第3章-3.2-信息收集工具

信息收集工具在滲透測(cè)試初期進(jìn)行資產(chǎn)收集的時(shí)候，可以借助一些工具進(jìn)行綜合信息收集，例如Nmap、Recon-NG、Maltego等工具對(duì)目標(biāo)進(jìn)行全方位的信息收集。前言目錄/CONTENTSNmapRecon-NGMaltegoNmap（NetworkMapper）是一個(gè)網(wǎng)絡(luò)連接端口掃描軟件，最初是由Gordon

Fyodor

Lyon在1997年開(kāi)始創(chuàng)建的，它可以用來(lái)掃描網(wǎng)絡(luò)上活躍的主機(jī)，各主機(jī)開(kāi)放的端口，確定哪些服務(wù)運(yùn)行在哪些端口，推斷計(jì)算機(jī)運(yùn)行哪個(gè)操作系統(tǒng)。Nmap的功能十分全面，前面提到的活躍主機(jī)掃描、操作系統(tǒng)指紋識(shí)別、端口掃描和服務(wù)指紋識(shí)別都可以用其實(shí)現(xiàn)。Nmap介紹Nmap向目標(biāo)主機(jī)發(fā)送報(bào)文并根據(jù)返回報(bào)文將端口的狀態(tài)分為六種。open（開(kāi)放的）：端口處于開(kāi)放狀態(tài)，當(dāng)Nmap使用TCPSYN對(duì)目標(biāo)主機(jī)某一范圍的端口進(jìn)行掃描時(shí)，如果目標(biāo)主機(jī)返回SYN+ACK的報(bào)文，則證明該端口為開(kāi)放狀態(tài)，開(kāi)放的端口都可能成為攻擊的入口。Closed（關(guān)閉的）：端口上沒(méi)有應(yīng)用在監(jiān)聽(tīng)但該端口依舊是可訪問(wèn)的，可用于活躍主機(jī)掃描和操作系統(tǒng)探測(cè)等，當(dāng)Nmap使用TCPSYN對(duì)目標(biāo)主機(jī)某一范圍的端口進(jìn)行掃描時(shí)，如果返回RST類(lèi)型的報(bào)文，則端口處于關(guān)閉狀態(tài)。filtered（被過(guò)濾的）：到達(dá)該端口的數(shù)據(jù)包會(huì)被過(guò)濾，因此探測(cè)類(lèi)的報(bào)文可能會(huì)得不到響應(yīng)。例如由于報(bào)文無(wú)法到達(dá)指定的端口，Nmap不能夠決定端口的開(kāi)放狀態(tài)。Nmap介紹unfiltered（未被過(guò)濾的）：到達(dá)該端口的數(shù)據(jù)包未被過(guò)濾，該端口是可被訪問(wèn)的，但端口是否開(kāi)放不能確定。這種狀態(tài)和filtered的區(qū)別在于：unfiltered的端口能被Nmap訪問(wèn)，但是Nmap根據(jù)返回的報(bào)文無(wú)法確定端口的開(kāi)放狀態(tài)，而filtered的端口直接就沒(méi)能夠被Nmap訪問(wèn)。open|filtered（開(kāi)放或者被過(guò)濾的）：該端口開(kāi)放或是被過(guò)濾的狀態(tài)不能確定，這種狀態(tài)主要是nmap無(wú)法區(qū)別端口處于open狀態(tài)還是filtered狀態(tài)。closed|filtered（關(guān)閉或者被過(guò)濾的）：該端口關(guān)閉或是被過(guò)濾的狀態(tài)不能確定，這種狀態(tài)主要出現(xiàn)在Nmap無(wú)法區(qū)分端口處于closed還是filtered時(shí)。Nmap介紹Nmap命令：nmap發(fā)現(xiàn)的原理無(wú)非就是，發(fā)送數(shù)據(jù)包到目標(biāo)主機(jī)，依據(jù)響應(yīng)報(bào)文來(lái)識(shí)別已經(jīng)開(kāi)放的端口等信息等，屬于主動(dòng)攻擊。nmap[<掃描類(lèi)型>...][<選項(xiàng)>]{<掃描目標(biāo)說(shuō)明>}掃描類(lèi)型默認(rèn)使用-sTNmap介紹掃描的目標(biāo)：可以是主機(jī)名、IP地址、網(wǎng)絡(luò)等(可以使用逗號(hào),指定不連續(xù)的ip段減號(hào)-指定連續(xù)ip段斜杠/指定掩碼星號(hào)*代表全部)例如：、/24、;10.0.0-255.1-254-iL<inputfilename>：從文件中讀取要掃描的主機(jī)列表-iR<主機(jī)數(shù)量>：選擇隨機(jī)目標(biāo)#0為無(wú)限生成--exclude<host1[,host2][,host3],...>：要排除的主機(jī)/網(wǎng)絡(luò)--excludefile<exclude_file>：從文件中選擇要排除的主機(jī)列表Nmap介紹主機(jī)發(fā)現(xiàn)：-sL：列表掃描-打印主機(jī)的列表(對(duì)域名進(jìn)行掃描時(shí)，可以得到IP列表)-sn：Ping掃描，同時(shí)禁用端口掃描，用來(lái)檢查主機(jī)存活狀態(tài)。-Pn：禁用Ping掃描，默認(rèn)所有主機(jī)都是存活狀態(tài)-PS/PA/PU/PY[端口列表]：對(duì)指定的端口通過(guò)TCPSYN/ACK、UDP或SCTP掃描來(lái)發(fā)現(xiàn)主機(jī)-PE/PP/PM：對(duì)指定的端口通過(guò)ICMP、時(shí)間戳和網(wǎng)絡(luò)掩碼請(qǐng)求發(fā)現(xiàn)和探測(cè)主機(jī)-PO[協(xié)議列表]：IP協(xié)議Ping-n/-R：不進(jìn)行DNS解析/進(jìn)行DNS解析[默認(rèn)]--dns-servers<serv1[,serv2],...>：指定自定義DNS服務(wù)器--system-dns：使用操作系統(tǒng)的DNS解析器--traceroute：跟蹤每個(gè)主機(jī)的躍點(diǎn)路徑Nmap介紹掃描技術(shù)：-sS/sT/sA/sW/sM：TCPSYN/Connect()/ACK/Window/Maimon掃描-sU：UDP掃描-sN/sF/sX：TCPNull、FIN和Xmas掃描--scanflags<flags>：自定義TCP掃描標(biāo)志-sI<僵尸主機(jī)[:僵尸端口]>：空閑掃描-sY/sZ：SCTPINIT/COOKIE-ECHO掃描-sO：IP協(xié)議掃描-b<FTP中繼主機(jī)>：FTP反彈掃描Nmap介紹指定掃描端口、掃描順序：-p<端口范圍>：只掃描指定的端口例如：-p22；-p1-65535；-pU:53,111,137,T:21-25,80,139,8080,S:9--exclude-ports<端口范圍>：從掃描中排除指定端口-F：快速模式。掃描比默認(rèn)掃描更少的端口-r：連續(xù)掃描端口。不要隨機(jī)化，即按順序掃描端口--top-ports<number>：掃描<number>個(gè)最常用的端口--port-ratio<ratio>：掃描比<ratio>更常見(jiàn)的端口Nmap介紹操作系統(tǒng)檢測(cè)：-O：?jiǎn)⒂貌僮飨到y(tǒng)檢測(cè)--osscan-limit：將操作系統(tǒng)檢測(cè)限制為有希望的目標(biāo)--osscan-guess：更積極地猜測(cè)操作系統(tǒng)Nmap介紹服務(wù)/版本檢測(cè)：-sV：探測(cè)開(kāi)放端口以確定服務(wù)/版本信息--version-intensity<level>：設(shè)置從0（輕）到9（嘗試所有探針）--version-light：限制最可能的探測(cè)（強(qiáng)度2）--version-all：嘗試每一個(gè)探測(cè)（強(qiáng)度9）--version-trace：顯示詳細(xì)的版本掃描活動(dòng)（用于調(diào)試）Nmap介紹腳本掃描：-sC：相當(dāng)于--script=default--script=<Luascripts>:使用腳本進(jìn)行掃描，多個(gè)腳本時(shí)用逗號(hào)分隔，支持通配符。--script-args=<n1=v1,[n2=v2,...]>：為腳本提供參數(shù)--script-args-file=filename：從文件中提供NSE腳本參數(shù)--script-trace：顯示所有發(fā)送和接收的數(shù)據(jù)--script-updatedb：更新腳本數(shù)據(jù)庫(kù)。--script-help=<Lua腳本>：顯示有關(guān)腳本的幫助。Nmap介紹防火墻/IDS逃避和欺騙：-f;--mtu<val>:分片數(shù)據(jù)包（可選地w/給定的MTU）-D<誘餌IP1,誘餌IP2[,本機(jī)IP],...>：使用誘餌隱藏掃描。即發(fā)送參雜著假ip的數(shù)據(jù)包檢測(cè)-S<IP地址>：欺騙源地址。就是偽造源主機(jī)IP地址。-e<網(wǎng)絡(luò)接口>：指定從哪個(gè)網(wǎng)卡發(fā)送和接收數(shù)據(jù)包。-g/--source-port<portnum>：使用給定的端口號(hào)。針對(duì)防火墻只允許的源端口Nmap介紹--proxies<url1,[url2],...>:通過(guò)HTTP/SOCKS4代理中繼連接--data<hexstring>：將自定義有效負(fù)載附加到發(fā)送的數(shù)據(jù)包--data-string<string>：將自定義ASCII字符串附加到發(fā)送的數(shù)據(jù)包中--data-length<num>：將隨機(jī)數(shù)據(jù)附加到發(fā)送的數(shù)據(jù)包中。改變發(fā)生數(shù)據(jù)包的默認(rèn)的長(zhǎng)度，防止被識(shí)別出來(lái)。--ip-options<options>：發(fā)送帶有指定ip選項(xiàng)的數(shù)據(jù)包--ttl<val>：設(shè)置IP生存時(shí)間字段--spoof-mac<mac地址/前綴/供應(yīng)商名稱(chēng)>：欺騙你的MAC地址--badsum：發(fā)送帶有虛假TCP/UDP/SCTP校驗(yàn)和的數(shù)據(jù)包Nmap介紹以百度為例使用Nmap進(jìn)行端口探測(cè)Nmap介紹目錄/CONTENTSNmapRecon-NGMaltegoRecon-NG是一個(gè)模塊化的信息收集框架，使用Python語(yǔ)言編寫(xiě)。Recon-NG收集的信息會(huì)存放在數(shù)據(jù)庫(kù)中，在信息收集結(jié)束后，可以針對(duì)性的抽取各類(lèi)報(bào)告。Recon-NG能夠?qū)崿F(xiàn)的功能也十分強(qiáng)大，包括子域名查詢(xún)、域名解析、識(shí)別主機(jī)及個(gè)人的地理位置、識(shí)別主機(jī)詳細(xì)信息、識(shí)別被攻擊過(guò)并且在網(wǎng)絡(luò)上泄露過(guò)的賬戶(hù)及密碼信息等。Recon-NG介紹Recon-NG在Kali中默認(rèn)安裝，鍵入recon-ng即可啟動(dòng)該工具。Recon-NG介紹Recon-NG是一新版Recon-NG默認(rèn)情況下沒(méi)有安裝模塊，需手動(dòng)安裝。輸入下面命令進(jìn)行安裝：gitclone/lanmaster53/recon-ng-marketplace.git~/.recon-ng安裝完后再啟動(dòng)Recon-ng時(shí)會(huì)顯示模塊Recon-NG介紹Recon-NG命令介紹：back返回上一級(jí)dashboard顯示活動(dòng)的總結(jié)db工作區(qū)的數(shù)據(jù)庫(kù)頁(yè)面exit退出recon-nghelp幫助信息index創(chuàng)造一個(gè)模塊keys管理第三方的api接口marketplace應(yīng)用市場(chǎng)modules已經(jīng)安裝的模塊option管理當(dāng)前文本的選項(xiàng)pdb打開(kāi)python進(jìn)行調(diào)試script記錄并執(zhí)行命令腳本shell執(zhí)行操作系統(tǒng)命令show顯示各種框架的條目snapshots管理一個(gè)快照spool將結(jié)果輸出到一個(gè)文件里workspaces管理工作區(qū)modules介紹Recon-NG介紹模塊的數(shù)量很多，系統(tǒng)根據(jù)功能將其分為5大眾類(lèi)①Discovery②Exploitation③Import④Recon：用來(lái)對(duì)目標(biāo)進(jìn)行偵查的⑤Reporting：用來(lái)將本次在Recon-NG中操作的結(jié)果生成一份報(bào)告（提供了很多種的報(bào)告文件格式）Recon-NG介紹模塊的格式模塊的命名采用“分層式”命名例如：以recon/domains-hosts/bing_domain_web模塊為例，該模塊被分為3個(gè)部分recon：這是模塊的類(lèi)型domains-hosts：給出模塊的工作目標(biāo)，這個(gè)模塊的目標(biāo)就是domains-hosts，從名字可以看出工作目標(biāo)就是域名bing_domain_web：給出使用的技術(shù)，例如這個(gè)模塊bing_domain_web就是借助微軟的bing對(duì)一個(gè)域名的子域名進(jìn)行檢查Recon-NG介紹模塊的使用：進(jìn)入一個(gè)模塊輸入use模塊名查看一個(gè)模塊可以使用的參數(shù)：showoptionsRecon-NG介紹以查詢(xún)的子域名為例，下面講解Recon-NG的子域名查詢(xún)功能?？捎肦econ-NG的bing_domain_web模塊實(shí)現(xiàn)子域名查詢(xún)功能，該模塊的具體路徑為：recon/domains-hosts/bing_domain_web在使用時(shí)，可以使用modulessearchbing搜索模塊的具體路徑，然后用load命令加載該模塊，具體的命令為：modulesloadrecon/domains-hosts/bing_domain_web使用optionsset命令設(shè)置要進(jìn)行子域名查詢(xún)的頂級(jí)域名。具體命令為：optionssetSOURCE使用run命令運(yùn)行該查詢(xún)?nèi)蝿?wù)。Recon-NG介紹子域名查詢(xún)的結(jié)果可實(shí)時(shí)展示，也會(huì)存儲(chǔ)在數(shù)據(jù)庫(kù)中，具體的表名為hosts，可用showhosts命令查看。Recon-NG介紹目錄/CONTENTSNmapRecon-NGMaltegoMaltego是一個(gè)圖形化的信息收集工具，具有跨平臺(tái)性，可在Windows、Linux、MacOS操作系統(tǒng)中使用。Maltego有付費(fèi)和社區(qū)兩種版本，KaliLinux上默認(rèn)安裝了該軟件的社區(qū)版本。該工具有很高的自動(dòng)化程度，可根據(jù)一個(gè)域名從網(wǎng)絡(luò)上的資源進(jìn)行自上而下的搜集，可以枚舉網(wǎng)絡(luò)和域的信息，包括Whois、IP地址等，此外，還可以收集個(gè)人的電子郵件、組織、公司、電話(huà)號(hào)碼等信息。Maltego介紹在Kali中打開(kāi)Maltego的方式為：在命令行中輸入maltegoMaltego介紹打開(kāi)后，需要選擇使用Maltego的產(chǎn)品類(lèi)型，選擇MaltegoCE（Fre