《Kali渗透基础》06. 主动信息收集(三)

kali渗透

  • 1:服务识别
    • 1.1:NetCat
    • 1.2:Socket
    • 1.3:dmitry
    • 1.4:nmap
  • 2:操作系统识别
    • 2.1:Scapy
    • 2.2:nmap
    • 2.3:p0f
  • 3:SNMP 扫描
    • 3.1:onesixtyone
    • 3.2:snmpwalk
    • 3.3:snmpcheck
  • 4:SMB 扫描
    • 4.1:nmap
    • 4.2:nbtscan
    • 4.3:enum4linux
  • 5:SMTP 扫描
    • 5.1:NetCat
    • 5.2:nmap
    • 5.3:smtp-user-enum
  • 6:防火墙识别
    • 6.1:Scapy
    • 6.2:nmap
  • 7:负载均衡识别
    • 7.1:lbd
  • 8:WAF 识别
    • 8.1:wafw00f
    • 8.2:nmap


本文以 kali-linux-2022.3-vmware-amd64 为例。
一些命令与工具只做简单介绍。其使用另见《安全工具录》。

1:服务识别

识别开放端口上运行的应用与服务,可以提高攻击效率。

方法:

  • Banner 捕获
    • 建立连接后获取 Banner
  • 服务指纹识别
  • 另类识别方法
    • 特征行为
    • 可用于识别操作系统

Banner:指目标主机在响应请求时返回的服务标识信息。通常是一个文本字符串,包含了软件开发商、软件名称、服务类型,版本号等。
根据 Banner 抓取的信息有限,且不完全准确。

得到服务版本号可以直接发现已知漏洞和弱点。

1.1:NetCat

基本语法
nc 选项

部分选项

参数 说明
-n numeric-only IP addresses, no DNS.
-v verbose [use twice to be more verbose].

示例01:尝试连接端口以获取服务信息。
nc -nv 1.1.1.1 22

基于 banner 捕获。

1.2:Socket

在 Python 中,socket 标准库用于网络通信,提供的编程接口用于创建网络套接字(socket)对象,以实现网络连接、数据传输和通信协议。

示例01:banner_grab.py。基于 banner 捕获。

#!/usr/bin/python

import socket
import select
import sys

if len(sys.argv) != 4:
    print("Usage - ./banner_grab.py   ")
    print("Example - ./banner_grab.py 10.1.1.1 1 250")
    sys.exit()

ip = sys.argv[1]
start_ip = int(sys.argv[2])
end_ip = int(sys.argv[3])

for port in range(start_ip, end_ip):
    try:
        target = (ip, port)
        ban_grab = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        ban_grab.connect(target)
        ready = select.select([ban_grab], [], [], 1)

        if ready[0]:
            print("TCP Port " + str(port) + " - " + ban_grab.recv(4096).decode())
            ban_grab.close()
            
    except Exception as e:
        # print(e)
        pass

1.3:dmitry

Deepmagic Information Gathering Tool
“There be some deep magic going on”

基本语法
dmitry 选项

部分选项

参数 说明
-p Perform a TCP port scan on a host.
-b Read in the banner received from the scanned port.

示例01

dmitry -pb 1.1.1.1

1.4:nmap

Nmap 可以发送一些列复杂的探测,根据响应特征来分析识别服务。

基本语法
nmap 选项

部分选项

参数 说明
-sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Window/Maimon scans.
-sV Probe open ports to determine service/version info.

示例01:基于 banner 捕获识别。

nmap -sT 1.1.1.1 -p 1-100 --script=banner

“ banner ” 脚本用于服务识别。基于 banner 捕获。

示例02:基于 nmap 的识别方法。

nmap 1.1.1.1 -p 1-100 -sV

2:操作系统识别

操作系统识别技术种类繁多。好的工具往往采用多种技术组合来识别。

一个简易识别方法,TTL 起始值:

  • Windows:128
  • Linux:64
  • 某些 Unix:256

2.1:Scapy

命令行输入 scapy 进入或作为 python 模块使用。

示例01:ttl_os.py。基于 ttl 的简单验证。

#!/usr/bin/python

import logging

from scapy.all import *
from scapy.layers.inet import IP, ICMP

logging.getLogger("scapy.runtime").setLevel(logging.ERROR)

if len(sys.argv) != 2:
    print('Usage - ./ttl_os.py ')
    print('Example - ./ttl_os.py 10.1.1.1')
    sys.exit()

ip = sys.argv[1]

ans = sr1(IP(dst=str(ip))/ICMP(), timeout=1, verbose=0)

if ans == None:
    print('No response')
elif int(ans[IP].ttl) <= 64:
    print('Host is Linux/Unix')
else:
    print('Host is Windows')

2.2:nmap

Nmap 使用多种技术识别操作系统。

基本语法
nmap 选项

部分选项

参数 说明
-O Enable OS detection.

示例01

nmap 1.1.1.1 -O

2.3:p0f

p0f(Passive OS Fingerprinting),用于被动操作系统指纹识别。

通过监控网络流量中的数据包并分析其特征,来确定操作系统类型和版本。

被动操作系统识别在有 IDS(Intrusion Detection System,入侵检测系统)时能派上用场。

基本语法
p0f [选项]

示例01:开始流量监控并分析。

p0f

3:SNMP 扫描

信息的金矿。
经常被错误配置。

SNMP(Simple Network Management Protocol)是一种用于网络设备管理和监控的协议,提供了一种标准的方式来收集、组织和传输网络设备的信息。

  • SNMP 常使用 161 端口。

SNMP 允许网络管理员监视和管理网络中的设备,例如路由器、交换机、服务器和打印机等。

SNMP 基本工作原理
管理器发送请求(Get、Set、Trap 等)到目标设备,目标设备响应请求并提供所需的信息。包括设备状态、性能指标、配置参数、事件通知等。

MIB(Management Information Base)是 SNMP 协议定义的一种树形网络设备管理功能数据库,用于描述网络设备中可管理的对象和属性。

每个网络设备都有一个特定的 MIB,其中包含了可查询和操作的对象。通过 SNMP 协议,管理器可以使用 OID(对象标识符)来访问和操作 MIB 中的信息。

3.1:onesixtyone

onesixtyone 用于 SNMP 字典攻击。

主要原理是尝试使用不同的社区字符串(community string)对目标设备执行 SNMP 查询,以发现设备的 MIB 数据。

Community String 是用于访问和管理网络设备的一种凭证或密码。SNMP 中,Community String 被用作一种简单的身份验证机制,用于控制对设备的访问权限。

基本语法
onesixtyone 选项

部分选项

参数 说明
Community String 指定社区字符串。
-c file with community names to try.
-o output log.
-w n wait n milliseconds (1/1000 of a second) between sending packets (default 10).

示例01:使用 public 作为社区字符串。

onesixtyone 1.1.1.1 public

示例02

onesixtyone -c /usr/share/doc/onesixtyone/dict.txt 1.1.1.1 -o my.log -w 100

3.2:snmpwalk

snmpwalk 用于执行 SNMP Walk 操作,用于获取网络设备的管理信息。

SNMP Walk 操作:
是一种遍历 SNMP 设备的 MIB 树的过程,以收集设备上可用的 SNMP 对象和相关信息。

基本语法
snmpwalk 选项

部分选项

参数 说明
-c COMMUNITY set the community string.
-v 1/2c/3 specifies SNMP version to use.

示例01

snmpwalk 1.1.1.1 -c public -v 2c

3.3:snmpcheck

snmpcheck 通过执行一系列 SNMP 查询和测试,检查目标设备的 SNMP 实现和配置,并提供相关的信息和报告。

基本语法
snmpcheck 选项

4:SMB 扫描

SMB(Server Message Block)是一种用于在计算机网络上共享文件、打印机和其他资源的协议。最初由微软开发,已成为主流网络操作系统中常见的文件和打印共享协议之一。

  • SMP 常使用 139 或 445 端口。

SMB 协议允许客户端通过网络与服务器通信,并请求对文件和资源的访问、读取、写入和管理。通过 SMB,用户可以在局域网或广域网上共享文件夹、打印机和其他网络资源。

  • 微软历史上出现安全问题最多的协议
  • 实现复杂
  • 默认开放
  • 文件共享

4.1:nmap

基本语法
nmap 选项

部分选项

参数 说明
--script= Lua scripts is a comma separated list of directories, script-files or script-categories.
--script-args= provide arguments to scripts.

可以到 /usr/share/nmap/scripts/ 目录下查看所有 nmap 脚本。
可以查看某个脚本内容以了解其功能与参数使用。

示例01:简单扫描 139,445 端口。

nmap -v -p 139,445 1.1.1.1-20

示例02

nmap 1.1.1.1 -p 139,445 --script=smb-os-discovery.nse

smb-os-discovery.nse 脚本用于通过 SMB 协议进行信息发现和识别。

4.2:nbtscan

nbtscan 用于扫描局域网中的 NetBIOS(Network Basic Input/Output System)信息。

NetBIOS 是一种在早期 Windows 网络中广泛使用的协议,用于在局域网上识别和通信。

鉴于现在的发展,nbtscan 在对付古老的系统时可能会起到作用,现在可能用处已经不大。

基本语法
nbtscan 选项

部分选项

参数 说明
-r use local port 137 for scans. Win95 boxes respond to this only.

示例01

nbtscan -r 192.168.60.0/24

4.3:enum4linux

enum4linux 用于枚举和收集信息。通过与目标系统的 SMB 协议交互获取信息。

基本语法
enum4linux 选项

部分选项

参数 说明
-a Do all simple enumeration (-U -S -G -P -r -o -n -i).

示例01

enum4linux -a 192.168.60.10

5:SMTP 扫描

SMTP(Simple Mail Transfer Protocol)是一种用于电子邮件传输的标准协议。

SMTP 本身没有提供任何身份验证或加密机制,需要结合其他安全机制确保邮件传输的安全性。

SMTP 扫描主要用来发现邮件账号。

5.1:NetCat

基本语法
nc 选项

示例01

nc -nv 1.1.1.1 25

5.2:nmap

基本语法
nmap 选项

示例01

nmap smtp.163.com -p 25 --script=smtp-enum-users.nse --script-args=smtp-enumusers.methods={VRFY}

smtp-enum-users.nse 用于枚举SMTP服务器上存在的有效用户。
smtp-enumusers.methods={VRFY} 指定脚本使用 VRFY 方法进行用户枚举。

示例02

nmap smtp.163.com -p 25 --script=smtp-open-relay.nse

smtp-open-relay.nse 用于检测 SMTP 服务器是否开放了中继(Open Relay)功能。

中继是指允许未经身份验证的第三方通过 SMTP 服务器发送电子邮件的功能。

5.3:smtp-user-enum

smtp-user-enum 用于枚举 SMTP 服务器上存在的有效用户。

基本语法
smtp-user-enum 选项

部分选项

参数 说明
-M mode Method to use for username guessing EXPN, VRFY or RCPT (default: VRFY).
-U file File of usernames to check via smtp service.
-t host Server host running smtp service.

示例01

smtp-user-enum -M VRFY -U users.txt -t 10.0.0.1

6:防火墙识别

通过发送数据包并检查回包,可能识别端口是否经过防火墙过滤。

主要情况有以下四种:

《Kali渗透基础》06. 主动信息收集(三)_第1张图片

由于设备的不同,结果存在一定误差。

6.1:Scapy

示例01:FW.py。基于发送包并检查回包。

#!/usr/bin/python

import logging
import sys

from scapy.all import *
from scapy.layers.inet import IP, TCP

logging.getLogger("scapy.runtime").setLevel(logging.ERROR)

if len(sys.argv) != 3:
    print('Usage - ./FW.py  ')
    print('Example - ./FW.py 10.1.1.1 443')
    sys.exit()

ip = sys.argv[1]
port = int(sys.argv[2])

ACK_response = sr1(IP(dst=str(ip))/TCP(dport=port, flags='A'), timeout=1, verbose=0)
SYN_response = sr1(IP(dst=str(ip))/TCP(dport=port, flags='S'), timeout=1, verbose=0)

if (ACK_response == None) and (SYN_response == None):
    print('Port is either unstatefully filtered or host is down')
elif ((ACK_response == None) or (SYN_response == None)) and not ((ACK_response == None) and (SYN_response == None)):
    print('Stateful filtering in place')
elif int(SYN_response[TCP].flags == 18):
    print('Port is unfiltered and open')
elif int(SYN_response[TCP].flags == 20):
    print('Port is unfiltered and closed')
else:
    print('Unable to determine if the port is filtered')

6.2:nmap

nmap 带有一系列防火墙过滤检测功能。

基本语法
nmap 选项

示例01

nmap -sA 1.1.1.1 -p 22

7:负载均衡识别

负载均衡器是一种网络设备或软件,用于在多个服务器之间平衡传入流量,以提高性能和可靠性。

  • DNS-Loadbalancing:DNS 轮巡,智能 DNS。
  • HTTP-Loadbalancing。

7.1:lbd

LBD 用于查询和检测负载均衡。

lbd - load balancing detector.

基本语法
lbd 选项

示例01

lbd www.baidu.com

8:WAF 识别

WAF(Web Application Firewall,Web 应用防火墙)用于保护 Web 应用程序免受常见的网络攻击。

8.1:wafw00f

wafw00f 用于识别 WAF。通过分析 HTTP 响应头、页面内容和错误消息等信息,来识别是否存在 WAF 及可能的 WAF 类型。

The Web Application Firewall Fingerprinting Toolkit.

基本语法
wafw00f 选项

部分选项

参数 说明
url 要探测的网站 url。
-l, --list List all WAFs that WAFW00F is able to detect.

示例01

wafw00f http://www.baidu.com

8.2:nmap

基本语法
nmap 选项

示例01

nmap www.baidu.com --script=http-waf-detect.nse

http-waf-detect.nse 脚本用于检测 WAF 的存在。


人世几回伤往事,山形依旧枕寒流。

——《西塞山怀古》(唐)刘禹锡

你可能感兴趣的:(学习记录:Kali渗透基础,安全,网络,linux)