标签:meta 开放 sts new 机器 迭代查询 切换 位置 利用
使用 metasploit 的 brute_dirs,dir_listing,dir_scanner等辅助模块,主要是暴力猜解。原理是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的。
dir_scanner 模块
use auxiliary/scanner/http/dir_scanner
set RHOST 47.94.47.203
set RPORT 8080
set THREADS 50 // 设定扫描线程数
exploit
dir_listing 模块
use auxiliary/scanner/http/dir_listing
set RHOST 47.94.47.203
set RPORT 8080
set THREADS 50
exploit
brute_dirs 模块
use auxiliary/scanner/http/brute_dirs
set RHOST 47.94.47.203
set RPORT 8080
set THREADS 50
exploit
有些网站会链接通讯录,订单等敏感的文件,可以进行针对性的查找。
解释:
在浏览器中输入 site:edu.cn filetype:xls 身份证号
点击搜索结果可下载 excel 文件(涉及个人信息,就不放图了)
Windows 使用 tracert 命令进行路由侦查
tracert www.baidu.com
从左到右分别代表了:
生存时间,每途经一个路由器结点自增1;
三次发送的ICMP包返回时间,共计3个,单位为毫秒ms。其中带有星号(*)的信息表示该次ICMP包返回时间超时;
途经路由器的IP地址,如果有主机名,还会包含主机名。
linux 下使用 traceroute 命令进行路由侦查
traceroute -n -m 20 -q 4 -w 3 www.baidu.com
参数的意义如下:
-n:显示 IP 地址,不查主机名;
-m:设置跳数;
-q:每个网关发送的数据包个数
-w:设置对外发探测包的等待响应时间(秒)
whois 就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)
输入 whois cnblogs.com 即可查询
nslookup可以得到DNS解析服务器保存的Cache的结果,但并不是一定准确的
dig可以从官方DNS服务器上查询精确的结果
dig 命令还有查询选项
+ [no]search:使用[不使用]搜索列表或resolv.conf中的域伪指令(如果有的话)定义的搜索列表。
+[no]trace:切换为待查询名称从根名称服务器开始的代理路径跟踪。缺省情况不使用跟踪。一旦启用跟踪,dig使用迭代查询解析待查询名称。它将按照从根服务器的参照,显示来自每台使用解析查询的服务器的应答。
+[no]identify:当启用+short选项时,显示[不显示]提供应答的IP地址和端口号。
+[no]stats:该查询选项设定显示统计信息:查询进行时,应答的大小等。确定显示查询统计信息。
到网站 maxmind 即可通过 ping 得的 IP 地址,查询地理位置
可以看到,我这台服务器的地址在杭州,由阿里巴巴运行
也可以到 shodan 进行反域名查询
查出来的信息还是相当多的,系统版本,nginx 服务都查出来了
nmap
输入 nmap -sn 192.168.131.129/24 扫描当前局域网的活跃主机
metasploit的 arp_sweep 模块和 udp_sweep 模块
命令:
use auxiliary/scanner/discovery/xxx_sweep
show options
set RHOSTS 192.168.131.129/24
set THREADS 100
run
udp_sweep
arp_sweep:
扫描的是虚拟机所在的网段
nmap 相关参数如下:
-sS:TCP SYN扫描,可以穿透防火墙;
-sA:TCP ACK扫描。有时候由于防火墙会导致返回过滤/未过滤端口;
-sP:发送ICMP echo探测;
-sT:TCP connect扫描,最准确,但是很容易被IDS检测到,不推荐;
-sF/-sX/-sN:扫描特殊的标志位以避开设备或软件的监测;
-O:启用TCP/IP协议栈的指纹特征信息扫描以获取远程主机的操作系统信息;
-sV:获取开放服务的版本信息;
以 namp -PU 为例,是对UDP端口进行探测,与udp_sweep模块功能相同
此时我打开了另一台虚拟机,可以看到 192.168.131.130 的扫描结果
metasploit的端口扫描模块
use auxiliary/scanner/portscan/tcp
set RHOSTS 192.168.131.129
exploit
并没有扫描到开放端口
操作系统侦测
输入 sudo nmap -O 192.168.131.129,指定 nmap 进行 OS 探测
服务侦测
nmap -sV 查看目标主机的详细服务信息
输入 nmap -sV -Pn 192.168.131.129
只看到 apache 服务
telenet 服务扫描
use auxiliary/scanner/telnet/telnet_version
set RHOSTS 192.168.131.130/24
set THREADS 100
run
发现这个网段里的机器 23 端口都无法连接
SSH 服务扫描
use auxiliary/scanner/ssh/ssh_version
set RHOSTS 47.94.47.203
run
我扫描的是我的阿里云主机,可以看到 ssh 服务的信息和系统的版本
sudo docker pull mikesplain/openvas
sudo docker run -d -p 443:443 -p 9090:9090 -v $(pwd)/data:/var/lib/openvas/mgr/ -e OV_PASSWORD=xxxxxx -e PUBLIC_HOSTNAME=192.168.131.129 --name openvas mikesplain/openvas
// PUBLIC_HOSTNAME 填自己主机ip
// 数据映射到了 /var/lib/openvas/mgr/ 位置
// OV_PASSWORD 可以设置admin密码
su root // 下面操作使用 sudo 会出错
docker exec -it openvas bash // 运行容器 bash
openvasmd --user=admin --new-password=admin
浏览器输入 https://${你的主机ip}/,输入上文设定的用户名及密码,登录 OpenVAS
点击顶部菜单栏 Scans 中的 Tasks
点击 Task Wizard 新建任务向导,输入要扫描的IP,我扫描的是我的阿里云服务器
扫描结束
我的服务器高危…………
点击 Name 下名称,查看扫描的详细信息。点击 Full and fast 。
选择第二项 Amazon Linux Local Security Checks
选择一个严重程度为 10 的
Amazon Linux Local Check: ALAS-2011-16
可以看到
- Vulnerability Insight:在Linux内核中发现了多个缺陷
- Solution:运行yum update kernel更新系统,并重启
再选择一个 10 级严重的
Amazon Linux Local Check: ALAS-2012-111
大致概括一下。这是 OpenJPEG ( jpeg 编码器 )存在的输入认证缺陷,会导致堆溢出。攻击者可以发送一个经过特殊处理的图片,以导致应用程序崩溃,或获得用户权限。
解决办法是升级 OpenJPEG
再看一个 10 级严重的
Amazon Linux Local Check: ALAS-2012-140
libproxy 处理代理配置文件 pac 时存在的缓冲区溢出漏洞。中间人攻击者,托管 pac 文件的恶意服务器可以利用这个漏洞导致使用 libproxy 的程序崩溃
解决方法是更新 libproxy
我发现,这些 10 级漏洞大多都挺古老,升级就可以解决问题
全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器、DNS和IP地址管理
五个地区性注册机构:
扫描结果大体上还是准确的。但nmap -O 并未准确探测出操作系统。
我的服务器被扫出大量 9,10 级漏洞。其实 apt dist-upgrade 就可以解决绝大多数问题,最新版本大都修复了这些漏洞
这次实验貌似是最简单的一次,也算是对以前接触的各种工具的一个总结
175210 《网络对抗技术》 Exp5 信息搜集与漏洞扫描
标签:meta 开放 sts new 机器 迭代查询 切换 位置 利用
原文地址:https://www.cnblogs.com/mtzf/p/12775974.html
