网络安全渗透测试笔记
WireShark简介和抓包原理
WireShark是一个网络协报包抓取和分析的软件。该软件的功能是抓取网络封包,尽可能显示出最为详细的网络封包信息。
快速分析数据包技巧:
1、确定WireShark的物理位置
2、选择捕获接口
3、使用捕获过滤器
4、使用显示过滤器
常见的协议包:
ARP协议、ICMP协议、TCP协议、UDP协议、DNS协议、HTTP协议、FTP协议
混杂模式:接收经过网卡的所有数据包,包括不是发给本机的包,即不验证MAC地址。
普通模式:只接受收发本机的包,其他包一律丢弃。
通过设置筛选规则可以筛选特定协议或端口的包。
以分析ARP协议为例:
地址解析协议(ARP协议):通过解析网络层地址来找寻数据链路层的MAC地址的网络传输协议。
NMAP简介
NMAP简介:NMAP是一个网络探测与扫描程序,使用者可以使用该程序扫描获取某台主机正在运行以及提供什么样的服务信息,NMAP支持多种扫描技术, 例如:UDP、TCP SYN(半开扫描)、ICMP、ACK扫描等。
NMAP端口状态:
OPEN:应用程序再改端口接收TCP连接或者UDP报文;
CLOSE:关闭的端口对于NMAP也是可以访问,它接收NMAP的探测报文并作出相应,但没有应用程序在其上监听。
FILTERED:无法判断,由于包过滤阻止探测报文到达端口,可能来自专业的防火墙设备、路由规则等。
UNFILTERED:无法判断,未被过滤状态意味着端口可访问,只有用于映射防火墙规则集的ACK扫描才会把端口分类到该状态。
Metasploit渗透测试工具
目标:了解Mstasploit渗透测试框架、靶机系统、基本使用方法以及使用msf渗透测试攻击Win7主机并远程执行命令、使用msf扫描靶机上MySQL服务密码。
MSF是一个渗透测试平台,本机附带数百个已知软件漏洞的专业级漏洞攻击工具。
平台模块:辅助模块(AUX)、渗透攻击模块(EXPLOITS)、后渗透攻击模块(POST)、攻击载荷模块(PAYLOADS)、编码器模块(ENCODERS)、空指令模块(NOPS)。
MSF常见命令:
connect命令、show命令、search命令
实战:使用msf渗透攻击Win7主机并远程执行命令
环境介绍:永恒之蓝利用Windows系统中的SMB漏洞可以获取系统最高权限,利用微软的MS17-010漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,植入勒索病毒、远程公职木马等恶意程序。
流程:
首先已知漏洞MS17-010(查找CVE公布的漏洞),通过MSF渗透攻击平台的查找模块(比如search、show命令等)验证漏洞,然后使用配置程序来显示参数,然后设置参数(攻击对象、攻击规则),最后exploit执行 .