文章目录

20194307肖江宇Exp5—信息搜集与漏洞扫描
- 一、实践目标
- 二、实践内容
- - 1. 各种搜索技巧的应用
  - - 1.1 搜索网址目录结构
    - 1.2 利用搜索引擎的技巧
    - 1.3 路由侦察
  - 2. DNS IP注册信息的查询
  - - 2.1 whois命令查询
    - 2.2 nslookup,dig域名查询
    - 2.3 IP2Location地理位置查询
  - 3. 基本的扫描技术
  - - 3.1 主机发现
    - - (1) PING
      - (2) metasploit中arp_sweep模块与udp_sweep 模
      - (3) nmap扫描
    - 3.2 端口扫描
    - - (1) nmap 命令
      - (2) msf 中的 portscan 模块对TCP端口进行探测
    - 3.3 OS及服务版本探测
    - - (1) nmap -O
      - (2) nmap -sV
    - 3.4 具体服务的查点
    - - (1) Telnet服务扫描
      - (2) SSH服务
      - (3) Oracle数据库服务查点
  - 4. 漏洞扫描
  - - 4.1 openvas安装
    - - (1) 安装
      - (2) 初始化
      - (3) 检查完整性
      - (4) 运行
      - (5) 漏洞扫描
      - (6) 漏洞修复
  - 5. 实验问题回答
  - - 5.1 哪些组织负责DNS，IP的管理
    - 5.2 什么是3R信息
    - 5.3 评价下扫描结果的准确性
  - 6. 实验感想

20194307肖江宇Exp5—信息搜集与漏洞扫描

一、实践目标

掌握信息搜集的最基础技能与常用工具的使用方法

各种搜索技巧的应用
DNS IP注册信息的查询
基本的扫描技术：主机发现、端口扫描、OS及服务版本探测、具体服务的查点（以自己主机为目标）
漏洞扫描：会扫，会看报告，会查漏洞说明，会修补漏洞（以自己主机为目标）

二、实践内容

1. 各种搜索技巧的应用

1.1 搜索网址目录结构

msfconsole
use auxiliary/scanner/http/dir_scanner
set THREADS 50
set RHOSTS www.baidu.com
exploit

我们可以看到后面红色框出的状态码

状态码解释如下表：

| 类别|原因短语 ||
|–|–|–|–|–|
| 1XX | Informational （信息性状态码）| 接收的请求正在处理|
| 2XX | Success（成功状态码）| 请求正常处理完毕|
| 3XX | Redirection（重定向）| 需要进行附加操作以完成请求|
| 4XX | Client Error（客户端错误状态码）| 服务器无法处理请求|
| 5XX | Server Error（服务器错误状态码）| 服务器处理请求出错

相关方面的更多信息，可以访问一文牢记HTTP状态码

1.2 利用搜索引擎的技巧

例如，我想要从互联网中扒出某个人的信息，但是我目前已经知道了此人得到名字及学校，我还想知道此人在学校内参加过什么活动、担任什么职位、负责研究过什么项目、有什么科研成果、拿过什么奖项越详细越好，应该如何利用搜索引擎进行搜索呢？

此次实验我将搜索范围设置在“清华大学学校官网”中，我先上搜索引擎上搜索这个学校，可以得到学校官网

https://www.tsinghua.edu.cn/ 就是学校的官网

通过搜索引擎查找学校官网中上传的excel表格，可以查找到校内的一些信息

注意：需要去掉www等前缀，还有也要把xxgk/dlwz/index.html这些后缀也要去掉

filetype:xls site:tsinghua.edu.cn

我翻阅了几个文件，基本没有身份证号等敏感信息，最多只是姓名等信息

接下来我搜索了docx的信息，这里大多数是通知类文件

filetype:docx site:tsinghua.edu.cn

更详细的技巧可以参考十分钟教你有效运用15种百度检索式:小敏学长

1.3 路由侦察

tracert www.gov.cn

第一列代表了生存时间（每途经一个路由器结点自增1）
第二至第四列表示“三次发送的ICMP包返回时间（共计3个，单位为毫秒ms）
第五列表示“途经路由器的IP地址（如果有主机名，还会包含主机名）
带有星号（*）的信息表示该次ICMP包返回时间超时。

这里出现的 zgovweb.v.bsgslb.cn应该是防止黑客恶意攻击的一个手段,无法访问

2. DNS IP注册信息的查询

2.1 whois命令查询

whois有什么用？

它是用来查询域名的ip及所有者信息的；在渗透测试中，whois得到信息一般是为社会工程学攻击做准备。在kali中可以输入whois+域名进行查询。进行whois查询时记得去掉www等前缀

对新浪网用whois命令查询，查询结构如下图

whois sina.com.cn

Registrant: 北京新浪互联信息服务有限公司

域名拥有者是北京新浪互联信息服务有限公司

得到的信息中有域名拥有者的联系邮箱

domainname@staff.sina.com.cn

Sponsoring Registrar: 北京新网数码信息技术有限公司

域名注册服务商是北京新网数码信息技术有限公司

2.2 nslookup,dig域名查询

nslookup结果中有这样一条提示：Non-authoritative answer:

这是因为nslookup可以得到DNS解析服务器Cache的结果，这不一定是正确的，dig是从官方DNS服务器上查询精确的结果。从图中可以看到，查询百度的域名，这两种方式得到的结果是一样的。

2.3 IP2Location地理位置查询

先用ping命令获取目标域名的IP地址

IP地址所在位置查询网站：IPLocationTools

在maxmind可以查询IP的地理位置

3. 基本的扫描技术

3.1 主机发现

(1) PING

原理：ping命令用发送ICMP报文的方法检测活跃主机

输入命令 ping+[目标ip]

(2) metasploit中arp_sweep模块与udp_sweep 模

arp_sweep使用ARP请求枚举本地局域网络中的所有活跃主机

udp_sweep模块除了可以探测到存活主机之外，还可以获得主机名称信息

注意：要先将Kali设成桥接模式才能扫描同一个网段下的其他主机，也可以选择多开虚拟机，开启“仅主机”模式，扫描由虚拟机组成的局域网

arp_sweep模块

msfconsoleuse auxiliary/scanner/discovery/arp_sweep //进入arp_sweep 模块
set RHOSTS 主机地址 //用set进行hosts主机段设置
set THREADS 50
run //执行run进行扫描

udp_sweep模块

msfconsole
use auxiliary/scanner/discovery/udp_sweep
show options
set RHOSTS 192.168.238.128/24
set THREADS 50
run

(3) nmap扫描

nmap -sn

nmap -sn 192.168.238.128/24

3.2 端口扫描

(1) nmap 命令

nmap -PU参数是对UDP端口进行探测，与udp_sweep模块功能相同。
参数：
-sS：TCP SYN扫描，可以穿透防火墙；
-sA：TCP ACK扫描。有时候由于防火墙会导致返回过滤/未过滤端口；
-sP：发送ICMP echo探测；
-sT：TCP connect扫描，最准确，但是很容易被IDS检测到，不推荐；
-sF/-sX/-sN：扫描特殊的标志位以避开设备或软件的监测；
-O：启用TCP/IP协议栈的指纹特征信息扫描以获取远程主机的操作系统信息；
-sV：获取开放服务的版本信息；

nmap -PU 192.168.238.128/24

nmap -sT -p 1-1024 192.168.238.1

(2) msf 中的 portscan 模块对TCP端口进行探测

有点慢，大概需要十分钟

msfconsole
use auxiliary/scanner/portscan/tcp
set RHOSTS 192.168.238.128/24
set THREADS 50
set PORTS 1-4999
run

3.3 OS及服务版本探测

(1) nmap -O

让Nmap对目标的操作系统进行识别，获取目标机的操作系统和服务版本等信息

nmap -O 192.168.238.128/24

(2) nmap -sV

查看目标主机的详细服务信息，-Pn是在扫描之前，不发送ICMP echo请求测试目标

nmap -sV -Pn 192.168.238.128/24

3.4 具体服务的查点

(1) Telnet服务扫描

telnet命令用于登录远程主机,对远程主机进行管理。

msfconsole
use auxiliary/scanner/telnet/telnet_version
set RHOSTS 192.168.238.128/24
set THREADS 50
run

(2) SSH服务

SSH（“安全外壳”）协议是用于从一个系统安全远程登录到另一个的方法。用户通过客户端 - 服务器架构格式的不安全网络使用安全通道，用于将SSH客户端与SSH服务器连接起来。
一台服务器打开了SSH服务，就能通过输入密码登录此台服务器。攻击者一般先会扫描SSH服务是否打开，若打开，则会通过密码字典等暴力破解等方式尝试登录此台服务器。SSH-22端口

msfconsole
use auxiliary/scanner/ssh/ssh_version
set RHOSTS 192.168.238.1
set THREADS 50
run

(3) Oracle数据库服务查点

msfconsole
use auxiliary/scanner/oracle/tnslsnr_version
show options
set RHOSTS 192.168.238.128/24
set THREADS 50
run

4. 漏洞扫描

4.1 openvas安装

在kali新版本中openvas改名成了gvm，建议重新装一个kali虚拟机，然后换源，更新，再按照如下方法配置

(1) 安装

sudo apt-get install gvm

(2) 初始化

sudo gvm-setup

这一步需要比较长的时间（1h+）需要有点耐心，切记什么都不要点，尤其是回车，容易下载文件出错，也千万不要换网，换网容易报错，速度就那样慢慢等着就行了，成功后如下图：

使用runuser -u _gvm – gvmd --user=admin --new-password=123456修改密码

(3) 检查完整性

sudo gvm-check-setup

看到红框里的那句话基本上就安装成功了

(4) 运行

gvm-start

浏览器内输入https://127.0.0.1:9392/进入登录界面，注意https不可省略，登录成功后主界面如下：

(5) 漏洞扫描

点击左上角的第二个图标（像魔法棒一样），选择第一个Task Wizard就行，或者想选下面两个也行无所谓，输入主机的IP地址，点击开始。这个过程需要一点时间

扫描完成后点击查看

发现漏洞为445和135端口

在windows上查询

netstat -na

查到了135和445，与报告一致

CVEs意为通用漏洞披露，Closed CVEs报告将生成主机和CVE的列表，对于这些主机和CVE，相应的测试返回了“不易受攻击”的退出代码，即已修复且不会对报告的主机构成威胁的漏洞/暴露。详细的区别说明可以查看Greenbone社区

按照图中步骤点击查看

以缓冲区溢出为例

点击第一个查看详细内容

图中翻译如下：

原文	译文
3CTftpSvc TFTP Server is prone to a buffer overflow vulnerability.	此主机正在运行3CTftpSvc TFTP服务器，容易出现缓冲区溢出漏洞
The flaw is due to a boundary error during the processing of TFTP Read/Write request packet types. This can be exploited to cause a stack based buffer overflow by sending a specially crafted packet with an overly long mode field.	该缺陷是由于加工过程中的边界误差造成的TFTP读/写请求报文类型。这可能会导致堆栈通过发送具有过长的模式字段的专门制作的包来实现基于缓冲区溢出。
Successful exploitation will allow attackers to cause the application to crash, denying further service to legitimate users.	成功利用此漏洞将允许攻击者导致应用程序崩溃，拒绝向合法用户提供进一步的服务。
Will not fix No known solution was made available for at least one year since the disclosure of this vulnerability. Likely none will be provided anymore. General solution options are to upgrade to a newer release, disable respective features, remove the product or replace the product by another one	自该漏洞被披露以来至少一年时间内没有提供已知的解决方案。可能不会再提供了。一般的解决方案选项是升级到新版本、禁用相应的特性、删除产品或用另一个产品替换该产品。

(6) 漏洞修复

在windows上关闭端口135，445，尝试许多方法，无法关闭，此处存疑，如大家有好的方法可以交流

更详细的漏洞说明可在微软技术中心中查看或者查看下面给出的一些网址，解决漏洞的话就是根据图片中的

solutio
cve NVD
cvedetails
Exploit Database
或者通过查找CVE-2006-6183来得到更多有关漏洞的说明

5. 实验问题回答

5.1 哪些组织负责DNS，IP的管理

全球根服务器均由美国政府授权的ICANN统一管理，负责DNS和IP地址管理。
全球一共有5个地区性注册机构：
ARIN（北美地区业务），
RIPE（负责欧洲地区业务），
APNIC（负责亚太地区业务），
LACNIC（负责拉丁美洲美洲业务），
AfriNIC（负责非洲地区业务）

5.2 什么是3R信息

Registrant：注册人
Registrar：注册商
Registry：官方注册局

5.3 评价下扫描结果的准确性

扫描结果较为准确（系统、端口等），但漏洞太多了，不知道怎么核实

6. 实验感想

本次实验从确定目标主机到漏洞扫描，基本上是将整个攻击流程都走了一遍。经过这次实验我也明白了对于实现一次完成的攻击是十分繁琐的，刚开始需要获取目标主机IP，接着要扫描端口、服务等，才能找到机会，最后扫描漏洞才能获取到漏洞进而实施攻击。
总的来说，这次的实验不是很难，更多的是起到一个提醒的作用，期待提高我们的防范意识。