网络渗透测试课程三

被动扫描

简介

·目标无法觉察的情况下进行的信息收集

·公开渠道可获得的信息，与目标系统不产生直接交互，避免留下痕迹。公开来源情报OSINT（Open source intelligence）

被动扫描的范围

企业网络有自己独立对外的服务器环境，并根据不同用途将网络分为不同区域：
内网、DMZ区域（demilitarized zone，非军事区、隔离区）、外网

DMZ区域

概念

DMZ是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。（firewall，防止外部信息随意进入内网以及防止内网信息泄露给外部）

DMZ区域可理解为一个不同于外网和内网的特殊网络区域

原理

将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会受到限制。使得DMZ的主机能被内部网络和外部网络所访问，而内部网络又能避免外部网络所得知

可以访问：内网—>DMZ 、 内网—>外网 、 外网—>DMZ

不能访问：外网—>内网 、 DMZ—>内网 、 DMZ—>外网（通常情况下）

服务配置

DMZ提供的服务经过了网络地址转换（NAT）和受安全规则限制，以达到隐蔽真实地址、控制访问的功能。网络地址转换用于将一个地址域映射到另一个地址域，以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。采用静态映射配置网络地址转换时，服务用IP和真实IP要一一映射，源地址和目的地址均需转换

CDN（内容分发网络）

定义

CDN是一种分布式网络结构，通过在多个地理位置分布的服务器上缓存和分发内容，以提高访问速度和可靠性

主要功能

1.加速访问：用户请求的数据从最近的服务器获取，减少延迟

2.负载均衡：通过分散流量，减少源服务器的负担，提高网站的可用性

3.抗DDoS攻击：通过分散流量，降低因攻击造成的影响

4.缓存静态内容：如图片、视频等，减轻源服务器的压力

应用场景

·大型电商网站

·媒体和视频流平台

·需要全球访问的服务

WAF（Web应用防火墙）

定义

WAF是一种专门用于保护Web应用程序的安全设备或服务，可以检测和拦截恶意流量

主要功能

1.防止常见攻击：如SQL注入、跨站脚本（XSS）、跨站请求伪造（CSRF）等

2.监控和日志记录：跟踪流量和请求，帮助分析潜在威胁

3.自定义规则：允许用户根据特定需求定义防护规则

4.提供应用层安全：保护数据安全，防止敏感信息泄露

应用场景

·金融服务网站

·电子商务平台

·任何处理用户输入的Web应用

收集哪些信息？

目标网站所有者的信息：姓名、地址、电话、电子邮件等
目标网站相关的电子邮箱
目标网站用户的社交信息：网站工作人员的微博、QQ、论坛发帖…

信息用处：

用信息描述目标
发现
社会工程学攻击
物理缺口

DNS (Domain Name System)

概念:

DNS 是互联网的一个基础服务系统，它的主要功能是将域名转换为 IP 地址。人们更容易记住域名（如 www.example.com），而计算机则通过 IP 地址（如 192.0.2.1）进行通信

用途:

域名解析: 将用户输入的域名解析为相应的 IP 地址
邮件路由: 通过 MX 记录帮助电子邮件找到正确的服务器
负载均衡: 通过不同的 A 记录将请求分发到多个服务器上
安全: DNSSEC（DNS Security Extensions）提供对 DNS 查询的完整性保护

工作原理:

查询: 用户输入域名后，浏览器向 DNS 服务器发起查询请求
递归查询: DNS 服务器会向根 DNS 服务器、顶级域名服务器（如 .com）、权威 DNS 服务器逐层查询，直到找到所需的 IP 地址
返回结果: 找到 IP 地址后，结果会被返回给用户的设备

nslookup

概念:

nslookup 是一个网络管理工具，用于查询 DNS 域名的相关信息

用途:

域名查询: 获取某个域名的 IP 地址
DNS 记录查询: 查看特定类型的 DNS 记录（如 A、MX、CNAME 等）
调试 DNS 问题: 帮助管理员排查 DNS 配置问题

工作原理:

用户在命令行输入 nslookup [域名]，nslookup 会向 DNS 服务器发送查询请求，并显示返回的结果

dig (Domain Information Groper)

概念:

dig 是一个更为强大的命令行工具，通常用于 DNS 查询和分析，功能比 nslookup 更全面

用途:

深入查询: 获取详细的 DNS 记录，包括查询时间、响应时间等
域名信息收集: 可以用来获取各种类型的 DNS 记录
故障排查: 分析 DNS 问题和性能

工作原理:

类似于 nslookup，用户可以在命令行输入 dig [域名]，并指定查询的 DNS 服务器。结果将显示详细的解析信息和查询统计
 
 

whois

概念:

whois 是一个用于查询域名注册信息的协议和工具

用途:

域名注册信息查询: 获取域名的注册人、注册商、注册日期、到期日期等信息
网络故障排查: 了解某个域名的拥有者及其联系方式，有助于解决网络问题

工作原理:

用户在命令行输入 whois [域名]，whois 客户端会向 whois 数据库发送请求，返回注册信息

Google Hacking，也称为 Google Dorking

利用 Google 搜索引擎的高级搜索功能来查找特定信息或发现潜在的安全漏洞的技术。这种方法通常用于信息收集、网络安全评估和渗透测试。主要依赖于使用 Google 的搜索运算符（如 site:、filetype:、inurl: 等）来定位特定类型的文件、数据或信息。这种方法可以帮助安全专家发现公开的敏感信息，比如配置文件、数据库备份、暴露的密码等

常用搜索运算符

site:: 限定搜索范围到特定网站。例如：site:example.com
filetype:: 查找特定类型的文件。例如：filetype:pdf
inurl:: 查找特定 URL 中包含某个关键词的页面。例如：inurl:admin
intitle:: 查找标题中包含某个关键词的页面。例如：intitle:"index of"
cache:: 查看 Google 最近存储的某个页面的快照。例如：cache:example.com

用途

信息收集: 渗透测试者可以用它来收集目标网站的信息，比如发现管理员页面、敏感文件等
漏洞检测: 通过查找特定的配置文件或数据库备份，评估潜在的安全风险
社会工程: 了解目标组织的员工、项目等信息，为后续攻击提供基础

图片中的信息

1.直接搜索图片

yandex.comhttps://yandex.com/

2.Exif专门为数码相机的照片设定，可以记录数码照片的属性信息和拍摄数据

如GPS等隐私信息

Exif Info: view meta-data in your fileshttps://exifinfo.org/经纬度/GPS坐标查询地图地址在线工具 - Toolzl工具https://www.toolzl.com/tools/getGpsArea.html3.图片中的文字可能有该位置的信息

Maltego

主要功能

开源情报的收集和取证

信息可视化，用一种美观的方式将结果呈现给使用者

使用

找到testfire.net的多个子域名及其ip地址

获得以地标形式显示该ip地址的位置信息

Recon-NG

信息收集和网络侦察工具

·暴力破解（Brute-force;Exhaustive attack）：字典文件生成各种（所有可能的）域名进行探测

两个参数：

①SOURCE：要扫描的域名；利用set SOURCE mit.edu设置

②WORDLIST：字典文件，利用默认的

·扫描所有可能的域名，并记录为xml格式的报告

·检测个人信息是否泄露

ZoomEye（钟馗之眼）

国内知道创宇公司开发，搜索网络上指定类型的设备

首页 - 网络空间测绘,网络安全,漏洞分析,动态测绘,钟馗之眼,时空测绘,赛博测绘 - ZoomEye("钟馗之眼")网络空间搜索引擎https://www.zoomeye.org/（连接到网络上的不止是计算机，路由器、交换机、电话系统、打印机、工业控制设备、安保设备…）

支持公网设备指纹检索和 Web (网站)指纹检索

网站指纹包括应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统和数据库等。设备指纹包括应用名、版本、开放端口、操作系统、服务名、地理位置等
我们可以利用某一个指纹特点挖掘网络空间中具有同种类型的网站或者是设备
很多站点都是基于开源CMS(Content  Management  System):discuz、WorldPress、phpwind、dedecms...
基于模板，减少开发成本，直接套用，一旦爆出漏洞，危害很大

ZoomEye中的关键词

app：组件名称  ver：组件版本
app:apache ver:2.4   搜索 apache 2.4
port:搜索端口号 port:22  搜索开放了SSH端口的主机
 OS:搜索指定的操作系统 OS:linux
service：服务名称 Service:SSH   搜索SSH服务
country：国家名   city：城市名  country:China    city: Beijing
Device：搜索指定的设备类型，divice:router
ip:搜索特定的IP地址，ip:192.168.1.1
cidr：指定的CIDR网段   CIDR：192.168.158.12/24
Service：搜索指定的服务类型，service:http
Hostname:guet.edu.cn

搜索摄像头、工业控制系统的查找功能

被动扫描的目的

·网站信息的收集

·ZoomEye可以搜索到大量配置不安全的设备

·ZoomEye通过24小时不间断的对网络中的信息进行搜索，具备强大的信息库，是一款在渗透测试信息收集阶段的好助手，其多样化、多组合的搜索语法以及强有力的漏洞信息库的支持，使得ZoomEye使用更加便捷，不失为一款渗透测试的利器

作业

·与ZoomEye功能类似的搜索引擎还有哪些？结合ZoomEye等进行相关搜索，截图；如何进行子域名收集，截图

·参阅学长src.PPT文档，讨论SRC实施，每个小组提交一份学习记录，有小组讨论照片和总结