Kali渗透学习之识别活动主机

Kali渗透学习之识别活动主机

PING

概述

ping是一种计算机网络工具，用来测试数据包能否透过IP协议到达特定主机。
ping的运作原理是向目标主机传出一个ICMP echo@要求数据包，并等待接收echo回应数据包。
程序会按时间和成功响应的次数估算丢失数据包率（丢包率）和数据包往返时间（网络时延，Round-trip delay time）。

用法

ping 域名/IP

注意事项

如果目标服务器屏蔽了TCP/IP协议的echo请求(nginx apache都可以配置)，是可以让你ping不了的，所以ping就有一定局限性.

NMAP

概述

用于判断主机是否在活动状态

用法

NPING

概述

nmap组件，提供更详细的结果

用法

我这里请求失败了，原因未知

模拟发送16进制数据,80端口
nping -tcp -p 80 -data AF56A43D www.hn-offshore.com


左边的是hn-offshore的服务器socket端口监控，右边是模拟发包，可以发现捕捉到了这个socket,这种捕捉方法有的时候抓不到。这里可以使用p0f捕捉。

名词解释

LAST_ACK

TCP之LAST_ACK状态
前提：
A：主动关闭；
B：被动关闭；
A执行主动关闭，发送FIN，B收到FIN，发送ACK，进入CLOSE_WAIT，B发送FIN，进入LAST_ACK等待最后一个ACK到来；
关闭方式：
(1) 收到A发送回来的ACK进入CLOSED状态；
(2) 未收到A发送回来的ACK，重传FIN，此时A处于FIN_WAIT_2(之前B发的FIN丢了)或者
TIME_WAIT(之前A发的ACK丢了)，A收到FIN之后，发送ACK，B收到ACK，进入CLOSED状态；
(3) 未收到A发送回来的ACK，重传FIN，此时A已经进入CLOSED状态，因连接丢失，A回复RST，
B收到RST进入CLOSED状态；

P0F

### 参考csdn博主"擒贼先擒王"翻译解释:
p0f是一款被动探测工具，能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，
即使是在系统上装有性能良好的防火墙的情况下也没有问题。
目前最新版本为3.09b。同时p0f在网络分析方面功能强大，可以用它来分析NAT、负载均衡、应用代理等。
p0f是万能的被动操作系统指纹工具。p0f对于网络攻击非常有用，它利用SYN数据包实现操作系统被动检测技术，
能够正确地识别目标系统类型。和其他扫描软件不同，它不向目标系统发送任何的数据，
只是被动地接受来自目标系统的数据进行分析。因此，一个很大的优点是：几乎无法被检测到，
而且p0f是专门系统识别工具，其指纹数据库非常详尽，更新也比较快，特别适合于安装在网关中。

**工作原理**：当被动地拦截原始的TCP数据包中的数据，如可以访问数据包流经的网段，
或数据包发往，或数据包来自你控制的系统；
就能收集到很多有用的信息：TCP SYN 和SYN/ACK数据包就能反映TCP的链接参数，
并且不同的TCP协议栈在协商这些参数的表现不同。

P0f不增加任何直接或间接的网络负载，没有名称搜索、没有秘密探测、没有ARIN查询
，什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等等！

P0f是继Nmap和Xprobe2之后又一款远程操作系统被动判别工具。它支持：
1、反连SYN 模式
2、正连SYN+ACK 模式
3、空连RST+ 模式
4、碎片ACK 模式

P0f比较有特色的是它还可以探测：

A、是否运行于防火墙之后
B、是否运行于NAT模式
C、是否运行于负载均衡模式
D、远程系统已启动时间
E、远程系统的DSL和ISP信息等

p0f 参数
用法: p0f [ ...选项... ] [ '过滤规则' ]

网络接口选项:

  -i iface  - 指定监听的网络接口
  -r file   - 读取由抓包工具抓到的网络数据包文件
  -p        - 设置 -i参数 指定的网卡 为混杂模式
  -L        - 列出所有可用接口

操作模式和输出设置:

  -f file   - 指定指纹数据库 (p0f.fp) 路径，不指定则使用默认数据库。(默认：/etc/p0f/p0f.fp)
  -o file   - 将信息写入指定的日志文件中。只有同一网卡的log文件才可以附加合并到本次监听中来。
  -s name   - 回答 unix socket 的查询 API
  -u user   - 以指定用户身份运行程序，工作目录会切换到到当前用户根目录下；
  -d        - 以后台进程方式运行p0f (requires -o or -s)

性能相关的选项:

  -S limit  - 设置API并发数，默认为20，上限为100；
  -t c,h    - 设置连接超时时间 (30s,120m)
  -m c,h    - 设置最大网络连接数(connect)和同时追踪的主机数(host)(默认值: c = 1,000, h = 10,000).

通过 man tcpdump 命令可以了解更过 过滤选项表达式。阻止p0f查看网络流量。
p0f -i eth0 –p    //监听网卡eth0，并开启混杂模式。这样会监听到每一个网络连接。
也可以直接在终端输入 p0f ，然后回车，进行监听，一旦收到报文就会显示相关信息，并且不断刷新。
示例：在终端输入 p0f 然后回车，就可进行监听。然后浏览器打开 www.baidu.com即可，
就可以监听与百度的网络连接。也可通过其他方式。

P0F参考：
http://lcamtuf.coredump.cx/p0f3/

寻找开放端口

支持 apache 和 nginx web服务器，netty，tomcat, node server没试过

根据网段扫描端口

nmap -p 22 47.91.154.*

启动GUI版本的nmap

zenmap 可以用来学习nmap的命令行用法

操作系统识别

我在mac上用的nmap检测服务器的版本，可以看出94%的概率猜测内核是4.4版本的，还算比较准。
至于他是怎么猜的呢，我认为可能是nmap能扫描到service名，而arch架构和其他架构的linux对于同一个服务的服务名可能是不一样的，有个指纹库对比？

服务指纹识别

判断运行在特定端口上的服务是目标网络上成功渗透的保障

用法

左边目标服务器，右边kali，可以看出来nginx版本，ssh版本被准确猜出来了

AMAP

扫描特定端口的服务