PET
PETS(http://www.pentest-standard.org)
前期交互阶段
情报收集阶段
威胁建模阶段
漏洞分析阶段
渗透攻击阶段
后渗透测试阶段
渗透测试报告
渗透测试
kali linix基本使用
不要停留在了解的程度
实践再实践是最好的 老师
这 里只是起跑线 而不是终点线
Kali很强 大,但不是全部
熟悉BASH命令
Ls、cd、cat、more、tail、cp、rm、top、ps、grep、ifconfig、
netstat、awk、sort、 fdisk、mount、dmesg 、find、whereis、
Echo、vi
管道
Shell 脚本
网络配置-1
临时IP地址
dhclient eth0
ifconfig eth0 192.168.1.11/24
route add default gw 192.168.1.1
echo nameserver 192.168.1.1 > /etc/resolv.conf
网络配置-2
固定IP地址
cat /etc/network/interface
auto eth0
iface eth0 inet static
address 192.168.20.1
netmask 255.255.255.0
network 192.168.20.0
broadcast 192.168.20.255
gateway 192.168.20.2
dns-nameservers 192.168.1.1 192.168.1.2
up route add -net 172.16.5.0/24 gw 192.168.10.100 eth1
down route del -net 172.24.0.0/24
库
Apt-get命令
安装适合 自 己的 工具软件
apt-get install kali-linux-all smplayer ibus ibus-pinyin flashplugin-nonfree gdebi amule
qbittorrent geany meld stardict ttf-wqy-microhei kchmviewer resolvconf python-dev
python-greenlet python-gevent python-vte python-openssl python-crypto pythonappindicator
python-pip libnss3-tools freemind netspeed libncurses5-dev mtr filezilla filezillacommon
chromium monodevelop mono-gmcs -y
浏览器插件
firefox浏览器插件
flashgot 、autoproxy 、Tamper Data 、cookie importer、Cookies Manager、User Agent
Switcher、HackBar、Live http header、Firebug、Download YouTube Videos as MP4、
Flagfox、hashr
https://addons.mozilla.org/en-US/firefox/addon/xss-me/
https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/ src=ss
服务开关
Kali Linux默认未启动所有网络服务
update-rc.d ssh default
/etc/init.d/ssh start
TOR
下载
https://www.torproject.org/download/download-easy.html.en#linux
问题1:should not be run as root;
问题2:服务启动错误
信息收集内容
IP地址段
域名信息
邮件地址
文档图 片数据
公司地址
公司组织架构
联系电话 / 传真号码
人员姓名 / 职务
目标系统使 用的技术架构
公开的商业信息
信息用途
用信息描述目标
发现
社会 工程学攻击
物理缺 口
信息收集——DNS
域名解析成IP地址
域名 与 FQDN的区别
DNS、域、域名及FQDN 概念
DNS、域、域名及FQDN
DNS 与FQDN DNS、WINS、DHCP 并称网络三大标准服务,其中,DHCP 的作用是自动化分配IP 地址,而DNS 和WINS 的作用都是进行域名与IP 地址的 解析,但WINS 被微软应用于WIN98 和NT4.0 以前的操作系统,目前只是在局域 网内还有配置,在互联网上已经看不到WINS 的踪影,而DNS 不仅是各种OS 的 局域网在使用,更是互联网得以存在的技术基础,
DNS,在基于微软的网络中称为域名系统(Domain Name System),域名有全称和简称的区别。全称的域名,直译为"完全的合格的域名"(FQDN,Fully Qualified Domain Name),表现为由"·"隔开的点分式层次结构,叫名称空间, 它指定了一台主机和它所属域的隶属关系,而简称通常就是这台主机的计算机 名,在域名的最左边。
可以这么说FQDN(完全合格的域名),是域加计算机名的总称。比如: www.microsoft.com 这个FQDN 中,www 是主机名,microsoft.com 是域。 www+microsoft.com 组合在一块就成了一个完整的域名(FQDN)。
这种域名结构和磁盘文件目录形式异曲同工。磁盘目录的顶层为根目录, 下一级是子目录,而本级子目录又是其下一层子目录的父目录,查找文件是从 根目录开始,经过子目录到达最终文件名;FQDN 的顶层(最右边)叫根域,用 "·"表示,但从来省略不写。全球仅有13 台根域服务器,是国际互联网组织的 重点保护对象,在互联网中起着"定海神针"的重要作用。下一层是顶级域名, 再往下是一级域名、二级域名,依此类推,直至主机名。DNS 就利用FQDN 一步 一步将域名解析为一个IP 地址。
在TCP/IP 属性设置中设置DNS 的时候,有一个首选的DNS 服务 器地址和辅助的DNS 服务器地址两项设置(在WIN98 以下系统中表现为DNS 地址 的顺序列表),很多朋友以为,这意味着当首选的或第一个DNS 服务器无法解析 域名地址的时候,系统会启用辅助的或第二个DNS 服务器进行同样的工作,这 是不对的。从上面的查询机制可以看出,第一个DNS 解析不出来的域名请求, 第二个DNS 同样也解析不出来,TCP/IP 协议不会做这样的傻事,设置多个DNS 服务器的真正含义在于,当第一个DNS 服务器宕机或系统无法联系到第一个 DNS 的时候,系统就会根据列表的顺序依次联系后面的DNS,这和DNS 能否正确 解析域名没有关系。
简单的说,在计算机网络中,域通常是指由网络设备连接在一个或数个网 段内的所有计算机的集合,理论上一台计算机也可以成为一个域。域有广义和 狭义之分。
广义的域是由约定的IP 地址连接在一起的所有计算机的集合,与彼此的物 理距离无关,叫广域网(Wide Area Network,WAN),互联网就是广域网的一种 典型应用,互联网不是域名,只是一个形象的称谓,全球联接在互联网上的主 机组成了一个极为庞大的、没有边界的域。
构成互联网的这些主机既可以是一台单独的电脑,又可以是由数台至数百 台不等的电脑组成的网络。他们在互联网中的地位都是平等的。对于前者,它 由当地的互联网服务提供商(ISP)临时分配一个公网IP 地址,但并没有注册域名,这种主机是匿名进入互联网的,例如我们家中拨号上网的那台电脑,对应 于上面图示中的主机1、主机2;对于后者,它们之中的一台或数台主机不仅由 当地的ISP 分配了数量不定的固定IP 地址,还由主机的管理者在ISP 那里注册 了一个简单易记的域名,对应于上述"www.microsoft.com",当然就是大名鼎鼎 的微软公司了。大家都有这样的经历,在网络正常的情况下,某个网站的主页 可以浏览,而其中某一栏目点击后却出现"该页无法显示"的现象,这多半是该 栏目指向的那台主机或主页出现问题的表现。
狭义的域通常是指局域网,英语直译为本地网(Local Area Network,LAN), 在技术上有物理距离的限制,它存在于不可胜数的商业公司、政府与非政府组 织、军事、教科文卫、社团等机构内部,既是广义的域的组成部分,又是一个 个相对独立的内部网络。每个标准的局域网在建立之初都被网络工程师根据域 名规划分配了一个适当的名称,叫作域名。可千万不要小看了这一点,在基于 WINDOWS 2000 的网络中,局域网的域名一旦建立就不可更改,强行更改则意味 着域的重建。
该内部域也可以在ISP 注册,实现公司的业务平台的转移,CxO 们可以用 最低的成本在任何地方了解公司的销售动态、雇员与客户情况、通过安全机制 进入公司内部网络等等,这涉及到域在未建之时的域名规划问题,就不多说了。
互联网环境下的DNS,侧重于应用的层面,局域网中的DNS 侧重于具体的 日常管理和维护,两者是一个有机的整体,是同一事物的两个方面。作为网管, 必须对这两方面都有深刻的理解。依笔者拙见,二者如同社会和家庭(单位)的 关系一样,社会是众多家庭(单位)的集合,而每一个家庭(单位)则是社会的缩 影,不见得正确,说明问题而已。下面我们把局域网理解成一个封闭的"小社会 ",来谈谈局域网内部DNS 服务器的建立。
安装过程如前所述,在DNS 管理控制台(MMC)中右击DNS 服务器名,单击" 新建区域"(New Zone),在新建区域向导中,会涉及到三种区域类型概念:标准 主区、辅助区域和活动目录集成区域,如果我们将DNS 设置为标准主区,那这 台DNS 就成为了我们在客户机TCP/IP 属性设置中提到的首选DNS;如果我们将 这台DNS 设置成了辅助区域的DNS,那这台DNS 显然就应该是辅助的DNS,但要 将一台DNS 设置成一个辅助的DNS,必须满足一个先决条件,那就是域中已经 有了一台标准主区的DNS,这是因为:1、在设置辅助DNS 区域的时候,必须要 指定标准主区 DNS 的 IP 地址;2、辅助的 DNS 只是标准 DNS 的一个只读的副本。 辅助的DNS 本身并不主动记录域中各主机名的变化,这些变化都记录在标准 DNS 的数据库文件内,并复制到辅助的DNS 中,辅助DNS 之所以存在,其根本 的原因在于,保持一种可能性,以便在必要的时候,可以将繁重的域名解析负 荷分布式的分解到多个 DNS 服务器上,从而减少对单一 DNS 服务器的资源占用。 第三种区域类型不属于本文讨论范围,从略。
建立好区域后,接下来就是建立查找区域,这是DNS 能进行域名管理的核 心部分。查找区域分正向和反向,正向的查找区域,就是从域名到IP 地址的查 找区域,这是通常所使用的查找方向。反向的查找区域就是从根据IP 地址查找 域名的查找区域,一般用于排除DNS 故障的时候。两种查找区域都应该建立。
如果这个局域网不与互联网发生联系,那么还应该在根提示选项卡中删除 那13 个根服务器的地址,并在正向查找区域中创建一个根区,你会发现,表示 根区的符号正是本文一直在提到的点分隔"·",然后可以按照事先拟定的域名 规划一级一级的建立顶级域名、一级域名、二级域名等等。这样你的DNS 就被 配置成了本域中的根域服务器。
这样设置的最终效果是:当网内主机A 在地址栏中输入另一主机B 的计算 机名时能得到主机B 的主页或共享资源列表。就象在互联网中那样。
域名记录:A 、C nmae、NS、MX、ptr
nslookup www.sina.com
server
type=a、mx、ns、any
nslookup -type=ns example.com 156.154.70.22
dig @8.8.8.8 www.sina.com mx
dig www.sina.com any
反向查询:dig +noall +answer -x 8.8.8.8
bind版本信息: dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
DNS追踪: dig +trace example.com
抓包 比较递归查询、迭代查询过程的区别
DNS区域传输
dig @ns1.example.com example.com axfr
host -T -l sina.com 8.8.8.8
DNS字典爆破
fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt
dnsdict6 -d4 -t 16 -x sina.com
dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -o sina.xml
dnsmap sina.com -w dns.txt
dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt
dnsrecon -t std -d sina.com
DNS注册信息
Whois
whois -h whois.apnic.net 192.0.43.10
搜索引擎
公司新闻动态
重要雇员信息
机密文档 / 网络拓扑
用户名密码
目标系统软硬件技术架构
SHODAN
搜索联 网的设备
Banner:http、ftp、ssh、telnet
https://www.shodan.io/
http://1.179.177.109:81/index.htm
常 见filter:
net (192.168.20.1)
city
country(CN、US)
port(80、21、22、23)
os
Hostname(主机或域名)
GOOGLE搜索
+充值 - 支付
北京的电 子商务公司——北京 intitle:电 子商务 intext:法 人 intext:电话
阿 里 网站上的北京公司联系 人——北京 site:alibaba.com inurl:contact
塞班司法案的PDF 文档——SOX filetype:pdf
法国的 支付相关 页 面——payment site:fr
GOOGLE搜索——实例
inurl:"level/15/exec/-/show"
intitle:"netbotz appliance" "ok"
inurl /admin/login.php
inurl:qq.txt
filetype:xls "username | password“
inurl:ftp "password" filetype:xls site:baidu.com
Service.pwd
http://exploit-db.com/google-dorks
YANDEX
世界第四 大搜索引擎——俄罗斯
https://www.yandex.com/
RECON-NG
全特性的web侦察框架
基于Python开发
用户信息
邮件
theharvester -d sina.com -l 300 -b google
文件
metagoofil -d microsoft.com -t pdf -l 200 -o test -f 1.html
RECON-NG
Web信息搜索框架
命令格式与msf 一致
基于python开发
使 用 方法:
模块
数据库
报告
全局选项
USER-AGENT
Proxy
Workspace
Snapshot
Show schema
Help
Query 数据库
Select * from hosts where host like ‘%baidu.com%’ order by ip_address
DNS查询
Google
Baidu
Bing
Yahoo
Brute force
解析IP地址(查询数据库)
联系 人
报告
API
MELTAGO
申请账号
登陆使 用
其他途径
社交 网络
工商注册
新闻组 / 论坛
招聘 网站
http://www.archive.org/web/web.php
个 人专属的密码字典
按个 人信息 生成其专属的密码字典
CUPP——Common User Password Profiler
git clone https://github.com/Mebus/cupp.git
python cup.py -i
个 人专属的密码字典
按个 人信息 生成其专属的密码字典
CUPP——Common User Password Profiler
git clone https://github.com/Mebus/cupp.git
python cup.py -i
主动信息收集
直接与目标系统交互通信
无法避免留下访问的痕迹
使用受控的第三方电脑进行探测
使用代理或已经被控制的主机
做好被封杀的准本
使用噪声迷惑目标,淹没真实的探测流量
扫描
发送不同的探测,根据返回结果判断目标状态
发现
识别活着的主机
潜在的被攻击目标
输出一个IP地址列表
2、3、4层发现
发现--二层发现
优点:扫描速度快,可靠
缺点:不可路由
Arp协议
抓包
——
arping
arping 1.1.1.1 -c 1
arping 1.1.1.1 -d
arping -c 1 1.1.1.1 | grep "bytes from" | cut -d" " -f 5 | cut -d "(" -f 2 | cut -d")" -f 1
arping1.sh eth0 > addrs
arping2.sh addrs
nmap 1.1.1.1-254 –sn
nmap -iL iplist.txt -sn
Nmap 很强大
Netdiscover
Netdiscover
专用于二层发现
可用于无线和交换环境
主动和被动探测
主动
netdiscover -i eth0 -r 1.1.1.0/24
netdiscover -l iplist.txt
被动
netdiscover -p
主动Arp容易触发报警
Scapy
作为Python库进行调用
也可作为单独的工具使用
抓包、分析、创建、注入网络流量
apt-get install python-gnuplot
Scapy
ARP().display()
Sr1()
Python
Arp1.py
Arp2.py
发现——三层发现
优点
可路由
速度比较快
缺点
速度比二层慢
经常被边界防火墙过滤
IP、ICMP协议
Ping 1.1.1.1 –c 2
Ping -R 1.1.1.1 / traceroute 1.1.1.1
ping 1.1.1.1 -c 1 | grep "bytes from" | cut -d " " -f 4 | cut -d ":" -f 1
脚本
Pinger.sh 1.1.1.0
Scapy
OSI ICMP ——IP/ICMP
ip=IP()
ip.dst=“1.1.1.1”
ping=ICMP()
a=sr1(ip/ping)
a.display()
Ping
a=sr1(ip/ping,timeout=1)
a = sr1(IP(dst=“1.1.1.1")/ICMP(),timeout=1)
nmap -sn 1.1.1.1-255
nmap -iL iplist.txt -sn
fping 1.1.1.1 -c 1
fping -g 1.1.1.1 1.1.1.2
fping -g 1.1.1.0/24
fping -f iplist.txt
Hping
能够发送几乎任意TCP/IP包
功能强大但每次只能扫描一个目标
hping3 1.1.1.1 --icmp -c 2
for addr in $(seq 1 254); do hping3 1.1.1.$addr --icmp -c 1 >> handle.txt & done
四层发现
优点
可路由且结果可靠
不太可能被防火墙过滤
甚至可以发现所有端口都被过滤的主机
缺点
基于状态过滤的防火墙可能过滤扫描
全端口扫描速度慢
TCP
未经请求的ACK——RST
SYN--SYN/SCK、RST
UDP
ICMP端口不可达、一去不复返
nmap 1.1.1.1-254 -PU53 -sn
nmap 1.1.1.1-254 -PA80 –sn
nmap -iL iplist.txt -PA80 -sn
hping3 --udp 1.1.1.1 -c 1
for addr in $(seq 1 254); do hping3 –udp 1.1.1.$addr -c 1 >> r.txt; done
grep Unreachable r.txt | cut -d " " -f 5 | cut -d "=" -f 2
./udp_hping.sh 1.1.1.0
hping3 1.1.1.1 -c 1 (TCP)
Hping3 1.1.1.1
./TCP_hping.sh
Flag 0 —— ACK RST
前期交互阶段
情报收集阶段
威胁建模阶段
漏洞分析阶段
渗透攻击阶段
后渗透测试阶段
渗透测试报告
渗透测试
kali linix基本使用
不要停留在了解的程度
实践再实践是最好的 老师
这 里只是起跑线 而不是终点线
Kali很强 大,但不是全部
熟悉BASH命令
Ls、cd、cat、more、tail、cp、rm、top、ps、grep、ifconfig、
netstat、awk、sort、 fdisk、mount、dmesg 、find、whereis、
Echo、vi
管道
Shell 脚本
网络配置-1
临时IP地址
dhclient eth0
ifconfig eth0 192.168.1.11/24
route add default gw 192.168.1.1
echo nameserver 192.168.1.1 > /etc/resolv.conf
网络配置-2
固定IP地址
cat /etc/network/interface
auto eth0
iface eth0 inet static
address 192.168.20.1
netmask 255.255.255.0
network 192.168.20.0
broadcast 192.168.20.255
gateway 192.168.20.2
dns-nameservers 192.168.1.1 192.168.1.2
up route add -net 172.16.5.0/24 gw 192.168.10.100 eth1
down route del -net 172.24.0.0/24
库
Apt-get命令
安装适合 自 己的 工具软件
apt-get install kali-linux-all smplayer ibus ibus-pinyin flashplugin-nonfree gdebi amule
qbittorrent geany meld stardict ttf-wqy-microhei kchmviewer resolvconf python-dev
python-greenlet python-gevent python-vte python-openssl python-crypto pythonappindicator
python-pip libnss3-tools freemind netspeed libncurses5-dev mtr filezilla filezillacommon
chromium monodevelop mono-gmcs -y
浏览器插件
firefox浏览器插件
flashgot 、autoproxy 、Tamper Data 、cookie importer、Cookies Manager、User Agent
Switcher、HackBar、Live http header、Firebug、Download YouTube Videos as MP4、
Flagfox、hashr
https://addons.mozilla.org/en-US/firefox/addon/xss-me/
https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/ src=ss
服务开关
Kali Linux默认未启动所有网络服务
update-rc.d ssh default
/etc/init.d/ssh start
TOR
下载
https://www.torproject.org/download/download-easy.html.en#linux
问题1:should not be run as root;
问题2:服务启动错误
信息收集内容
IP地址段
域名信息
邮件地址
文档图 片数据
公司地址
公司组织架构
联系电话 / 传真号码
人员姓名 / 职务
目标系统使 用的技术架构
公开的商业信息
信息用途
用信息描述目标
发现
社会 工程学攻击
物理缺 口
信息收集——DNS
域名解析成IP地址
域名 与 FQDN的区别
DNS、域、域名及FQDN 概念
DNS、域、域名及FQDN
DNS 与FQDN DNS、WINS、DHCP 并称网络三大标准服务,其中,DHCP 的作用是自动化分配IP 地址,而DNS 和WINS 的作用都是进行域名与IP 地址的 解析,但WINS 被微软应用于WIN98 和NT4.0 以前的操作系统,目前只是在局域 网内还有配置,在互联网上已经看不到WINS 的踪影,而DNS 不仅是各种OS 的 局域网在使用,更是互联网得以存在的技术基础,
DNS,在基于微软的网络中称为域名系统(Domain Name System),域名有全称和简称的区别。全称的域名,直译为"完全的合格的域名"(FQDN,Fully Qualified Domain Name),表现为由"·"隔开的点分式层次结构,叫名称空间, 它指定了一台主机和它所属域的隶属关系,而简称通常就是这台主机的计算机 名,在域名的最左边。
可以这么说FQDN(完全合格的域名),是域加计算机名的总称。比如: www.microsoft.com 这个FQDN 中,www 是主机名,microsoft.com 是域。 www+microsoft.com 组合在一块就成了一个完整的域名(FQDN)。
这种域名结构和磁盘文件目录形式异曲同工。磁盘目录的顶层为根目录, 下一级是子目录,而本级子目录又是其下一层子目录的父目录,查找文件是从 根目录开始,经过子目录到达最终文件名;FQDN 的顶层(最右边)叫根域,用 "·"表示,但从来省略不写。全球仅有13 台根域服务器,是国际互联网组织的 重点保护对象,在互联网中起着"定海神针"的重要作用。下一层是顶级域名, 再往下是一级域名、二级域名,依此类推,直至主机名。DNS 就利用FQDN 一步 一步将域名解析为一个IP 地址。
在TCP/IP 属性设置中设置DNS 的时候,有一个首选的DNS 服务 器地址和辅助的DNS 服务器地址两项设置(在WIN98 以下系统中表现为DNS 地址 的顺序列表),很多朋友以为,这意味着当首选的或第一个DNS 服务器无法解析 域名地址的时候,系统会启用辅助的或第二个DNS 服务器进行同样的工作,这 是不对的。从上面的查询机制可以看出,第一个DNS 解析不出来的域名请求, 第二个DNS 同样也解析不出来,TCP/IP 协议不会做这样的傻事,设置多个DNS 服务器的真正含义在于,当第一个DNS 服务器宕机或系统无法联系到第一个 DNS 的时候,系统就会根据列表的顺序依次联系后面的DNS,这和DNS 能否正确 解析域名没有关系。
简单的说,在计算机网络中,域通常是指由网络设备连接在一个或数个网 段内的所有计算机的集合,理论上一台计算机也可以成为一个域。域有广义和 狭义之分。
广义的域是由约定的IP 地址连接在一起的所有计算机的集合,与彼此的物 理距离无关,叫广域网(Wide Area Network,WAN),互联网就是广域网的一种 典型应用,互联网不是域名,只是一个形象的称谓,全球联接在互联网上的主 机组成了一个极为庞大的、没有边界的域。
构成互联网的这些主机既可以是一台单独的电脑,又可以是由数台至数百 台不等的电脑组成的网络。他们在互联网中的地位都是平等的。对于前者,它 由当地的互联网服务提供商(ISP)临时分配一个公网IP 地址,但并没有注册域名,这种主机是匿名进入互联网的,例如我们家中拨号上网的那台电脑,对应 于上面图示中的主机1、主机2;对于后者,它们之中的一台或数台主机不仅由 当地的ISP 分配了数量不定的固定IP 地址,还由主机的管理者在ISP 那里注册 了一个简单易记的域名,对应于上述"www.microsoft.com",当然就是大名鼎鼎 的微软公司了。大家都有这样的经历,在网络正常的情况下,某个网站的主页 可以浏览,而其中某一栏目点击后却出现"该页无法显示"的现象,这多半是该 栏目指向的那台主机或主页出现问题的表现。
狭义的域通常是指局域网,英语直译为本地网(Local Area Network,LAN), 在技术上有物理距离的限制,它存在于不可胜数的商业公司、政府与非政府组 织、军事、教科文卫、社团等机构内部,既是广义的域的组成部分,又是一个 个相对独立的内部网络。每个标准的局域网在建立之初都被网络工程师根据域 名规划分配了一个适当的名称,叫作域名。可千万不要小看了这一点,在基于 WINDOWS 2000 的网络中,局域网的域名一旦建立就不可更改,强行更改则意味 着域的重建。
该内部域也可以在ISP 注册,实现公司的业务平台的转移,CxO 们可以用 最低的成本在任何地方了解公司的销售动态、雇员与客户情况、通过安全机制 进入公司内部网络等等,这涉及到域在未建之时的域名规划问题,就不多说了。
互联网环境下的DNS,侧重于应用的层面,局域网中的DNS 侧重于具体的 日常管理和维护,两者是一个有机的整体,是同一事物的两个方面。作为网管, 必须对这两方面都有深刻的理解。依笔者拙见,二者如同社会和家庭(单位)的 关系一样,社会是众多家庭(单位)的集合,而每一个家庭(单位)则是社会的缩 影,不见得正确,说明问题而已。下面我们把局域网理解成一个封闭的"小社会 ",来谈谈局域网内部DNS 服务器的建立。
安装过程如前所述,在DNS 管理控制台(MMC)中右击DNS 服务器名,单击" 新建区域"(New Zone),在新建区域向导中,会涉及到三种区域类型概念:标准 主区、辅助区域和活动目录集成区域,如果我们将DNS 设置为标准主区,那这 台DNS 就成为了我们在客户机TCP/IP 属性设置中提到的首选DNS;如果我们将 这台DNS 设置成了辅助区域的DNS,那这台DNS 显然就应该是辅助的DNS,但要 将一台DNS 设置成一个辅助的DNS,必须满足一个先决条件,那就是域中已经 有了一台标准主区的DNS,这是因为:1、在设置辅助DNS 区域的时候,必须要 指定标准主区 DNS 的 IP 地址;2、辅助的 DNS 只是标准 DNS 的一个只读的副本。 辅助的DNS 本身并不主动记录域中各主机名的变化,这些变化都记录在标准 DNS 的数据库文件内,并复制到辅助的DNS 中,辅助DNS 之所以存在,其根本 的原因在于,保持一种可能性,以便在必要的时候,可以将繁重的域名解析负 荷分布式的分解到多个 DNS 服务器上,从而减少对单一 DNS 服务器的资源占用。 第三种区域类型不属于本文讨论范围,从略。
建立好区域后,接下来就是建立查找区域,这是DNS 能进行域名管理的核 心部分。查找区域分正向和反向,正向的查找区域,就是从域名到IP 地址的查 找区域,这是通常所使用的查找方向。反向的查找区域就是从根据IP 地址查找 域名的查找区域,一般用于排除DNS 故障的时候。两种查找区域都应该建立。
如果这个局域网不与互联网发生联系,那么还应该在根提示选项卡中删除 那13 个根服务器的地址,并在正向查找区域中创建一个根区,你会发现,表示 根区的符号正是本文一直在提到的点分隔"·",然后可以按照事先拟定的域名 规划一级一级的建立顶级域名、一级域名、二级域名等等。这样你的DNS 就被 配置成了本域中的根域服务器。
这样设置的最终效果是:当网内主机A 在地址栏中输入另一主机B 的计算 机名时能得到主机B 的主页或共享资源列表。就象在互联网中那样。
域名记录:A 、C nmae、NS、MX、ptr
nslookup www.sina.com
server
type=a、mx、ns、any
nslookup -type=ns example.com 156.154.70.22
dig @8.8.8.8 www.sina.com mx
dig www.sina.com any
反向查询:dig +noall +answer -x 8.8.8.8
bind版本信息: dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
DNS追踪: dig +trace example.com
抓包 比较递归查询、迭代查询过程的区别
DNS区域传输
dig @ns1.example.com example.com axfr
host -T -l sina.com 8.8.8.8
DNS字典爆破
fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt
dnsdict6 -d4 -t 16 -x sina.com
dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -o sina.xml
dnsmap sina.com -w dns.txt
dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt
dnsrecon -t std -d sina.com
DNS注册信息
Whois
whois -h whois.apnic.net 192.0.43.10
搜索引擎
公司新闻动态
重要雇员信息
机密文档 / 网络拓扑
用户名密码
目标系统软硬件技术架构
SHODAN
搜索联 网的设备
Banner:http、ftp、ssh、telnet
https://www.shodan.io/
http://1.179.177.109:81/index.htm
常 见filter:
net (192.168.20.1)
city
country(CN、US)
port(80、21、22、23)
os
Hostname(主机或域名)
GOOGLE搜索
+充值 - 支付
北京的电 子商务公司——北京 intitle:电 子商务 intext:法 人 intext:电话
阿 里 网站上的北京公司联系 人——北京 site:alibaba.com inurl:contact
塞班司法案的PDF 文档——SOX filetype:pdf
法国的 支付相关 页 面——payment site:fr
GOOGLE搜索——实例
inurl:"level/15/exec/-/show"
intitle:"netbotz appliance" "ok"
inurl /admin/login.php
inurl:qq.txt
filetype:xls "username | password“
inurl:ftp "password" filetype:xls site:baidu.com
Service.pwd
http://exploit-db.com/google-dorks
YANDEX
世界第四 大搜索引擎——俄罗斯
https://www.yandex.com/
RECON-NG
全特性的web侦察框架
基于Python开发
用户信息
邮件
theharvester -d sina.com -l 300 -b google
文件
metagoofil -d microsoft.com -t pdf -l 200 -o test -f 1.html
RECON-NG
Web信息搜索框架
命令格式与msf 一致
基于python开发
使 用 方法:
模块
数据库
报告
全局选项
USER-AGENT
Proxy
Workspace
Snapshot
Show schema
Help
Query 数据库
Select * from hosts where host like ‘%baidu.com%’ order by ip_address
DNS查询
Baidu
Bing
Yahoo
Brute force
解析IP地址(查询数据库)
联系 人
报告
API
MELTAGO
申请账号
登陆使 用
其他途径
社交 网络
工商注册
新闻组 / 论坛
招聘 网站
http://www.archive.org/web/web.php
个 人专属的密码字典
按个 人信息 生成其专属的密码字典
CUPP——Common User Password Profiler
git clone https://github.com/Mebus/cupp.git
python cup.py -i
个 人专属的密码字典
按个 人信息 生成其专属的密码字典
CUPP——Common User Password Profiler
git clone https://github.com/Mebus/cupp.git
python cup.py -i
主动信息收集
直接与目标系统交互通信
无法避免留下访问的痕迹
使用受控的第三方电脑进行探测
使用代理或已经被控制的主机
做好被封杀的准本
使用噪声迷惑目标,淹没真实的探测流量
扫描
发送不同的探测,根据返回结果判断目标状态
发现
识别活着的主机
潜在的被攻击目标
输出一个IP地址列表
2、3、4层发现
发现--二层发现
优点:扫描速度快,可靠
缺点:不可路由
Arp协议
抓包
——
arping
arping 1.1.1.1 -c 1
arping 1.1.1.1 -d
arping -c 1 1.1.1.1 | grep "bytes from" | cut -d" " -f 5 | cut -d "(" -f 2 | cut -d")" -f 1
arping1.sh eth0 > addrs
arping2.sh addrs
nmap 1.1.1.1-254 –sn
nmap -iL iplist.txt -sn
Nmap 很强大
Netdiscover
Netdiscover
专用于二层发现
可用于无线和交换环境
主动和被动探测
主动
netdiscover -i eth0 -r 1.1.1.0/24
netdiscover -l iplist.txt
被动
netdiscover -p
主动Arp容易触发报警
Scapy
作为Python库进行调用
也可作为单独的工具使用
抓包、分析、创建、注入网络流量
apt-get install python-gnuplot
Scapy
ARP().display()
Sr1()
Python
Arp1.py
Arp2.py
发现——三层发现
优点
可路由
速度比较快
缺点
速度比二层慢
经常被边界防火墙过滤
IP、ICMP协议
Ping 1.1.1.1 –c 2
Ping -R 1.1.1.1 / traceroute 1.1.1.1
ping 1.1.1.1 -c 1 | grep "bytes from" | cut -d " " -f 4 | cut -d ":" -f 1
脚本
Pinger.sh 1.1.1.0
Scapy
OSI ICMP ——IP/ICMP
ip=IP()
ip.dst=“1.1.1.1”
ping=ICMP()
a=sr1(ip/ping)
a.display()
Ping
a=sr1(ip/ping,timeout=1)
a = sr1(IP(dst=“1.1.1.1")/ICMP(),timeout=1)
nmap -sn 1.1.1.1-255
nmap -iL iplist.txt -sn
fping 1.1.1.1 -c 1
fping -g 1.1.1.1 1.1.1.2
fping -g 1.1.1.0/24
fping -f iplist.txt
Hping
能够发送几乎任意TCP/IP包
功能强大但每次只能扫描一个目标
hping3 1.1.1.1 --icmp -c 2
for addr in $(seq 1 254); do hping3 1.1.1.$addr --icmp -c 1 >> handle.txt & done
四层发现
优点
可路由且结果可靠
不太可能被防火墙过滤
甚至可以发现所有端口都被过滤的主机
缺点
基于状态过滤的防火墙可能过滤扫描
全端口扫描速度慢
TCP
未经请求的ACK——RST
SYN--SYN/SCK、RST
UDP
ICMP端口不可达、一去不复返
nmap 1.1.1.1-254 -PU53 -sn
nmap 1.1.1.1-254 -PA80 –sn
nmap -iL iplist.txt -PA80 -sn
hping3 --udp 1.1.1.1 -c 1
for addr in $(seq 1 254); do hping3 –udp 1.1.1.$addr -c 1 >> r.txt; done
grep Unreachable r.txt | cut -d " " -f 5 | cut -d "=" -f 2
./udp_hping.sh 1.1.1.0
hping3 1.1.1.1 -c 1 (TCP)
Hping3 1.1.1.1
./TCP_hping.sh
Flag 0 —— ACK RST