Kali信息收集
前言
滲透測試最重要的階段之一就是信息收集,需要收集關于目標主機的基本細膩些。滲透測試人員得到的信息越多,滲透測試成功的概率也就越高。
一、枚舉服務
1.1 DNS枚舉工具DNSenum
DNSenum是一款非常強大的域名信息收集工具。它能夠通過谷歌或者字典文件猜測可能存在的郁悶,并對一個網(wǎng)段進行反向查詢。它不僅可以查詢網(wǎng)站的主機地址信息、域名服務器和郵件交換記錄,還可以在域名服務器上執(zhí)行axfr請求,然后通過谷歌腳本得到擴展域名信息,提取子域名并查詢,最后計算 C類地址并執(zhí)行whois查詢,執(zhí)行反向查詢,把地址段寫入文件。
root@kali:~# dnsenum --enum baidu.com
輸出信息顯示了DNS服務的詳細信息。其中,包括主機地址、域名服務地址和郵件服務地址。
使用DNSenum工具檢查DNS枚舉時,可以使用dnsenum的一個附加選項,如下所示:
--threads[number]: 設置用戶同時運行多個進程數(shù)。 -r: 允許用戶啟用遞歸查詢。 -d: 允許用戶設置whois請求之間時間延遲數(shù)(單位秒)。 -o: 允許用戶指定輸出位置。 -w: 允許用戶啟用whois請求。
1.2 DNS枚舉工具fierce
fierce工具和DNSenum工具性質(zhì)差不多,其fierce主要是對子域名進行掃描和收集信息的。使用fierce工具獲取一個目標主機上所有IP地址和主機信息。
執(zhí)行命令如下所示:
root@kali:~# fierce -dns baidu.com
1.3 SNMP枚舉工具snmpwalk
snmpwalk是一個SNMP應用程序。它使用SNMP的GETNEXT請求,查詢指定的所有OID(SNMP協(xié)議中的對象標識)樹信息,并顯示給用戶.
使用snmpwalk測試centos6 主機
centos主機啟動snmp服務
yum -y install net-snmp net-snmp-devel net-snmp-utils service iptables stop service snmpd start
root@kali:~# snmpwalk -c public 192.168.244.132 -v 2c
1.4 SNMP枚舉工具snmpcheck
snmpcheck工具允許用戶枚舉SNMP設置的同時將結果以可讀的方式輸出。
root@kali:~# snmpcheck -t 192.168.244.132
1.5 SMTP枚舉工具smtp-user-enum
https://tools.kali.org/information-gathering/smtp-user-enum
smtp-user-enum是針對SMTP服務器的25端口,進行用戶名枚舉的工具,用以探測服務器已存在的郵箱賬戶。
smtp-user-enum -M VRFY -U /tmp/users.txt -t 192.168.244.132
二、域名查詢及路由跟蹤
2.1 域名查詢工具DMitry
DMitry工具是用來查詢IP或域名whois信息的。whois是用來查詢域名是否已經(jīng)被注冊及已經(jīng)注冊域名的詳細信息的數(shù)據(jù)庫(如域名所有人和域名注冊商)。使用該工具可以查到域名的注冊商和過期時間等。
root@kali:~# dmitry -wnpb rzchina.net
netmask工具將域名xxx轉換成標準的子網(wǎng)掩碼格式
root@kali:~# netmask -s rzchina.net
2.2 路由跟蹤工具scapy
https://scapy.readthedocs.io/en/latest/usage.html
scapy是一款強大的交互式數(shù)據(jù)包處理工具、數(shù)據(jù)包生成器、網(wǎng)絡掃描器、網(wǎng)絡發(fā)現(xiàn)工具和包嗅探工具。它提供多種類別的交互式生成數(shù)據(jù)包或數(shù)據(jù)包集合、對數(shù)據(jù)包進行操作、發(fā)送數(shù)據(jù)包、包嗅探、應答和反饋匹配等功能。
使用scapy實現(xiàn)多行并行跟蹤路由功能。
(1)啟動scapy工具。
root@kali:~# scapy
(2)使用sr()函數(shù)實現(xiàn)發(fā)送和接受數(shù)據(jù)包。執(zhí)行命令如下所示:
>>> ans,unans=sr(IP(dst="www.rzchina.net/30",ttl=(1,6))/TCP())
執(zhí)行以上命令后,會自動與www.rzchina.net建立連接。執(zhí)行幾分鐘后,使用Ctrl+C終止接受數(shù)據(jù)包。從輸出的信息中可以看到收到61個數(shù)據(jù)包,得到2個響應包及保留了22個包。
(3)以表的形式查看數(shù)據(jù)包發(fā)送情況。
>>> ans.make_table(lambda s,r: (s.dst, s.ttl, r.src))
180.178.61.80
1 192.168.244.2
>>> ans.make_table(lambda s,r: (s.dst, s.dport, r.sprintf("{TCP:%TCP.flags%}{ICMP:%IP.src% - %ICMP.type%}")))
180.178.61.80
80 192.168.244.2 - time-exceeded
三、識別網(wǎng)絡中活躍的主機
3.1 網(wǎng)絡映射器工具NAMP
Nmap是一個免費開放的網(wǎng)絡掃描和嗅探工具包,也叫網(wǎng)絡映射器(network Mapper)。該工具基本功能有三個,一是探測一組主機是否在線;其次是掃描主機端口,嗅探所提供的網(wǎng)絡服務;三是可以推斷主機所用的操作系統(tǒng)。通常,用戶利用nmap來進行網(wǎng)絡系統(tǒng)安全評估
3.2 使用NAMP識別活躍主機
root@kali:~# nmap -sP 192.168.244.132
從輸出的信息可以看到主機的域名、主機在線和MAC地址等
也可以使用nping(nmap套具)查看,能夠獲取更多詳細信息
root@kali:~# nping --echo-client "public" echo.nmap.org
輸出的信息顯示了與echo.nmap.org網(wǎng)站連接是數(shù)據(jù)的發(fā)送情況,如發(fā)送數(shù)據(jù)包的時間、接受時間、TTL值和往返時間等。
也可以發(fā)送一些十六進制數(shù)據(jù)到指定端口
root@kali:~# nping -tcp -p 445 -data AF56A43D 192.168.244.129
輸出的信息顯示了192.168.244.128與目標系統(tǒng)192.168.244.129之間TCP傳輸過程。通過發(fā)送數(shù)據(jù)包到指定端口模擬出一些常見的網(wǎng)絡攻擊,以驗證目標系統(tǒng)對這些測試的防御情況。
四、 查看打開的端口
對一個大范圍的網(wǎng)絡或活躍的主機進行滲透測試,必須要了解這些主機上所打開的端口號。在Kali Linux中默認提供了nmap和zenmap兩個端口工具。
4.1 nmap端口掃描
root@kali:~# nmap 192.168.244.132
指定掃描端口范圍
root@kali:~# nmap -p 1-1000 192.168.244.132
掃描特定端口
nmap工具可以指定一個特定端口號掃描
root@kali:~# nmap -p 22 192.168.244.0/24
使用nmap工具還可以指定掃描端口結果的輸出格式
root@kali:~# nmap -p 22 192.168.244.0/24 -oG /tmp/nmap22.txt
4.2 圖形化TCP端口掃描工具Zenmap
五、系統(tǒng)指紋識別
5.1使用nmap工具識別系統(tǒng)指紋信息
使用nmap命令的-O選項啟用操作系統(tǒng)測試功能
root@kali:~# nmap -O 192.168.244.132
5.2 指紋識別工具p0f
https://tools.kali.org/information-gathering/p0f
https://lcamtuf.coredump.cx/p0f3/
https://lcamtuf.coredump.cx/p0f3/README
https://github.com/p0f/p0f
p0f是一款百分之百的被動指紋識別工具。該工具通過分支目標主機發(fā)出的數(shù)據(jù)包,對主機上的操作系統(tǒng)進行鑒別,即使是在系統(tǒng)上裝有性能良好的防火墻也沒有問題。p0f主要識別的信息如下:
操作系統(tǒng)類型
端口
是否允行防火墻之后
是否運行于NAT模式
是否運行于負載均衡模式
遠程系統(tǒng)已啟動時間
遠程系統(tǒng)的DSL和ISP信息等。
kaili 中安裝p0f
https://lcamtuf.coredump.cx/p0f3/releases/p0f-3.09b.tgz http://www.tcpdump.org/release/libpcap-1.9.1.tar.gz # configure: error: Neither flex nor lex was found. apt-get install flex bison # 解決如下報錯 # .build-2160.c:1:10: fatal error: pcap.h: 沒有那個文件或目錄 tar xf libpcap-1.9.1.tar.gz cd libpcap-1.9.1 ./configure make echo $? make install cd p0f-3.09b /build.sh # 解決報錯 # ./p0f: error while loading shared libraries: libpcap.so.1: cannot open shared object file: No such file or directory vim /etc/ld.so.conf #在此文件中添加一行/usr/local/lib /usr/local/lib ldconfig
啟動p0f
cd p0f-3.09b root@kali:~/下載/p0f-3.09b# ./p0f -i eth0
使用p0f分析Wireshark捕獲一個文件。執(zhí)行命令如下所示:
p0f -r /tmp/targethost.pcap -p p0f -result.log
六、服務指紋識別
為了確保有一個成功的滲透測試,必須要知道目標系統(tǒng)中服務的指紋信息。服務指紋信息包括服務端口、服務名和版本等。在kali中可以使用Nmap和Anmp工具識別指紋信息。
6.1 使用nmap工具識別服務指紋信息
nmap -sV 192.168.244.132
6.2 服務枚舉工具Amap
Amap是一個服務枚舉工具。使用該工具能識別正在運行在一個指定端口或一個范圍端口上的應用程序。
https://www.kancloud.cn/haoyuanqiang/kali_linux_tools_documents/1060342
七、其他信息收集方式
7.1 Recon-NG框架
Recon-NG是由Python編寫的一個開源的Web偵查(信息收集)框架。Recon-NG框架是一個強大的工具,使用它可以自動的收集信息和網(wǎng)絡偵查。
7.2 ARP偵查工具Netdiscover
Netdicover是一個主動/被動的ARP偵查工具。該工具在不適用DHCP的無線網(wǎng)絡上非常有用。使用Netdiscover工具可以在網(wǎng)絡上掃描IP地址,檢查在線主機或搜索為它們發(fā)送的ARP請求。
https://github.com/netdiscover-scanner/netdiscover
Netdiscover命令的語法格式如下所示:
netdiscover [-i device] [-r range | -l file | -p] [-m file] [-F filter] [-s time] [-c count] [-n node] [-dfPLNS]
參數(shù)含義如下所示:
-i device: 指定網(wǎng)絡設備接口。 -r range: 指定掃描網(wǎng)絡范圍。 -l file: 指定掃描范圍列表文件。 -p: 使用被動模式,不發(fā)送任何數(shù)據(jù)。 -s time: 每個ARP請求之間的睡眠時間。 -n node: 使用八字節(jié)的形式掃描。 -c count: 發(fā)送ARP請求的時間次數(shù)。 -f : 使用主動模式。 -d: 忽略配置文件 -S: 啟用每個ARP情況之間抑制睡眠時間。 -P: 打印結果。 -L: 將捕捉信息輸出,并繼續(xù)進行掃描
使用Netdiscover工具掃描局域網(wǎng)指定主機
root@kali:~# netdiscover -r 192.168.244.0/24
7.3 搜索引擎工具Shodan
shodan網(wǎng)絡搜索引擎偏向網(wǎng)絡設備以及服務器的搜索,具體內(nèi)容可上網(wǎng)查閱,這里給出它的高級搜索語法。
地址:https://www.shodan.io/
搜索語法 hostname: 搜索指定的主機或域名,例如 hostname:”google” port: 搜索指定的端口或服務,例如 port:”21” country: 搜索指定的國家,例如 country:”CN” city: 搜索指定的城市,例如 city:”Hefei” org: 搜索指定的組織或公司,例如 org:”google” isp: 搜索指定的ISP供應商,例如 isp:”China Telecom” product: 搜索指定的操作系統(tǒng)/軟件/平臺,例如 product:”Apache httpd” version: 搜索指定的軟件版本,例如 version:”1.6.2” geo: 搜索指定的地理位置,例如 geo:”31.8639, 117.2808” before/after: 搜索指定收錄時間前后的數(shù)據(jù),格式為dd-mm-yy,例如 before:”11-11-15” net: 搜索指定的IP地址或子網(wǎng),例如 net:”210.45.240.0/24”
7.4 谷歌/百度 hacker
allintext: 搜索文本,但不包括網(wǎng)頁標題和鏈接 allinlikns: 搜索鏈接、不包括文本和標題 related: URL 列出于目錄URL地址有關的網(wǎng)頁 link: URL 列出到鏈接到目錄URL的網(wǎng)頁清單 使用“-”排除結果,例如site:baidu.com –image.baidu.com intext: 查找網(wǎng)頁中含有xx關鍵字的網(wǎng)站,示例:管理員登錄 intitle: 查找某個標題, 示例: inititle: 后臺登錄 filetype: 查找某個文件類型的文件 示例:數(shù)據(jù)挖掘 filetype: doc inurl: 查找url中帶有某字段的網(wǎng)站 示例:inurl: php?id= site: 在某域名中查找信息
7.5 censys搜索引擎
censys搜索引擎功能與shodan類似,以下幾個文檔信息。 地址:https://www.censys.io/ 搜索語法 默認情況下censys支持全文檢索。 23.0.0.0/8 or 8.8.8.0/24 可以使用and or not 80.http.get.status_code: 200 指定狀態(tài) 80.http.get.status_code:[200 TO 300] 200-300之間的狀態(tài)碼 location.country_code: DE 國家 protocols: (“23/telnet” or “21/ftp”) 協(xié)議 tags: scada 標簽 80.http.get.headers.server:nginx 服務器類型版本 autonomous_system.description: University 系統(tǒng)描述 正則
7.6 fofa搜索引擎
FoFa搜索引擎偏向資產(chǎn)搜索。 地址:https://fofa.so 搜索語法 title=”abc” 從標題中搜索abc。例:標題中有北京的網(wǎng)站。 header=”abc” 從http頭中搜索abc。例:jboss服務器。 body=”abc” 從html正文中搜索abc。例:正文包含Hacked by。 domain=”qq.com” 搜索根域名帶有qq.com的網(wǎng)站。例: 根域名是qq.com的網(wǎng)站。 host=”.gov.cn” 從url中搜索.gov.cn,注意搜索要用host作為名稱。 port=”443” 查找對應443端口的資產(chǎn)。例: 查找對應443端口的資產(chǎn)。 ip=”1.1.1.1” 從ip中搜索包含1.1.1.1的網(wǎng)站,注意搜索要用ip作為名稱。 protocol=”https” 搜索制定協(xié)議類型(在開啟端口掃描的情況下有效)。例: 查詢https協(xié)議資產(chǎn)。 city=”Beijing” 搜索指定城市的資產(chǎn)。例: 搜索指定城市的資產(chǎn)。 region=”Zhejiang” 搜索指定行政區(qū)的資產(chǎn)。例: 搜索指定行政區(qū)的資產(chǎn)。 country=”CN” 搜索指定國家(編碼)的資產(chǎn)。例: 搜索指定國家(編碼)的資產(chǎn)。 cert=”google.com” 搜索證書(https或者imaps等)中帶有google.com的資產(chǎn)。 高級搜索: title=”powered by” && title!=discuz title!=”powered by” && body=discuz ( body=”content=”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” && body=”/wp-includes/“) ) && host=”gov.cn”
7.7 鐘馗之眼
鐘馗之眼搜索引擎偏向web應用層面的搜索。 地址:https://www.zoomeye.org/ 搜索語法 app:nginx 組件名 ver:1.0 版本 os:windows 操作系統(tǒng) country:”China” 國家 city:”hangzhou” 城市 port:80 端口 hostname:google 主機名 site:thief.one 網(wǎng)站域名 desc:nmask 描述 keywords:nmask’blog 關鍵詞 service:ftp 服務類型 ip:8.8.8.8 ip地址 cidr:8.8.8.8/24 ip地址段
7.8 后臺查找
intitle:<%eval request(
總結
- 上一篇: 本地开发的 SAP UI5 应用,部署到
- 下一篇: 河北省各城市名称由来