实验一 网络扫描与网络侦察

目录

一.实验目的和要求

二、实验原理：

三.实验步骤

四. 实验小结

---

一.实验目的和要求

实验目的：理解网络扫描、网络侦察的作用；通过搭建网络渗透测试平台，了解并熟悉常用搜索引擎、扫描工具的应用，通过信息收集为下一步渗透工作打下基础。

系统环境：Kali Linux 2、Windows

网络环境：交换网络结构

实验工具： Metasploitable2（需自行下载虚拟机镜像）；Nmap（Kali）；WinHex、数据恢复软件等

二、实验原理：

1、网络扫描与网络侦察的目的

黑客在进行一次完整的攻击之前除了确定攻击目标之外，最主要的工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本、目标提供哪些服务、各服务的类型、版本以及相关的社会信息。

攻击者搜集目标信息一般采用七个基本的步骤：

（1） 找到初始信息，比如一个IP地址或者一个域名；

（2） 找到网络地址范围，或者子网掩码；

（3） 找到活动机器；

（4） 找到开放端口和入口点；

（5） 弄清操作系统；

（6） 弄清每个端口运行的是哪种服务；

（7） 找到目标可能存在的漏洞。

2、Google Hacking（或baidu）

Google Hacking 是利用谷歌搜索的强大，来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门，不想被发现的后台入口，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码，php远程文件包含漏洞等重要信息。

3、BASE64编码

BASE64是一种编码方式，通常用于把二进制数据编码为可写的字符形式的数据。

编码后的数据是一个字符串，其中包含的字符为：A-Z、a-z、0-9、+、/共64个字符。（其实是65个字符，“=”是填充字符）。

长度为3个字节(3*8)的数据经过Base64编码后就变为4个字节(4*6)。

如果数据的字节数不是3的倍数，则其位数就不是6的倍数，那么就不能精确地划分成6位的块。需在原数据后面添加1个或2个零值字节，使其字节数是3的倍数。

字符串“Xue”经过Base64编码后变为“WHVl”。

字符串“Xu”经过Base64编码后变为“WHU=”。

字符串“X”经过Base64编码后变为“WA==”。

4、Nmap

Nmap是一个网络侦察和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取哪台主机正在运行以及提供什么服务等信息。Nmap支持很多扫描技术，例如：UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。Nmap还提供了一些高级的特征，例如：通过TCP/IP协议栈特征探测操作系统类型，秘密扫描，动态延时和重传计算，并行扫描，通过并行ping扫描探测关闭的主机，诱饵扫描，避开端口过滤检测，直接RPC扫描(无须端口映射)，碎片扫描，以及灵活的目标和端口设定。

Nmap运行通常会得到被扫描主机端口的列表。Nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有：open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示：防火墙、包过滤和其它的网络安全软件掩盖了这个端口，禁止Nmap探测其是否打开。unfiltered表示：这个端口关闭，并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下，端口的状态基本都是unfiltered状态，只有在大多数被扫描的端口处于filtered状态下，才会显示处于unfiltered状态的端口。

根据使用的功能选项，Nmap也可以报告远程主机的下列特征：使用的操作系统、TCP序列、运行绑定到每个端口上的应用程序的用户名、DNS名、主机地址是否是欺骗地址、以及其它一些东西。

5、WinHex

WinHex  是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具： 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。

三.实验步骤

1、用搜索引擎Google或百度搜索麻省理工学院网站中文件名包含“network security”的pdf文档，截图搜索得到的页面。

2、照片中的女生在哪里旅行？

截图搜索到的地址信息。

观察图片然后抓取关键词letrentehuit cafe brasserie进行搜索

3、手机位置定位。通过LAC（Location Area Code，位置区域码）和CID（Cell Identity，基站编号，是个16位的数据（范围是0到65535）可以查询手机接入的基站的位置，从而初步确定手机用户的位置。

获取自己手机的LAC和CID：

Android 获取方法：Android： 拨号*#*#4636#*#*进入手机信息工程模式后查看

iphone获取方法：iPhone：拨号*3001#12345#*进入FieldTest

Serving Cell info–>LAC=Tracking Area Code -->cellid = Cell identity

若不能获取，用右图信息。

截图你查询到的位置信息。

因为我的手机进入不了信息工程模式，所以直接由右图可以得到：

LAC=30768

CID=126523138                                                  

4、编码解码

将Z29vZCBnb29kIHN0dWR5IQ==解码。截图。

由这段编码可以判断出来他是base64编码，于是打开base64解码器进行解码

5、地址信息

5.1内网中捕获到一个以太帧，源MAC地址为：98-CA-33-02-27-B5；目的IP地址为：202.193.64.34，回答问题：该用户使用的什么品牌的设备，访问的是什么网站？并附截图。

5.2 访问https://whatismyipaddress.com得到MyIP信息，利用ipconfig(Windows)或ifconfig(Linux)查看本机IP地址，两者值相同吗？如果不相同的话，说明原因。

不相同,两者的值不相同，ipconfig查询到的是内网的ip地址，网址查询到的是公网的ip地址。

6、NMAP使用

6.1利用NMAP扫描Metasploitable2（需下载虚拟机镜像）的端口开放情况。并附截图。说明其中四个端口的提供的服务，查阅资料，简要说明该服务的功能。

21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。

80端口是为HTTP（HyperText Transport Protocol)即超文本传输协议开放的，此为上网冲浪使用次数最多的协议，主要用于WWW（World Wide Web）即万维网传输信息的协议。可以通过HTTP地址（即常说的“网址”）加“: 80”来访问网站，因为浏览网页服务默认的端口号都是80，因此只需输入网址即可，不用输入“:80”了。

22端口：22端口SSH 为建立在应用层和传输层基础上的安全协议。

53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。

6.2利用NMAP扫描Metasploitable2的操作系统类型，并附截图。

6.3 利用NMAP穷举 Metasploitable2上dvwa的登录账号和密码。

账号是admin，密码是password

6.4 查阅资料，永恒之蓝-WannaCry蠕虫利用漏洞的相关信息。

永恒之蓝是指2017年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批网络攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。SMB（全称是Server Message Block）是一个协议服务器信息块，它是一种客户机/服务器、请求/响应协议，通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源，电脑上的网上邻居就是靠SMB实现的；SMB协议工作在应用层和会话层，可以用在TCP/IP协议之上，SMB使用TCP139端口和TCP445端口。

SMB工作原理是：

（1）：首先客户端发送一个SMB negport 请求数据报，，并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求，并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH，结束通信。

（2）：协议确定后，客户端进程向服务器发起一个用户或共享的认证，这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器，然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。

（3）：当客户端和服务器完成了磋商和认证之后，它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称，之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。

（4）：连接到相应资源后，SMB客户端就能够通过open SMB打开一个文件，通过read SMB读取文件，通过write SMB写入文件，通过close SMB关闭文件。

7、利用ZoomEye搜索一个西门子公司工控设备，并描述其可能存在的安全问题。

存在的安全性问题：西门子公司的一些开放端口会受到一些弱爆破口令，导致一些功能无法使用。

8、Winhex简单数据恢复与取证

8.1 elephant.jpg不能打开了，利用WinHex修复，说明修复过程。

首先用winhex软件打开这张图片，文件名可知这是一张jpg图片，查看他的头文件，将他修改成jpg格式的头文件，FFD8FF，然后进行保存，再将重新保存好的文件打开，就可以发现这是我们美丽的象鼻山了。

8.2 笑脸背后的阴霾：图片smile有什么隐藏信息。

同样的，用WinHex打开smile图片

可以看到隐藏的信息是 tom is the killer.

8.3 尝试使用数据恢复软件恢复你的U盘中曾经删除的文件。

因为我的U盘丢了，所以这个实验没做成，去网上搜了一些教程，现在还是有很多数据恢复软件的，而且都有超详细的教程

9、讨论学校热点GUET-WiFi的安全问题，以截图说明。

按理来说，让两台物理机处于同一个局域网中，然后使用其中一台物理机的虚拟机扫描另一台物理机的IP，来查看哪些端口开放或者关闭，进而说明存在一些安全问题，但是我的虚拟机使用两种网络配置都没有实现成功，也不知道是哪里出现了问题。

四. 实验小结

描述Ethical Hacking的理解

这个词是道德黑客的意思，道德黑客，是一群专门模拟黑客攻击，帮助客户了解自己网络的弱点，并为客户提出改进建议的网络安全专家。道德黑客行为是指允许某人在产品所有者的许可下对系统进行黑客攻击，以发现系统中的弱点并随后对其进行修复。道德黑客攻击的主要目的是提高安全级别。道德黑客发现的恶意软件样本和漏洞通常会在测试期间进行修补。虽然道德黑客使用的工具和方法与网络罪犯分子和恶意黑客使用的相同，但道德黑客是获得授权方的许可来执行黑客攻击的。此外，所发现的所有漏洞都应在测试过程中报告给管理层。

道德黑客与恶意黑客的区别

道德黑客与公司、政府和其他组织合作，以识别其系统中的潜在漏洞。此英特尔可用于在对手有机会利用它们之前修复安全问题和漏洞。

道德黑客与恶意黑客还有其他几个重要的不同之处：

雇佣道德黑客来测试漏洞，而不是从他们正在测试的系统中窃取任何东西。他们的主要目标是只寻找系统安全防御中的漏洞。

道德黑客利用多种方法来测试系统，而不仅仅是试图通过非法途径获得访问权限。这些路径可能包括暴力攻击或使用键盘记录器来揭示用户密码漏洞。他们还将利用模仿现实世界攻击者的合法方法获取访问权限，这被称为道德黑客方法。

道德黑客在进行指导他们工作的测试时遵循严格的道德准则。此代码禁止他们与客户或组织以外的任何人分享他们如何违反安全措施。因此，大多数公司和组织更有可能信任道德黑客。

道德黑客的角色和责任

道德黑客的工作职责通常超出合法黑客系统的安全问题。道德黑客的主要目标是测试和识别组织系统中的漏洞并纠正它们。

道德黑客应该遵循特定的指导方针来合法地为组织进行黑客攻击。这些准则包括在执行安全审查之前获得系统所有者的批准。

道德黑客的一些额外角色和职责还包括：

发现组织技术基础架构中的操作系统和网络弱点。

展示使用渗透测试方法对他们的公司发起网络攻击是多么容易。

执行安全评估模拟以显示他们被其他人黑客攻击的难易程度。

直接向该系统的所有者或管理者报告在系统或网络中发现的任何安全漏洞和漏洞。

对他们与客户或公司之间的发现保密。

清除黑客攻击痕迹，确保恶意黑客无法通过已识别的漏洞进入系统。

道德黑客所需的技能和认证

道德黑客是一项具有特定技能的技术职业，网络安全认证可帮助人们进入该领域。许多道德黑客工作仍然需要信息技术学士学位，或其他

道德黑客攻击涉及授权尝试未经授权访问计算机系统或数据。道德黑客通过修复测试时发现的漏洞来提高系统和网络的安全性。就是在做某个东西时，首先要得到他的授权，接着就是我们有一定的技术，不轻易被别人窃取或者攻击，有一定的保护措施，再就是我们要定期检查维护然后及时修补漏洞，做到完善。道德黑客使用恶意黑客使用的相同工具，技巧和技术，但必须得到授权人员的许可。道德黑客攻击的目的是提高安全性并保护系统免受恶意用户的攻击。