首页 > 代码库 > Metasploit学习笔记之——情报搜集

Metasploit学习笔记之——情报搜集

1.情报搜集
1.1外围信息搜索
1.1.1通过DNS和IP地址挖掘目标网络信息
(1)whois域名注冊信息查询(BT5、kali专有)root@kali:~# whois testfire.net  s
(2)nslookup与dig域名查询(查询域名相应的IP地址)msf > nslookup
                                                                                    > set type=A
                                                                                    testfire.net
                                                                             msf > dig
注:nslookup仅仅能得到DNS解析server保存在Cache中的非权威解答,dig则能够从该域名的官方DNSserver上查询到精确的权威解答
(3)IP2Location地理位置查询
        主要目的是由IP地址查询地理位置。此类方法称为IP2Location。

一些站点提供了这种服务,如GeoIP:http://www.maxmind.com。

在找出此IP相应的经纬度之后能够用Google Maps进一步查询其地址。

对于国内IP地址查询。能够使用QQ纯真数据库:http://www.cz88.net

(4)利用netcraft站点提供的信息查询服务.
        用于查询子站点子域名等信息,对了解站点整体架构、业务应用等很有帮助。

http://searchdns.netcraft.com/,此外还能够利用此站点获取很多其它的西悉尼,如地理位置、域名server的地址、server操作系统类型、server执行状况等,在浏览器中输入:http://toolbar.netcraft.com/site_report?url=http://www.baidu.com

(5)IP2Domain反查域名
        在实际的渗透目标站点可能是一台虚拟主机,及一台server上面可能执行多个虚拟机。这些虚拟主机可能有不同的域名,但通常公用一个IP地址。假设知道有哪些站点公用这台server,就有可能通过此台server上其它站点的漏洞获取server控制权限。进而迂回获取渗透目标的权限,这样的攻击技术称为”旁注“。能够使用http://www.ip-address.com/reverse_ip/查询。

国内可使用http://www.7c.com/


1.1.2通过搜索引擎进行信息搜集
(1)Google Hacking技术
GHDB(Google Hacking DataBase, Google黑客数据库)。包括了大量使用Google从事渗透或者黑客活动所用的搜索字符串,http://www.exploit-db.com/google-dorks
另外还有SiteDigger和Search Diggity等自己主动化搜索工具,但有些须要收费。
(2)搜索站点的文件夹结构
            Google中输入parent directory site:testfire.net,来查询相关站点的子文件夹,inc文件可能会包括站点的配置信息,如数据库username/口令等。

bak文件一般是一些文本编辑器在编辑源码后留下的备份文件,txt或sql文件一般包括站点上执行的SQL脚本,可能会透露类似数据库结构等信息。

             类似的功能能够借助metasploit中的brute_dirs、dir_listing、dir_scanner等辅助模块来完毕:
             msf > use auxiliary/scanner/http/dir_scanner
           (3) 搜索特定类型的文件
            site:testfire.net filetype:xls
            (4)搜索站点中的E-mail地址
              msf > use auxiliary/gather/search_email_collector
            (5)搜索存在SQL注入点的页面
               site:testfire.net inurl:login
               简单的绕过登陆验证的方法:Username: admin ‘OR‘1   password: test ‘OR‘1
               

1.2主机探測与port扫描
1.2.1活跃主机扫描
(1)ICMP Ping命令:root@kali:~# ping -c 5 www.baidu.com
(2)metasploit的主机发现模块
        arp_sweep使用ARP请求枚举本地居于网络中的全部活跃主机:
                     use auxiliary/scanner/discovery/arp_sweep
                     show options
                     set RHOST 192.168.1.0/24
                     set THREADS 50  扫描线程数越高扫描速度越快,但也更easy被发现,通常设置较小的值有利于隐藏扫描行为。

          udp_sweep通过发送UDP数据包探查指定主机是否活跃,并发现主机上的UDP服务:
                      use auxiliary/scanner/discovery/udp_sweep
          此外,还有ipv6_multicast_ping、iv6_neighbor、ipv6_neighbor_router-advertisement、udp_prob等模块
(3)使用Nmap进行主机探測
          nmap -sn 192.168.1.0/24(ICMP包探測,Ping扫描,适合内网,外网easy被防火墙过滤掉)
          nmap -Pn -sn 192.168.1.0/24(UDP包探測,适合Internet环境。功能类似于metasploit的udp_sweep模块)

          (4)操作系统辨识
                    操作系统辨识能更正主机发现或主机探測中存在的误报情况。
                    nmap -O 192.168.1.1

           (5)port扫描与服务类型探測
                    使用Metasploit中的port扫描模块:
                    msf > search portscan,结果例如以下:
                               auxiliary/scanner/portscan/ack 
                               auxiliary/scanner/portscan/ftpbounce
                               auxiliary/scanner/portscan/syn
                               auxiliary/scanner/portscan/tcp
                               auxiliary/scanner/portscan/xmas
                    一般使用synport扫描器。由于其速度快,结果准确且不easy被对方察觉。用法:
                    msf > use auxiliary/scanner/portscan/syn
                    msf    auxiliary(syn) > set RHOSTS 192.168.1.1
                    msf    auxiliary(syn) > set THREADS 20
                    msf    auxiliary(syn) > run

                     Nmap的port扫描功能
                        msf > nmap -sS -Pn 192.168.1.1
                        对于其扫描结果的port状态说明例如以下:
                        open (开放)、closed(关闭)、filtered(被过滤)、unfiltered(未过滤)、open|filtered(开放或被过滤)、                        closed|filtered(关闭或被过滤)、

                     使用nmap探測更具体的服务信息
                      msf > nmap -sV -Pn 192.168.1.116,相比于上面的nmapport扫描,能获取很多其它的关于响应的port开放了哪些服务的具体信息

1.3服务扫描与查点
          确定开放的port及对应服务的具体信息之后。须要对对应的服务信息进行更深入的挖掘,通常称为“服务查点”。在metasploit的scanner模块中有对应的服务扫描和查点工作:
                    [service_name] _version 可用于遍历网络中包括了某种服务的主机,并进一步确定服务的版本号。
                    [service_name] _login可对某种服务进行口令探測攻击。详细信息可在msf终端中输入search name:_version进行查询。会得到诸如一下的结果:
                                   auxiliary/fuzzers/ssh/ssh_version_15
                                    ...
            (1)常见的网络服务扫描
               telnet服务扫描:
                         msf > use auxiliary/scanner/telnet/telnet_version
                         msf > show options   
                         ... ...
                SSH服务扫描:
                           msf > use auxiliary/scanner/ssh/ssh_version
                           msf > show options   
                            ... ...
                Microsoft SQL Server、Oracle数据库服务查点:
                           msf > use auxiliary/scanner/mssql_ping/tnslsnr_version
                           msf > show options   
                            ... ...
                           msf > use auxiliary/scanner/oracle/tnslsnr_version
                           msf > show options   
                            ... ...
                开放代理探測与利用:
                           使用代理server能避免被对方的入侵检測系统跟踪,进而隐藏自己的身份,但公开渠道获取的代理server安全性无法保证,进行重要私密通信室需慎重。更好的方法是利用开放或者自己搭建的VPN服务。能够从公开渠道搜集到一些免费的VPN服务。也能够在已控制的主机上如果OpenVPN服务。
                         
                           msf > use auxiliary/scanner/http/open_proxy
                           msf > show options   
                            ... ...

                  (2)口令猜解与嗅探
                    SSH服务口令推測(此模块须要自己设置或者导入USERNAME或者PASS_FILE文件作为推測的根据)
                                     msf auxiliary(ssh_version) > use auxiliary/scanner/ssh/ssh_login
                           msf > show options   
                            ... ...
           psnuffle口令嗅探
                             msf > use auxiliary/sniffer/psnuffle
                   msf > show options   
                   ... ...

1.4网络漏洞扫描
          漏洞扫描原理与漏洞扫描器
          OpenVAS漏洞扫描器
                    配置OpenVAS
                    使用GSA
                    在Metasploit内部使用OpenVAS(用msf终端控制OpenVAS)
          查找特定服务漏洞(利用Nmap查找特定漏洞)

1.5渗透測试信息数据库与共享


參考资料:诸葛建伟《Metasploit渗透測试魔鬼训练营》

Metasploit学习笔记之——情报搜集