Exp6 信息搜集与漏洞扫描

信息搜集与漏洞扫描

0x1 被动信息搜集

被动信息搜集是指，使用一些公开的、间接的信息搜索技巧，在不接触到目标系统的情况下，挖掘目标信息。

如果掌握一定的技巧，甚至可以确定目标网络中使用的操作系统和网站服务器类型。

whois 查询

我曾经就读的小学是江苏省常州市延陵小学，目前官网域名为czylxx.net

我们可以对它进行whois查询

1-1

我们还可以获得注册人的部分信息(姓名，邮箱)

1-2

Netcraft查询

Netcraft这个网站可以查询到特定网站的IP地址，依然以czylxx.net为例

1-3

我们甚至可以看到主机信息——win server 2012操作系统，IIS/8.5的web服务器

针对这个IP——61.160.213.115进行一次whois查询

1-4

可以看到网站的服务器提供商。

IP2Loaction

如果目标在国内的话，我们更推荐纯真IP库(http://www.cz88.net)对目标的地理位置进行查询

1-5

nslookup

我们再使用nslookup获取czylxx.net的更多信息

1-6

我们同样可以看到邮件服务器的DNS记录指向hostmaster.xinnetdns.com

Google Hacking

google搜索引擎的功能非常强大，掌握高超的搜索技巧，通过它就能找到相当多的信息

使用VPN或代理服务器进入google，在czylxx.net域名下，搜索一些excel表格

1-7

google的搜索技巧非常多，但限于篇幅和个人兴趣，这里就不展开了

黑客的搜索引擎——fofa.so

FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。

我们通过它来看一下我们学校的服务器中间件版本信息

1-0-1

研究生部的网站用的是IIS/7.0

1-0-2

我们还发现了一个从未见过的域名 xgc.besti.edu.cn

1-0-3

但是在浏览器中打不开，应该是现在已经访问不了。

0x2 主动信息搜集

主动信息搜集需要与目标系统进行直接的交互，从而进行更深入的了解。

在我的实验环境中

攻击机Kali，IP: 10.0.2.6
靶机OWASP BWA，IP: 10.0.2.10

限于篇幅与个人兴趣，这部分我只介绍nmap的使用。

nmap基础

nmap的参数虽然很多，但常用的只有那么几个。

下面是nmap支持的部分扫描类型：

-sT TCP connect扫描，即“全连接扫描”，该扫描建立完整的三次握手过程
-sS TCP SYN扫描，即“半连接扫描”
-sP ping扫描，通过ICMP echo请求探测主机（原理同ping）
-sU UDP扫描

还有TCP FIN扫描，ACK扫描，圣诞树扫描之类的，看帮助文档就行了。

nmap还提供了如下的扫描选项：

-A 完全扫描，提供所有能提供的信息
-O 操作系统探测
-sV 服务版本探测
-p 指定需要扫描的端口范围

nmap还可以和metasploit的数据库进行绑定，在MSF中使用db_nmap，它的参数和nmap完全一致，而且结果会保存到MSF的数据库中。

实战nmap端口扫描

先进行一次主机发现，使用-sn选项对探索子网内活跃的主机。

2-0

我们发现10.0.2.10这个IP地址的主机是活跃的

接着使用基本的端口扫描功能对OWASP靶机进行扫描，这里使用TCP SYN扫描

2-1

TCP SYN扫描比较隐秘，同时也是nmap的默认扫描方式。

接下来看看OWASP靶机的服务版本信息，直接使用-A选项

2-2

-A选项相当于同时使用 -sV选项和-O选项

使用nmap脚本

nmap的扩展性也非常强，可以编写脚本来完成一些工作。

nmap本身自带了一些脚本，在Kali中，/usr/share/nmap/scripts目录下就是nmap所有的自带脚本。

2-3

使用--script=<script-name> 选项就可以使用这些脚本了。

这里使用ssh-brute脚本尝试暴力破解ssh口令

2-4

nmap自带了口令字典，可以进行扫描（但是默认的字典成功率并不高）

2-5

非常幸运，我们破解成功了！存在用户名user口令user的ssh登录账号，以及用户名root口令ubuntu的ssh用户。

这是nmap给出的username.lst，里面是用户名

2-7

nmap默认的password.lst口令字典

2-6

0x3 针对性扫描

接下来，我们使用metasploit对目标进行针对性扫描，获取特定操作系统、服务、软件以及配置缺陷等信息。

我们看一下linux metasploit目标提供的服务有那些：

3-0

然后我们对这些信息进行针对性扫描

数据库口令猜测

我们发现linux metasploit靶机中存在mysql数据库，postgresql数据库。

现在就使用metasploit对数据库进行口令猜测

mysql数据库口令破解——使用mysql_login模块

我偷了个懒，直接复制了nmap的口令字典和用户名字典，然后设置如下参数

set RHOSTS 10.0.2.11
set STOP_ON_SUCCESS true
set PASS_FILE passwords
set USER_FILE usernames
set USER_AS_PASS true
set THREADS 50

3-1

输入run，运行该辅助模块，得到如下结果

3-2

postgresql数据库的弱口令破解也是如此，这里就不演示了。

大家可以在weakpass.com网站上下载一些口令字典（虽然我还不知道好不好用）

FTP扫描

metasploit可以针对特定服务，对一个网段中的主机进行扫描，这里我们以FTP服务为例子。

设置参数如下：

use auxiliary/scanner/ftp/ftp_version
set RHOSTS 10.0.2.0/24
set THREAD 50

我们可以发现在10.0.2.0/24这个网段中，有两台主机开启了FTP服务

3-3

然后我们看一下这些FTP是否允许匿名用户登录，使用scanner/ftp/anonymous模块

3-4

很可惜，没有支持匿名登录的FTP服务器

3-5

我们也可以继续尝试弱口令破解，这里就不演示了。

对于其他服务器，比如SSH、Telnet、SMB等等，这里的思路都是类似的，先扫描发现这些服务，然后尝试弱口令破解。

0x4 漏洞扫描

接下来，我们使用漏洞扫描器进行漏洞扫描。使用漏洞扫描器会产生比较大的流量，如果要干坏事，就别用漏洞扫描器了，很容易被别人发现。

但如果是自己利用漏洞扫描器发现自己系统的漏洞和未打的补丁，漏洞扫描器就非常方便了。

依然以靶机linux metasploit(IP: 10.0.2.11)为目标，对它进行漏洞扫描

使用OpenVAS进行漏洞扫描

Kali上安装Openvas非常简单

root@kali:~# apt-get update
root@kali:~# apt-get dist-upgrade

root@kali:~# apt-get install openvas
root@kali:~# openvas-setup

安装完成后，会显示admin账号的口令，用它登录web应用后，改一个简单一点的口令就行。

记得执行openvas-check-setup命令判断是否安装成功

4-1

直接通过Task Wizard创建任务，输入要扫描的主机的IP即可

4-2

openvas扫描完毕后，我们来看一看生成的报告

4-3

有9个漏洞被openvas标记为“高危”的漏洞，我们来看一下

4-4

SSH的弱口令可以被暴力破解，mysql和postgresql都使用了默认的用户名口令

openvas甚至给出了SSH的一些用户名和口令（还差root:ubuntu这一个账户）

4-5

再看另一个标记为“high”的漏洞：

4-6

这应该是一个关于Apache的漏洞（CVE-2011-3192），容易通过这个漏洞来引发“拒绝服务”（DOS）攻击

在exploit-db中甚至有攻击代码

4-7

其实nmap中就有检测这个漏洞的脚本存在，我们看一下：

4-8

接着用nmap扫描一下：

4-9

我觉得OpenVAS就是用nmap发现了这个漏洞的。

至于解决办法吗……更新apache版本吧（笑）

也可以看一看https://wiki.apache.org/httpd/CVE-2011-3192给出的迁移办法吧，很详细。

基础问题解答

(1) 哪些组织负责DNS，IP的管理?

答：

顶级的管理者是ICANN，ICANN理事会是ICANN的核心权利机构，它设立三个支持组织，分别是：

地址支持组织（ASO）负责IP地址系统的管理。
域名支持组织（DNSO）负责互联网上的域名系统（DNS）的管理。
协议支持组织（PSO）负责涉及Internet协议的唯一参数的分配。

5个地区性注册机构：

ARIN主要负责北美地区业务
RIPE主要负责欧洲地区业务
APNIC主要负责亚太地区业务
LACNIC主要负责拉丁美洲美洲业务
AfriNIC主要负责非洲地区业务。

(2) 什么是3R信息

答：

Registrant：注册人
Registrar：注册商
Registry：官方注册局

(3) 评价一下扫描结果的准确性

答：还是挺不错的，linux metasploit的漏洞信息在《Metasploit魔鬼训练营》里面都列出来了，OpenVAS给出的扫描结果虽然没有具体到CVE编号，但都给出存在漏洞的服务器信息，也就是都沾边了。

实验新得与体会

从这篇报告中，我希望大家可以看出我对nmap工具情有独钟。

我第一次接触nmap是在冯雁老师的课上，当时用的是nmap的图形工具zenmap

说来也奇怪，我在冯雁老师的课上用的最多的工具其实是wireshark，但我到现在看到wireshark的数据包都一头雾水。

对nmap的使用我已经有自己的“三板斧”了，如果我能熟悉Lua语言的话，就可以编写自己的nmap脚本了。

不过我以后也没时间玩nmap了吧。

番外——Web应用的漏洞扫描

Web应用的攻防技术比较热门，和系统攻防相比，Web应用的攻防技术门槛比较低。

诸如pwn、逆向、二进制、内存攻防技术等等这些方向，对初学者来说不太友好，学习曲线很陡峭。

我感觉自己在一学期的学习中掌握基础的Web应用的攻防技术还是有一点点希望的。

在走出校园之前，我想尽可能的多体会一些攻防技术之美，就稍微探索一下Web方向吧。

这部分内容参考《Metasploit魔鬼训练营》

目标靶机OWASP BWA，IP地址：10.0.2.10

使用W3AF扫描XSS漏洞

W3AF是一款开源的Web应用攻击和统计平台，《Metasploit魔鬼训练营》对它的评价较高。

W3AF的安装相当麻烦，使用过程中的参数的配置也比较繁琐，GUI界面操作一般。

不过，《Metasploit魔鬼训练营》没有介绍“广为流传”的Burp Suite，而是选择了W3AF，应该是有原因的。

让我们尝试使用一下W3AF吧。

ww-0

扫描目标

我们的扫描的对象是OWASP中的一个Web应用——Mutillidae。

ww-0-1

主要的探测目标是找到该web应用的XSS漏洞。

因此，这次扫描用到插件有audit（审计模块）中的xss，crawl（爬虫）中的web_spider

配置扫描参数

使用w3af_console打开W3AF的命令行，进行如下的配置

plugins
audit xss   				// 审计XSS漏洞
crawl web_spider			// 配置网页爬虫
crawl config web_spider		
set only_forwad True
back
output html_file			//配置输出格式，选择了html和cvs两种输出方式
output cvs_file
back
target						//设置扫描目标
set target http://www.dvssc.com/mutillidae
back
start

ww-1