Kali渗透测试系统集成了metasploit开源的漏洞测试框架,是渗透测试必备的神器。下面是我在学习metasploit的笔记,有什么错误的地方请指出来,我会立即纠正的~
一.情报搜集
1.外围信息搜集
外围信息搜集又叫公开渠道信息搜集。搜索引擎,公共信息库,目标门户网站等等都是很好的入手点。metasploit有一类“辅助模块”,可以帮助你进行信息搜集的工作,并且还集成了nmap等神器。
1.1通过DNS和IP挖掘目标网站的信息
①whois域名注册信息查询
可以在MSF终端使用whois命令进行查询。
msf > whois baidu.com
注意:进行whois查询时去掉www等前缀,因为注册域名时通常会注册一个上层域名,子域名由自身的域名服务器管理,在whois数据库中可能查询不到。
②nslookup,dig域名查询
nslookup可以得到DNS解析服务器保存的Cache的结果,但并不是一定准确的。dig可以从官方DNS服务器上查询精确的结果
msf > nslookup
[*] exec: nslookup
> set type=A
> baidu.com
msf > dig @dns.baidu.com baidu.com #dns.baidu.com为DNS服务器
具体使用方法就不在这讲述,请自行百度。
③IP2Location 地理位置查询
www.maxmind.com
可以根据IP查询地理位置,需要翻墙、
④netcraft提供的信息查询服务
http://www.netcraft.com/
能获取到更多的更详细的信息。
⑤IP2反域名查询
通过IP反查到域名,即旁注的第一步。
http://www.ip-adress.com/reverse_ip/
可以通过该网站查询
国内的也可以用 http://www.7c.com/ 进行查询,结果更准确。
1.2通过搜索引擎进行信息搜集
①Google Hacking
Google提供了高级搜索功能。GHDB数据库包含了大量使用Google从事渗透的搜索字符串,
http://www.exploit-db.com/google-dorks 可以在上述网址看GHDB的内容。
一些自动化的工具,SiteDigger ,Search Diggity,Gooscan,具体用法自行百度。
②搜索网址目录结构
首先可以手工测试一些常见的目录名,如 admin,login等等。
用Google查询:parent directory site:XXX.com 来查找目录。一般对拓展名为inc,bak,txt,sql的文件要特别留意。
inc:可能包含网站的配置信息。
bak:通常是文本编辑器留下的备份文件。
txt or sql:包含网站运行的sql脚本。
自动化的工具:metasploit的brute_dirs,dir_listing,dir_scanner等辅助模块,主要是暴力猜解。以dir_scanner为例:msf > use auxiliary/scanner/http/dir_scanner。具体的辅助模块需要百度自行查找。
一些网站还会在根目录下放置robots.txt文件,用以告诉搜索引擎哪些目录和文件不被抓取。
③搜索特定类型的文件
有些网站会链接通讯录,订单等敏感的文件,可以进行针对性的查找,如Google,site:XXX.com filetype:xls。
④搜索E-Mali
metasploit中有search_email_collector,进行针对性的搜集。
msf auxiliary(dir_scanner) > use auxiliary/gather/search_email_collector
⑤搜索存在sql注入的页面以及后台登陆的页面
Google:site:XXX.com inurl:login site:XXX.com inurl:.php?id=1
⑥IP路由侦查
工具:traceroute
root@kali:~# traceroute www.baidu.com
2.主机探测和端口扫描
2.1活跃主机扫描
①ICMP Ping命令
ping www.baidu.com
②metasploit中的模块
位于 modules/auxiliary/scanner/discovery 主要有 arp_sweep, ipv6_multicast_ping, ipv6_neighbor, ipv6_neighbor_router_advertisement, udp_probe, udp_sweep.
arp_sweep 使用ARP请求枚举本地局域网的活跃主机,即ARP扫描器
udp_sweep 使用UDP数据包探测。
③Nmap探测
metasploit中集成了nmap,至于nmap的用法,不在这里详细讨论。
2.2操作系统辨别
Nmap -O 参数
2.3端口扫描与服务探测
扫描技术:TCP Connect ,TCP SYN, TCP ACK ,TCP FIN ,TCP IDLE
①metasploit的端口扫描模块
search portscan 找到相关模块
②Nmap端口扫描
一般用到的参数如下:
-sT -sS -sF/-sX/-sN -sP -sU -sA -Pn -p -F 具体百度。。。。
③探测详细服务信息
Nmap -sV 参数
3.服务扫描和查点
metasploit中有许多相关工具,大部分都在Scanner辅助模块,常以[service_name]_version(用以遍历主机,确定服务版本)和[service_name]_login(进行口令探测攻击)命名
可输入 search name:_version查看所有服务查点模块
3.1网络服务扫描
①telent服务扫描
msf > use auxiliary/scanner/telent/telent_version
②SSH服务扫描
msf > use auxiliary/scanner/ssh/ssh_version
③Oracle数据库服务查点
msf auxiliary(ssh_version) > use auxiliary/scanner/oracle/tnslsnr_version
④开放代理探测
open_proxy模块
msf auxiliary(tnslsnr_version) > use auxiliary/scanner/http/open_proxy
公开搜集的代理服务器安全性无法得到保障。
3.2口令猜测与嗅探
制作一本质量高的字典需要运用社工。
①.SSH口令猜测
msf auxiliary(open_proxy) > use auxiliary/scanner/ssh/ssh_login
②psnuffle口令探测
psnuffle是metasploit中的口令嗅探工具,只有在接入对方网络的初始访问点后才能进行嗅探。
msf auxiliary(ssh_login) > use auxiliary/sniffer/psnuffle
4.网络漏洞扫描
漏洞扫描器会向目标发送大量数据包,甚至会导致目标系统拒绝服务,而且会有很多误报或漏报,因此需要人工分析。
①OpenVAS漏洞扫描器
OpenVAS在kali中的配置请自行百度,这里不再详细讲解。
OpenVAS使用教程这里不再赘述。
②查找特定服务漏洞
Nmap是针对性扫描工具之一,其拥有很多script的脚本可供使用,具体脚本的使用方法不再详解。
5.渗透测试信息数据库共享
metasploit提供了对psrtgresql数据库的支持。并提供了db_namp命令,可以将Nmap扫描结果存入数据库中,还提供了db_import命令,支持多种扫描结果导入。
①使用网络数据库共享
②通过RPC 服务共享