郑重声明:
本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。
原理
完整的UDP应用层请求
#!/usr/bin/python
# description: print the udp port number if the host open the port,otherwise continue
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
import time
import sys
if len(sys.argv) != 4:
print("./udp_scan.py [target ip] [first port] [last port]")
print("example ./udp_scan.py 10.0.0.5 1 100")
print("example will UDP port scan ports 1 to 100 on 10.0.0.5")
ip = sys.argv[1]
start = int(sys.argv[2])
end = int(sys.argv[3])
for port in range(start, end):
a = sr1(IP(dst=ip) / UDP(dport=port), timeout=5, verbose=0)
time.sleep(1)
if a == None:
print(port)
else:
pass
# UDP 扫描
nmap -sU 172.30.26.130 --open
nmap -sU -p68 172.30.26.130
nmap -sU -p 1-200 -iL iplist.txt --open
基于链接的协议,三次握手。所有的TCP扫描方式都是基于三次握手的变化来判断目标端口状态
扫描方式有:
僵尸扫描特点:
过程解析:
>>> ip=IP()
>>> tcp=TCP()
>>> rz=(i/t)
>>> rt=(i/t)
# 向僵尸机发送 SYN,ACK 包
>>> rz[IP].dst=IPz
>>> rz[TCP].dport=445
>>> rz[TCP].flags="SA"
# 向目标服务器发送 SYN 包,发送时 IP 伪造为僵尸机
>>> rt[IP].src=IPz
>>> rt[IP].dst=IPt
>>> rt[TCP].dport=25
>>> rt[TCP].flags="S"
# 确定当前僵尸机 IP ID 序列数
>>> az1=sr1(rz)
# 伪造为僵尸机 IP 扫描目标主机端口
>>> at=sr1(rt)
# 确认扫描后的僵尸机的 IP ID 序列数 是否比 az1 大 2.
>>> az2=sr1(rz)
>>> az1.display()
>>> az2.display()
探测网络中的僵尸机
nmap -p 445 192.168.1.133 --script=ipidseq.nse
扫描目标僵尸机
nmap 172.16.36.135 -sI 172.16.36.134 -Pn -p 0-100
# -sI 利用僵尸机扫描目标主机 172.16.36.135
python 脚本实现僵尸扫描
#!/usr/bin/python
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
def ipid(zombie):
reply1 = sr1(IP(dst=zombie) / TCP(flags="SA"), timeout=2, verbose=0)
send(IP(dst=zombie) / TCP(flags="SA"), verbose=0)
reply2 = sr1(IP(dst=zombie) / TCP(flags="SA"), timeout=2, verbose=0)
if reply2[IP].id == (reply1[IP].id + 2):
print("IPID secquence is incremental and target appears to be idle,ZOMBIE LOCATED")
response = input("Do you want to use this zombie to perform a scan?(Y or N):")
if response == "Y":
target = input("Enter the IP address of the target system:")
zombiescan(target, zombie)
else:
print("Either the IPID secquence is not incremental or the target if not idle. NOT A Good zombie")
def zombiescan(target, zombie):
print("\nScanning target" + target + "with zombie" + zombie)
print("\n-------Open Ports On Target-----\n")
for port in range(1, 100):
try:
start_val = sr1(IP(dst=zombie) / TCP(flags="SA", dport=port), timeout=2, verbose=0)
send(IP(src=zombie, dst=target) / TCP(flags="S", dport=port), verbose=0)
end_val = sr1(IP(dst=zombie) / TCP(flags="SA"), timeout=2, verbose=0)
if end_val[IP].id == (start_val[IP].id + 2):
print(port)
except:
pass
print("------Zombie Scan Suite------\n")
print("1.----Identity Zombie Host\n")
print("2.----Preform Zombie Scan\n")
aws = input("Select an Option (1 or 2):")
if aws == "1":
zombie = input("Enter IP address to test IPID sequence:")
ipid(zombie)
else:
if aws == "2":
zombie = input("Enter IP address for zombie System:\n")
target = input("Enter IP address for Scan Target:\n")
zombiescan(target, zombie)
# 使用脚本:
# 如果脚本是从windows移过来的:
# vi xxx.py
# :set fileformat=unix
# :wq
# chmod u+x xxx.py
# ./xxx.py
隐蔽扫描特点:
不建立完整链接,只发送SYS包,返回SYS/ACK包则开放,扫描者的机器因为没有建立完整的 TCP 链接,会自动回复 RST 包断开与目标主机的链接,可抓包查看:
>>> sr1(IP(dst='192.168.2.1')/TCP(flags='S',dport=80),timeout=1,verbose=1)
若目标主机回复的是一个RST/ACK,则表示该机器存在,但当前扫描的端口是没有开放的
>>> sr1(IP(dst='192.168.2.125')/TCP(flags='S',dport=1234),timeout=1,verbose=1)
还有一个情况是不回复任何的数据,也表示该机器存在,但当前扫描的端口是没有开放
>>> sr1(IP(dst='192.168.2.1')/TCP(flags='S',dport=1234),timeout=1,verbose=1)
应用层日志不会记录,网络层日志可能记录
通过 python 脚本批量扫描开放端口
#!/usr/bin/python
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
import time
import sys
if len(sys.argv) != 4:
print("./syn_scan.py [target ip] [first port] [last port]")
print("example ./udp_scan.py 10.0.0.5 1 100")
print("example will TCP SYN scan ports 1 to 100 on 10.0.0.5")
sys.exit()
ip = sys.argv[1]
start = int(sys.argv[2])
end = int(sys.argv[3])
for port in range(start, end):
a = sr1(IP(dst=ip) / TCP(dport=port), timeout=1, verbose=0)
time.sleep(1)
if a is None:
pass
else:
if int(a[TCP].flags) == 18:
print(port)
else:
pass
# 注:为什么 flags==18 ?
# 抓包发现 SYN 和 ACK 分别是 2 和 2 的 4 次方即为 16,加在一起恰好为18
# Nmap默认扫描从1到1024再加上nmap-services列出的端口
nmap -sS 192.168.2.125 --open
# 全端口扫描
nmap -sS 192.168.2.125 -p- --open
nmap -sS 192.168.2.125 -p1-65535 --open
nmap -sS -iL iplist.txt -p 80,21,22,23 --open
# 使用 -8 扫描模式,配合 -S TCP Syn 包进行端口扫描,速度最快
hping3 -8 80,22 -S 192.168.2.125
# 全端口扫描
hping3 -8 1-65535 -S 192.168.2.125
# -c 100 发送一百个包,和 -p ++1 组合,意味对端口 1-100 分别发送 SYN 包,
# -S(spoof)参数用于伪造源 IP 地址,伪造后本机无法查看扫描结果,只有登陆伪造的 192.168.2.122 主机器才可以查看结果。
# 这种方式特点:
# 优点:非常隐蔽,基本不会被发现,在目标看来是另外一个机器发送的探测数据包
# 缺点:麻烦,需要能登陆伪造的主机
hping3 -c 100 -S -p ++1 -a 192.168.2.122 192.168.2.125
SCAPY 扫描不需要再返回原始数据包(raw packets),但全连接扫描对 SCAPY 来说比较困难:
使用 python 脚本实现 SCAPY 全连接扫描:01
#!/usr/bin/python
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
response = sr1(IP(dst="192.168.22.129") / TCP(dport=80, flags="S"))
reply = sr1(IP(dst="192.168.22.129") / TCP(dport=80, flags="A", ack=(response[TCP].seq + 1)))
由结果可知:这里并不是正确的一个三次握手的过程,因为操作系统内核的自动中断连接。
通过在扫描主机上配置防火墙将去往目标机的带有 RST flags 的包丢弃:
iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 192.168.2.125 -j DROP
使用 python 脚本实现 SCAPY 全连接扫描:02
同样需要在扫描主机上配置防火墙将去往目标机的带有 RST flags 的包丢弃
iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 192.168.2.125 -j DROP
#!/usr/bin/python
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
SYN = sr1(IP(dst="192.168.2.125") / TCP(dport=80, flags="S"))
print("- -SENT- -")
SYN.display()
print("\n\n- -RECEIVE- -")
response = sr1(SYN, timeout=1, verbose=0)
response.display()
if int(response[TCP].flags) == 18:
print("\n\n- -SENT- -")
A = sr1(IP(dst="192.168.2.125") / TCP(dport=80, flags="A", ack=(response[TCP].seq + 1)))
A.display()
print("\n\n- -RECEIVE- -")
response2 = sr1(A, timeout=1, verbose=0)
response2.display()
else:
print("SYN-ACK NOT RETURNED")
# 全端口全连接扫描
nmap -sT -p- 192.168.2.125 --open
# 多端口全连接扫描
nmap -sT -p 80 192.168.2.125
nmap -sT -p 22,80 192.168.2.125 --open
nmap -sT -p 22-80 192.168.2.125 --open
# -n 仅 IP 形式;-w 请求超时时间;-z 扫描模式
nc -nv -w 1 -z 192.168.2.125 1-100
# 由 shell 脚本执行范围扫描
for x in $(seq 20 30); do nc -nv -w 1 -z 192.168.2.125 $x; done
默认 150 个最常用的端口。
dmitry -p 1-100 192.168.2.125 -o full_tcp_scan.txt