信息搜集与漏洞扫描

实践目标

• （1）各种搜索技巧的应用
• （2）DNS IP注册信息的查询
• （3）基本的扫描技术：主机发现、端口扫描、OS及服务版本探测、具体服务的查点
• （4）漏洞扫描：会扫，会看报告，会查漏洞说明，会修补漏洞

信息搜集

实验内容

• 查询一个网站的注册信息，可以看到其拥有的ip段、注册地址、注册人、联系方式、所属国家城市和地理信息；追踪路由探测数据包的传递过程，并利用ip定位查看路由地理信息；利用搜索引擎精确获得相关信息。
• 通过使用nmap来实现主机发现、端口扫描、版本检测和操作系统检测。

实验过程

whois

• 查询3R注册信息：注册人-注册商-官方注册局

• QQ的IP：125.39.240.113

• 

• 

• 从上图中可以发现一些注册信息

nslookup/dig

• nslookup/dig：使用dig是从官方DNS服务器上查询精确的结果，若使用nslookup则是得到DNS解析服务器缓存的结果。

• 逐级查询dig

  • 查询com

  • 

  • 查询qq.com

  • 

• nslookup查询

  • 

Tracert路由探测

• tracert：Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP数据包访问目标所采取的路径。

• windows下：

  • 

• linux下：

  • 

搜索引擎查询技术

• site：搜索范围限定在特定站点中
  • 如果知道某个站点中有自己需要找的东西，就可以把搜索范围限定在这个站点中，提高查询效率。
• Filetype：搜索范围限定在指定文档格式中
  • 查询词用Filetype语法可以限定查询词出现在指定的文档中，支持文档格式有pdf，doc，xls，ppt，rtf,all(所有上面的文档格式)。对于找文档资料相当有帮助。
• intitle：搜索范围限定在网页标题
  • 网页标题通常是对网页内容提纲挈领式的归纳。把查询内容范围限定在网页标题中，有时能获得良好的效果。
• 双引号“”和书名号《》精确匹配：
  • 查询词加上双引号“”则表示查询词不能被拆分，在搜索结果中必需完整出现，可以对查询词精确匹配。如果不加双引号“”经过百度分析后可能会拆分。
  • 查询词加上书名号《》有两层特殊功能，一是书名号会出现在搜索结果中；二是被书名号扩起来的内容，不会被拆分。 书名号在某些情况下特别有效果，比如查询词为手机，如果不加书名号在很多情况下出来的是通讯工具手机，而加上书名号后，《手机》结果就都是关于电影方面的了。
• eg:

  • 

  • 

netdiscover发现

• 在linux下可以通过执行netdiscover命令直接对私有网段192.168.*.*进行主机探测

• 

NMAP扫描

• 相关参数用法：

-sT:TCP connect扫描
-sS:TCP syn扫描
-sF/-sX/-sN:通过发送一些标志位以避开设备或软件的检测
-sP:ICMP扫描
-sU:探测目标主机开放了哪些UDP端口
-sA:TCP ACk扫描
-sV:查看版本
-Pn:在扫描之前，不发送ICMP echo请求测试目标是否活跃
-O:辨识操作系统等信息
-F:快速扫描模式
-p<端口范围>：指定端口扫描范围

• 主机发现：nmap -sn 192.168.42.*

  • 

• 使用TCP/SYN方式对目标主机192.168.42.222进行扫描

  • 

• 扫描UDP端口：

  • 可以看到采用UDP协议的端口信息

  • 

• 版本检测：

  • 可以看到服务的版本信息，基本可以判断靶机是微软XP系列

  • 

• 系统检测：

  • 可以看到该ip地址的主机MAC地址，使用的是WINXP的SP2或SP3系统

  • 

http80服务查点

• 开启msf：msfconsole

• 可以通过输入指令查看msf中可提供的查点辅助模块，看到有如下模块可以应用

  • search _version

  • 

• msf使用套路基本都知道了，下一步就是，选择使用模块：

  • use auxiliary/scanner/http/http_version

• 查看配置参数，并进行相应的配置，参照提示配置即可，此处略

• http80服务查点结果如下，发现了局域网下2台http80服务：

  • 

漏洞扫描

实验内容

• 了解OpenVAS架构，学会搭建OpenVAS环境，可以对同一网段下主机ip进行漏洞扫描，通过阅读漏洞报告并结合漏洞库信息查询综合分析目标主机存在的漏洞，知道如何利用漏洞库信息修复存在的漏洞。

实验过程

Step1：检查安装状态，开启VAS

• 终端下输入指令：openvas-check-setup，检查安装状态

  • 此步骤中如果有提示ERROR:fix XXX，就执行XXX即可，正常如下：

  • 

• 开启VAS：openvas-start

  • 提示信息：Starting OpenVas Services表示服务开启成功

Step2：进入VAS，新建任务

• 在浏览器中访问主页：https://127.0.0.1:9392，使用默认登录名和密码，点击登录即可，界面如下：

  • 

• 点击如图所示按钮，点击：Task Wizard，建立一个新的任务向导，进入扫描界面

  • 

Step3：确认靶机IP，开始扫描

• 输入靶机WinXPenSP3的IP地址：192.168.42.222

• 开始扫描，等待结果

• 几分钟过后，扫描结果如下：

  • 

• 点击Done，可以查看漏洞级别及数量

  • 

Step4：下载漏洞扫描报告并查看分析

• 下载报告

  • 通过下载pdf版本的漏洞扫描报告，可以清楚查看扫描结果

  • 

• 拿第4个漏洞：Microsoft IIS WebDAV Remote Authentication Bypass Vulnerability举例分析：

  • 

  • Summer：主机是运行微软IIS Web服务器和WebDAV模块易于远程身份验证绕过漏洞。

  • Impact：大致的意思是说，成功的攻击会让攻击者制作一串恶意的UNICODE，来覆盖WebDAV启用IIS网络服务器中的上下文；结果会导致，由于缺乏保障实施的检查会让用户把密码保护的目录没有任何有效的认证。

  • Solution：运行Windows Update更新上市的修补程序或下载并更新补丁，链接为：http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx

  • 

总结

哪些组织负责DNS，IP的管理

DNS

• 管理机制
  • 全球根服务器均由美国政府授权的ICANN统一管理，负责全球的域名根服务器、DNS和IP地址管理。
  • 全球根域名服务器：绝大多数在欧洲和北美（全球13台，用A~M编号），中国仅拥有镜像服务器（备份）。
  • 全球一共有5个地区性注册机构：ARIN主要负责北美地区业务，RIPE主要负责欧洲地区业务，APNIC主要负责亚太地区业务，LACNIC主要负责拉丁美洲美洲业务，AfriNIC负责非洲地区业务。
• DNS服务器
  • 权威DNS服务器：提供原始DNS映射信息。是经过上一级授权对域名进行解析的服务器。
  • 递归缓存DNS服务器：ISP提供接入用户使用。可以缓存结果以避免重复向上查询。
  • 两者区别：递归缓存DNS服务器每次的查询先是从客户端到本地DNS服务器，若有缓存记录，则马上返回ip；而权威DNS服务器则是每次通过各级DNS服务器交互查询下一级信息访问到然后返回ip。

DNS & IP

• DNS与IP：DNS，将ip地址与域名进行映射，为了规范域名的分配管理，也为了便于人们的记忆，将IP地址与域名进行对应，使得通过域名就可以访问到相应的服务器了
• 例如访问www.qq.com时，主机->DNS查询服务器->根域名服务器->com域名服务器->baidu.com权威域名服务器，最后解析出对应的ip。

什么是3R信息

• 注册人-注册商-官方注册局
• 注册人(Registrant) →注册商(Registrar) →官方注册局(Registry)
• 3R注册信息：分散在官方注册局或注册商各自维护数据库中
• 官方注册局一般会提供注册商和Referral URL信息
• 具体注册信息一般位于注册商数据库中

实验感想

• 本次实验通过信息搜集与漏洞扫描技术，完成了主机发现、端口扫描、OS及服务版本探测、具体服务的查点、漏洞扫描、查看、修补等实践项目，通过远程隐蔽地了解计算机的基本信息以及系统漏洞，进而为进一步的夺取权限制定相应的攻击方案，基于开放的端口，对相应的应用进行扫描，基于漏洞的版本，选取相应的module以及payload，总之，本次实验内容可以说是网络攻防技术中的第一步，为后续成功实现攻击提供策略；
• 网络的攻与防就是矛与盾的关系，信息搜集与漏洞扫描技术，可以通过攻击机远程扫描其他主机，查看漏洞；但从另一面说，我们也可以通过相应的扫描结果，对自己的虚拟机以及处于同一个局域网下的友好主机进行分析检测，进而关闭一些不用的服务，并提供一个可行的解决方案，完善我们的主机安全。