第3章-3.4-主動(dòng)信息收集

主動(dòng)信息收集主動(dòng)信息收集方式會(huì)對目標(biāo)網(wǎng)絡(luò)進(jìn)行查詢及掃描等操作，目標(biāo)網(wǎng)絡(luò)可感知到這些惡意的交互，可能會(huì)引起目標(biāo)網(wǎng)絡(luò)系統(tǒng)的告警及封堵，暴露滲透測試者的身份信息。主動(dòng)信息收集方式包含了活躍主機(jī)掃描、操作系統(tǒng)指紋識(shí)別、端口掃描、服務(wù)指紋識(shí)別等方式。前言目錄/CONTENTS活躍主機(jī)掃描操作系統(tǒng)指紋識(shí)別端口掃描服務(wù)指紋識(shí)別Web敏感文件掃描活躍主機(jī)掃描可讓滲透測試人員發(fā)現(xiàn)局域網(wǎng)中的所有活躍主機(jī)，為后續(xù)的橫向移動(dòng)等奠定基礎(chǔ)，實(shí)現(xiàn)掃描的方式多種多樣，可基于ARP、ICMP、TCP等協(xié)議實(shí)現(xiàn)?；钴S主機(jī)掃描例如使用Metasploit的arp_sweep模塊進(jìn)行活躍主機(jī)掃描活躍主機(jī)掃描使用nmap進(jìn)行掃描?；钴S主機(jī)掃描目錄/CONTENTS活躍主機(jī)掃描操作系統(tǒng)指紋識(shí)別端口掃描服務(wù)指紋識(shí)別Web敏感文件掃描操作系統(tǒng)指紋識(shí)別指的是識(shí)別某臺(tái)設(shè)備上運(yùn)行的操作系統(tǒng)的類型。識(shí)別的方法是通過分析設(shè)備在網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包中協(xié)議的標(biāo)記、選項(xiàng)等數(shù)據(jù)推斷發(fā)送數(shù)據(jù)包的操作系統(tǒng)。通過操作系統(tǒng)指紋識(shí)別可以獲取操作系統(tǒng)的具體類型，這為后續(xù)滲透測試中漏洞利用奠定了基礎(chǔ)。操作系統(tǒng)指紋識(shí)別p0f是一款被動(dòng)探測操作系統(tǒng)指紋的工具。啟用網(wǎng)卡監(jiān)聽開啟瀏覽器訪問，p0f監(jiān)聽到信息操作系統(tǒng)指紋識(shí)別Nmap的“-O”參數(shù)可實(shí)現(xiàn)操作系統(tǒng)指紋識(shí)別。Windows系統(tǒng)：nmap–o35

Linux系統(tǒng)：nmap–o34

操作系統(tǒng)指紋識(shí)別利用TTL值TTL起始值：Windowsxp(及在此版本之前的windows)128(廣域網(wǎng)中TTL為65-128)Linux/Unix64(廣域網(wǎng)中TTL為1-64)某些Unix:255網(wǎng)關(guān):255操作系統(tǒng)指紋識(shí)別目錄/CONTENTS活躍主機(jī)掃描操作系統(tǒng)指紋識(shí)別端口掃描服務(wù)指紋識(shí)別Web敏感文件掃描每個(gè)端口對應(yīng)了一個(gè)網(wǎng)絡(luò)服務(wù)及應(yīng)用端的程序，通過端口掃描我們可以發(fā)現(xiàn)目標(biāo)系統(tǒng)開放的端口、啟用的服務(wù)，能夠得到更具體的攻擊面。通過端口掃描可以判斷出網(wǎng)站開啟的服務(wù)，從而通過爆破枚舉或者漏洞利用進(jìn)行突破，進(jìn)一步提升網(wǎng)站權(quán)限，端口掃描也是信息收集必備的操作。端口掃描常見服務(wù)對應(yīng)端口號(hào)：21-ftp22-ssh23-telnet110-POP31433-sqlserver3306-mysql3389-mstsc8080-tomcat/jboss9090-WebSphere參考鏈接：/weixin_47763513/article/details/127163220端口掃描Scanport起始IP、結(jié)束IP、端口號(hào)、線程端口掃描Metasploit中提供了端口掃描功能模塊，該功能屬于輔助模塊，具體的模塊路徑為modules/auxiliary/scanner/portscan/，該路徑下的子項(xiàng)目共有ack、ftpbounce、syn、tcp和xmas共5個(gè)。例如：使用auxiliary/scanner/portscan/syn啟用端口掃描模塊端口掃描用Nmap實(shí)現(xiàn)端口掃描。nmapip（默認(rèn)掃描1000個(gè)常見端口，可以使用-p參數(shù)指定全端口掃描）端口掃描目錄/CONTENTS活躍主機(jī)掃描操作系統(tǒng)指紋識(shí)別端口掃描服務(wù)指紋識(shí)別Web敏感文件掃描服務(wù)指紋識(shí)別主要是確定某個(gè)服務(wù)的版本信息，由于漏洞通常與服務(wù)的版本關(guān)聯(lián)，因此服務(wù)指紋識(shí)別對后續(xù)的滲透測試也十分重要。服務(wù)指紋識(shí)別Amap是一個(gè)服務(wù)枚舉工具，使用這個(gè)工具可以識(shí)別正運(yùn)行在一個(gè)指定的端口或一個(gè)端口范圍上的應(yīng)用程序。Amap的工作原理是向某個(gè)端口發(fā)送觸發(fā)的報(bào)文，將收到的響應(yīng)與其數(shù)據(jù)庫中的結(jié)果進(jìn)行匹配，輸出與之相匹配的應(yīng)用程序信息。Amap命令格式為：amapipport服務(wù)指紋識(shí)別Nmap的服務(wù)指紋識(shí)別也是通過將其收集到的端口信息與自身的服務(wù)指紋數(shù)據(jù)庫進(jìn)行對比匹配實(shí)現(xiàn)的，服務(wù)版本查詢可以用“-sV”參數(shù)實(shí)現(xiàn)。服務(wù)指紋識(shí)別目錄/CONTENTS活躍主機(jī)掃描操作系統(tǒng)指紋識(shí)別端口掃描服務(wù)指紋識(shí)別Web敏感文件掃描在我們部署了網(wǎng)站之后有很多的敏感文件，比如說配置文件（.cfg)、數(shù)據(jù)文件(.sql)、目錄文件（/backup/conf/admin）。但是有些網(wǎng)站如果配置出現(xiàn)問題，就會(huì)被攻擊者攻擊。這些配置的問題會(huì)導(dǎo)致數(shù)據(jù)庫用戶名和密碼、服務(wù)器的用戶名和密碼、數(shù)據(jù)庫的文件、網(wǎng)站源碼等等信息都會(huì)被入侵。如果黑客獲得了相應(yīng)文件后，就能對網(wǎng)站進(jìn)行進(jìn)一步的攻擊！Web敏感文件掃描收集方向robots.txt后臺(tái)目錄安裝包上傳目錄Mysql管理頁面Phpinfo編輯器Web敏感文件掃描robots.txt是一個(gè)協(xié)議，而不是一個(gè)命令。robots.txt是搜索引擎中訪問網(wǎng)站的時(shí)候要查看的第一個(gè)文件。robots.txt文件告訴蜘蛛程序在服務(wù)器上什么文件是可以被查看的。robots.txt必須放置在一個(gè)站點(diǎn)的根目錄下，而且文件名必須全部小寫。語法：User-agent:定義搜索引擎的類型Disallow:定義禁止搜索引擎收錄的地址Allow:定義允許搜索引擎收錄的地址Web敏感文件掃描robots.txt文件的寫法User-agent:*這里的*代表的所有的搜索引擎種類，*是一個(gè)通配符Disallow:/admin/這里定義是禁止爬尋admin目錄下面的目錄Disallow:/require/這里定義是禁止爬尋require目錄下面的目錄Disallow:/ABC/這里定義是禁止爬尋ABC目錄下面的目錄Disallow:/cgi-bin/*.htm禁止訪問/cgi-bin/目錄下的所有以".htm"為后綴的URL(包含子目錄)。Disallow:/*?*禁止訪問網(wǎng)站中所有的動(dòng)態(tài)頁面Disallow:/.jpg$禁止抓取網(wǎng)頁所有的.jpg格式的圖片Disallow:/ab/adc.html禁止爬取ab文件夾下面的adc.html文件。Allow:/cgi-bin/這里定義是允許爬尋cgi-bin目錄下面的目錄Allow:/tmp這里定義是允許爬尋tmp的整個(gè)目錄Allow:.htm$僅允許訪問以".htm"為后綴的URL。Allow:.gif$允許抓取網(wǎng)頁和gif格式圖片Web敏感文件掃描御劍工具的使用御劍也是一款好用的網(wǎng)站后臺(tái)掃描工具，圖形化頁面，使用起來簡單易上手。Web敏感文件掃描dirb是kali下自帶的web目錄掃描工具，用法如下：dirb90//usr/share/dirb/wordlists/big.txt可以看到mysql數(shù)據(jù)庫的管理組件phpMyAdmin路徑泄露。Web敏感文件掃描同樣dirbuster可視化掃描工具，也是在kali中集成，使用dirbuster命令啟動(dòng)。填入目標(biāo)機(jī)器url和相應(yīng)的暴破字典即可。工具自帶的字典路徑為/usr/share/dirbuster/wordlists/例如選擇directory-list-2.3-small.txt進(jìn)行web路徑暴破，看到暴破到的web路徑與其他敏感文件。

Web敏感文件掃描Burpsuite的spider模塊+target模塊Web敏感文件掃描弱口令默認(rèn)后臺(tái)：admin，admin/login.asp,manage，login.asp等等常見后臺(tái)查看網(wǎng)頁的鏈接查看網(wǎng)站圖片的屬性查看網(wǎng)站使用的管理系統(tǒng)，從而確定后臺(tái)用工具查找：wwwscan，intellitamper，御劍，進(jìn)行爬蟲、字典窮舉掃描robots.txt的幫助：robots.txt文件告訴蜘蛛程序在服務(wù)器上什么樣的文件可以被查看GoogleHacker通過語法查找后臺(tái)查看網(wǎng)站使用的編輯器是否有默認(rèn)后臺(tái)，F(xiàn)CK、ewb等默認(rèn)后臺(tái)短文件利用短文件漏洞進(jìn)行猜解子域名有可能管理后