windows环境里使用,只是需要安装dig windows版本的程序。
Nslookup命令以两种方式运行:非交互式和交互式。
本文第一次提到“交互式”的概念,简单说明:交互式系统是指执行过程中允许用户输入数据和命令的系统。而非交互式系统,是指一旦开始运行,不需要人干预就可以自行结束的系统。因此,nslookup以非交互式方式运行,就是指运行后自行结束。而交互式,是指开始运行后,会要求使用者进一步输入数据和命令。
类型
- A 地址记录
- AAAA 地址记录
- AFSDB Andrew文件系统数据库服务器记录
- ATMA ATM地址记录
- CNAME 别名记录
- HINFO 硬件配置记录,包括CPU、操作系统信息
- ISDN 域名对应的ISDN号码
- MB 存放指定邮箱的服务器
- MG 邮件组记录
- MINFO 邮件组和邮箱的信息记录
- MR 改名的邮箱记录
- MX 邮件服务器记录
- NS 名字服务器记录
- PTR 反向记录
- RP 负责人记录
- RT 路由穿透记录
- SRV TCP服务器信息记录
- TXT 域名对应的文本信息
- X25 域名对应的X.25地址记录
例如
1.设置类型为ns
2.下面的例子查询baidu.com使用的DNS服务器名称:
3.下面的例子展示如何查询baidu.com的邮件交换记录:
4.查看网站cname值。
5.查看邮件服务器记录(-qt=MX)
6.同样nslookup也可以验证是否存在域传送漏洞,步骤如下:
nslookup 进入交互式模式
Server 设置使用的DNS服务器
ls 命令列出某个域中的所有域名4、fierce工具
在进行了基本域名收集以后,如果能通过主域名得到所有子域名信息,再通过子域名查询其对应的主机IP,这样我们能得到一个较为完整的信息。除了默认使用,我们还可以自己定义字典来进行域名爆破。
使用fierce工具,可以进行域名列表查询:fierce -dns domainName
输出结果表明,程序首先进行了域传送测试,域传送通过一条命令就能获取服务器上所有的域名信息。如果一次就能简单获取服务器上所有记录域名信息,就不再暴力破解。
但从结果上看,“Unsucessful in zone transfer”,
域传送测试是失败了。接着执行暴力破解,测试的数量取决于字典中提供的字符串数量,上例中没有指定字典,在默认情况下在Kali中使用/usr/share/fierce/hosts.txt。
一个内部网络的DNS域名服务器可以提供大量信息,这些信息可以在以后评估网络漏洞。
5、theHarvester的使用
theHarvester是一个社会工程学工具,它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息。
- -d 服务器域名
- -l 限制显示数目
- -b 调用搜索引擎(baidu,google,bing,bingapi,pgp,linkedin,googleplus,jigsaw,all)
- -f 结果保存为HTML和XML文件
- -h 使用傻蛋数据库查询发现主机信息
实例1
theHarvester -d sec-redclub.com -l 100 -b baidu
实战2
输出到html文件中,可以更清晰的看到搜索的网站信息的模型。
theHarvester -d sec-redclub.com -l 100 -b baidu -f myresults.html
6、DNS枚举工具DNSenum
DNSenum是一款非常强大的域名信息收集工具。它能够通过谷歌或者字典文件猜测可能存在的域名,并对一个网段进行反向查询。它不仅可以查询网站的主机地址信息、域名服务器和邮件交换记录,还可以在域名服务器上执行axfr请求,然后通过谷歌脚本得到扩展域名信息,提取子域名并查询,最后计算C类地址并执行whois查询,执行反向查询,把地址段写入文件。
本小节将介绍使用DNSenum工具检查DNS枚举。在终端执行如下所示的命令:
输出的信息显示了DNS服务的详细信息。其中,包括主机地址、域名服务地址和邮件服务地址,最后会尝试是否存在域传送漏洞。
使用DNSenum工具检查DNS枚举时,可以使用dnsenum的一些附加选项,如下所示。
- --threads [number]:设置用户同时运行多个进程数。
- -r:允许用户启用递归查询。
- -d:允许用户设置WHOIS请求之间时间延迟数(单位为秒)。
- -o:允许用户指定输出位置。
- -w:允许用户启用WHOIS请求。
7、subDomainsbrute二级域名收集
二级域名是指顶级域名之下的域名,在国际顶级域名下,它是指域名注册人的网上名称;在国家顶级域名下,它是表示注册企业类别的符号。
我国在国际互联网络信息中心(Inter NIC) 正式注册并运行的顶级域名是CN,这也是我国的一级域名。
在顶级域名之下,我国的二级域名又分为类别域名和行政区域名两类。类别域名共7个,包括用于科研机构的ac;国际通用域名com、top;用于教育机构的edu;用于政府部门的gov;用于互联网络信息中心和运行中心的net;用于非盈利组织的org。而行政区域名有34个,分别对应于我国各省、自治区和直辖市。
以上为工具默认参数,如果是新手,请直接跟主域名即可,不用进行其它设置。
Python subDomainsbrute.py sec-redclub.com
就可以直接运行,等待结果,最后在工具文件夹下面存在txt文件,直接导入扫描工具就可以进行扫描了。
8、layer子域名检测工具
layer子域名检测工具主要是windows一款二级域名检测工具,利用爆破形式。
工具作者:http://www.cnseay.com/4193/
域名对话框直接输入域名就可以进行扫描了,工具显示比较细致,有域名、解析ip、cnd列表、web服务器和网站状态,这些对于一个安全测试人员,非常重要。如下操作:
会显示大部分主要二级域名。
9、Nmap
Nmap是一个网络连接端口扫描软件,用来扫描网上电脑开放的网络连接端口。确定哪些服务运行在哪些连接端口,并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
功能
- 主机发现
- 端口扫描
- 版本侦测
- OS侦测
部署方式
- Kail集成环境
- 单独安装(使用yum、apt-get工具直接安装)
- PentestBox环境
- Windows版等等
Nmap使用
Nmap的参数和选项繁多,功能非常丰富。我们先来看一下Nmap的通用命令格式:Nmap<扫描选项><扫描目标>(详细教程及下载方式参见:http://nmap.org/)
主机发现的原理与Ping命令类似,发送探测包到目标主机,如果收到回复,那么说明目标主机是开启的。Nmap支持十多种不同的主机探测方式,比如发送ICMP ECHO/TIMESTAMP/NETMASK报文、发送TCPSYN/ACK包、发送SCTP INIT/COOKIE-ECHO包,用户可以在不同的条件下灵活选用不同的方式来探测目标机。
主机发现的基本用法
- -sL: List Scan 列表扫描,仅将指定的目标的IP列举出来,不进行主机发现。
- -sn: Ping Scan 只进行主机发现,不进行端口扫描。
- -Pn: 将所有指定的主机视作开启的,跳过主机发现的过程。
- -PS/PA/PU/PY[portlist]: 使用TCPSYN/ACK或SCTP INIT/ECHO方式进行发现。
- -PE/PP/PM: 使用ICMP echo, timestamp, and netmask 请求包发现主机。
- -PO[protocollist]: 使用IP协议包探测对方主机是否开启。
- -sP: Ping 指定范围内的 IP 地址
- -n/-R: -n表示不进行DNS解析;-R表示总是进行DNS解析。
- --dns-servers
- --system-dns: 指定使用系统的DNS服务器
- --traceroute: 追踪每个路由节点
扫描局域网192.168.80.1/24范围内哪些IP的主机是活动的。命令如下:nmap –sn 192.168.80.1/24
由图可知:192.168.80.1、192.168.80.254、192.168.80.166三台主机处于存活状态。
扫描局域网192.168.80.100-200范围内哪些IP的主机是活动的。命令如下:nmap –sP 192.168.80.100-200
端口扫描是Nmap最基本最核心的功能,用于确定目标主机的TCP/UDP端口的开放情况。默认情况下,Nmap会扫描1000个最有可能开放的TCP端口。Nmap通过探测将端口划分为6个状态:
- open:端口是开放的。
- closed:端口是关闭的。
- filtered:端口被防火墙IDS/IPS屏蔽,无法确定其状态。
- unfiltered:端口没有被屏蔽,但是否开放需要进一步确定。
- open|filtered:端口是开放的或被屏蔽。
- closed|filtered:端口是关闭的或被屏蔽。
端口扫描方面非常强大,提供了很多的探测方式:
- TCP SYN scanning
- TCP connect scanning
- TCP ACK scanning
- TCP FIN/Xmas/NULL scanning
- UDP scanning
- 其他方式
- -sS/sT/sA/sW/sM: 指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描。
- -sU: 指定使用UDP扫描方式确定目标主机的UDP端口状况。
- -sN/sF/sX: 指定使用
TCP Null,FIN,and Xmasscans秘密扫描方式来协助探测对方的TCP端口状态。 - --scanflags
: 定制TCP包的flags。 - -sI zombiehost[:probeport]: 指定使用idle scan方式来扫描目标主机(前提需要找到合适的zombie host)
- -sY/sZ: 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况。
- -sO: 使用IP protocol 扫描确定目标机支持的协议类型。
- -b
: 使用FTP bounce scan扫描方式 - -p: 指定端口扫描
在此,我们以主机192.168.80.166为例。命令如下:nmap -sS -p0-65535 -T4 192.168.80.166
参数-sS表示使用TCP SYN方式扫描TCP端口;-p0-65535表示扫描所有端口;-T4表示时间级别配置4级;
扫描特定端口是否开放:nmap -p21,80,445,3306 192.168.80.166
简要的介绍版本的侦测原理。版本侦测主要分为以下几个步骤:
- 首先检查
open与open|filtered状态的端口是否在排除端口列表内。如果在排除列表,将该端口剔除。 - 如果是TCP端口,尝试建立TCP连接。尝试等待片刻(通常6秒或更多,具体时间可以查询文件
nmap-services-probes中Probe TCP NULL q||对应的totalwaitms)。通常在等待时间内,会接收到目标机发送的“WelcomeBanner”信息。nmap将接收到的Banner与nmap-services-probes中NULLprobe中的签名进行对比。查找对应应用程序的名字与版本信息。 - 如果通过“Welcome Banner”无法确定应用程序版本,那么nmap再尝试发送其他的探测包(即从nmap-services-probes中挑选合适的probe),将probe得到回复包与数据库中的签名进行对比。如果反复探测都无法得出具体应用,那么打印出应用返回报文,让用户自行进一步判定。
- 如果是UDP端口,那么直接使用
nmap-services-probes中探测包进行探测匹配。根据结果对比分析出UDP应用服务类型。 - 如果探测到应用程序是SSL,那么调用openSSL进一步的侦查运行在SSL之上的具体的应用类型。
- 如果探测到应用程序是SunRPC,那么调用
brute-force RPC grinder进一步探测具体服务。 - -sV: 指定让Nmap进行版本侦测
- --version-intensity
: 指定版本侦测强度(0-9),默认为7。数值越高,探测出的服务越准确,但是运行时间会比较长。 - --version-light: 指定使用轻量侦测方式 (intensity 2)
- --version-all: 尝试使用所有的probes进行侦测 (intensity 9)
- --version-trace: 显示出详细的版本侦测过程信息。
对主机192.168.80.166进行版本侦测。命令如下:nmap -sV -p0-65535 -T4 192.168.80.166
Nmap使用TCP/IP协议栈指纹来识别不同的操作系统和设备。在RFC规范中,有些地方对TCP/IP的实现并没有强制规定,由此不同的TCP/IP方案中可能都有自己的特定方式。Nmap主要是根据这些细节上的差异来判断操作系统的类型的。
Nmap内部包含了2600多已知系统的指纹特征(在文件nmap-os-db文件中)。将此指纹数据库作为进行指纹对比的样本库。分别挑选一个open和closed的端口,向其发送经过精心设计的TCP/UDP/ICMP数据包,根据返回的数据包生成一份系统指纹。将探测生成的指纹与nmap-os-db中指纹进行对比,查找匹配的系统。如果无法匹配,以概率形式列举出可能的系统。
- -O: 指定Nmap进行OS侦测。
- --osscan-limit: 限制Nmap只对确定的主机的进行OS探测(至少需确知该主机分别有一个open和closed的端口)。
- --osscan-guess: 大胆猜测对方的主机的系统类型。由此准确性会下降不少,但会尽可能多为用户提供潜在的操作系统。
命令:nmap –O 192.168.80.166
- -vv: 详细显示扫描状态
nmap -p21,80,445,3306 -vv 192.168.80.166
- --script: 使用nse脚本,也可自行编写nse脚本,nmap有580多个脚本
nmap --script=auth 192.168.80.166
- --script=brute: 对弱口令进行暴力破解
nmap --script=brute 192.168.80.166
- --script=default: 使用默认nse脚本搜集应用的信息
nmap --script=default 192.168.80.166
- --script=vuln: 检测常见漏洞
nmap --script=vuln 192.168.80.166
优劣势
优势:
- 功能灵活强大,支持多种目标,大量计算机的同时扫描;
- 开源,相关帮助文档十分详细;
- 流行,由于其具有强大的扫描机探测功能,,已被成千上万安全专家使用。
劣势:
- Nmap参数众多,难以一一记忆;
10、DirBuster
DirBuster是一款路径及网页暴力破解的工具,可以破解出一直没有访问过或者管理员后台的界面路径。Java运行环境+DirBuster程序包
- 双击运行
DirBuster.jar - 在URL中输入目标URL或者主机IP地址
- 在
file with list of dirs/files栏后点击browse,选择破解的字典库为directory-list-2.3-small.txt
- 将File extension中填入正确的文件后缀,默认为
php,如果为jsp、asp、aspx页面,需要填入jsp、asp、aspx - 同样可以选择自己设置字典,线程等等
- 其他选项不变,点击右下角的start,启动目录查找
- 观察返回结果,可点击右下角的report,生成目录报告
- 敏感目录发掘能力强
- OWASP安全机构极力推荐
- 探测目录依赖字典文件