目录
主动信息收集简介
主动信息收集通过直接扫描目标主机或者网站,主动方式能获取更多的信息,目标系统可能会记录操作信息。
主动信息收集发现过程
1.识别存活的目标系统或者主机(潜在的攻击目标)。
2.根据osi的分层,主要在2(数据链路层)/3(网络层)/4(传输层)层进行主机发现。
3.输出发现结果。
主动信息收集方式
一、二层发现
原理:使用ARP协议,在网段内进行广播,看是否有回包,或者直接抓包查看
优点:扫描速度快
缺点:只能扫描同一网段
1、ARPING
(1)ARP 协议概述:ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。计算机通过 ARP 协议将 IP 地址转换成 MAC 地址。
(2)ARP 协议工作原理
在以太网中,数据传输的目标地址是 MAC 地址,一个主机要和另一个主机进行直接通信,必须要知
道目标主机的 MAC 地址。
计算机使用者通常只知道目标机器的 IP 信息,“地址解析”就是主机在发送帧前将目标 IP 地址转换
成目标 MAC 地址的过程。
简单地说,ARP 协议主要负责将局域网中的 32 位 IP 地址转换为对应的 48 位物理地址,即网卡的
MAC 地址,保障通信顺利进行。
arp 工作原理如下:
(3)使用 arping 命令查看局域网中的 IP 是否有冲突
例 1:对 arping 命令的结果进行筛选,只取 ip 地址的次数,我们只需要 1 次即可
┌──(root💀kali)-[~]
└─# arping -c 1 192.168.1.1 | grep "bytes from" | cut -d" " -f 5 | cut -d "(" -f 2 | cut -d")" -f 1
192.168.1.1
我们发现 arping 只能对一个 ip 地址进行判断,这个时候我们就需要通过脚本来实现对网络的自动
扫描。
上传 arping1.sh 脚本,给我们写好的脚本加上执行权限,我们 linux 中可执行程序需要拥有执行权
限才可以直接执行。
arping1.sh:
#!/bin/bash
if [ "$#" -ne 1 ];then #判断用户是否输入了至少一个参数如果没有输入参数,输出提示信息并退出
echo "Usage - ./arping.sh [interface]"
echo "Excample - ./arping.sh eth0"
echo "Example will perform an ARP scan of the local subnet to which eth0 is assigned"
exit
fi
interface=$1 #将用户输入的参数传递给interface变量
prefix=$(ifconfig $interface | grep "inet " | cut -d 't' -f 2 | cut -d '.' -f 1-3) #获取本机IP地址网段192.168.1
#对整个网段进行arping
for addr in $(seq 1 254);do
arping -c 1 $prefix.$addr | grep "bytes from" | cut -d" " -f 5 | cut -d "(" -f 2 | cut -d")" -f 1
done
命令:./arping1.sh eth0 #查看局域网中是否存在 arp 攻击
2、netdiscover
netdiscover 是一个主动/被动的 ARP 侦查工具。使用 netdiscover 工具可以在网络上扫描 IP 地
址,检查在线主机或搜索为它们发送的 ARP 请求。
主动模式:
主动模式顾名思义就是主动的探测发现网络内主机,但是这种方式往往会引起网络管理员的注意
└─# netdiscover -i eth0 -r 192.168.1.0/24
参数:-i device: your network device
-r range: scan a given range instead of auto scan. 192.168.6.0/24,/16,/8
被动模式:
被动模式的方法更加隐蔽,但是速度会比较慢,网卡被设置为混杂模式来侦听网络内的 arp 数据包
进行被动式探测,这种方式就需要网络内设备发送 arp 包才能被探测到。
└─# netdiscover -p
参数:-p passive mode: do not send anything, only sniff
二、三层发现
原理:使用ip/icmp协议
优点:相对于二层可以路由
缺点:速度慢(相对于二层),经常被过滤掉
1、Ping
┌──(root💀kali)-[~]
└─# ping www.baidu.com -c 1
PING www.a.shifen.com (36.152.44.96) 56(84) bytes of data.
64 bytes from 36.152.44.96 (36.152.44.96): icmp_seq=1 ttl=54 time=10.2 ms
--- www.a.shifen.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 10.221/10.221/10.221/0.000 ms
我们从当前主机到目标主机之间肯定要经过很多网络设备,我们怎么才能知道中间经过了哪些网络设备?
2、Traceroute
Traceroute 命令也可以对路由进行跟踪
┌──(root💀kali)-[~]
└─# traceroute www.taobao.com
traceroute to www.taobao.com (111.6.93.166), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 1.140 ms 0.991 ms 0.930 ms
2 * * *
3 * 172.206.1.22 (172.206.1.22) 3.061 ms *
4 211.141.219.41 (211.141.219.41) 4.035 ms 3.957 ms 3.914 ms
5 111.38.161.201 (111.38.161.201) 3.851 ms 111.38.161.225 (111.38.161.225) 7.632 ms 111.38.160.101 (111.38.160.101) 3.769 ms
6 221.183.115.117 (221.183.115.117) 3.595 ms 221.183.115.113 (221.183.115.113) 3.170 ms 3.092 ms
7 221.183.113.25 (221.183.113.25) 6.861 ms 221.183.113.21 (221.183.113.21) 6.007 ms 6.152 ms
8 221.183.44.177 (221.183.44.177) 16.049 ms 16.009 ms 17.043 ms
3、Fping
使用 FPING 查看局域网中运行了哪些机器
Fping 就是 ping 命令的加强版他可以对一个 IP 段进行 ping 扫描,而 ping 命令本身是不可以对网
段进行扫描的。
┌──(root💀kali)-[~]
└─# fping -ag 192.168.1.0/24 > fping.txt
4、Hping
Hping能够发送几乎任意的TCP/IP包;
功能强大但是每次只能扫描一个目标。
Hping3发送ICMP包:
命令:hping3 ip地址 --icmp -c 2,--icmp指的是发送的包类型,-c指次数
┌──(root💀kali)-[~]
└─# hping3 192.168.1.103 --icmp -c 2
HPING 192.168.1.103 (eth0 192.168.1.103): icmp mode set, 28 headers + 0 data bytes
len=46 ip=192.168.1.103 ttl=128 id=4528 icmp_seq=0 rtt=4.8 ms
len=46 ip=192.168.1.103 ttl=128 id=4529 icmp_seq=1 rtt=4.1 ms
--- 192.168.1.103 hping statistic ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 4.1/4.5/4.8 ms
三、四层发现
原理:使用TCP/UDP协议
优点:可路由并且可靠、不太可能被防火墙过滤掉
缺点:基于状态过滤的防火墙可能过滤扫描、全端口扫描速度慢
1、NMAP使用及技巧
NMAP 语法及示例
语法:nmap [Scan Type(s)] [Options]
例 1:使用 nmap 扫描一台服务器
默认情况下,Nmap 会扫描 1000 个最有可能开放的 TCP 端口。
┌──(root💀kali)-[~]
└─# nmap 192.168.1.109
Starting Nmap 7.91 ( https://nmap.org ) at 2023-03-21 23:08 CST
Nmap scan report for 192.168.1.109
Host is up (0.000079s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
5003/tcp open filemaker
5555/tcp open freeciv
MAC Address: 00:0C:29:AF:59:19 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds
例 2: 扫描一台机器,查看它打开的端口及详细信息。
参数说明:
-v 表示显示冗余信息,在扫描过程中显示扫描的细节,从而让用户了解当前的扫描状态
┌──(root💀kali)-[~]
└─# nmap -v 192.168.1.109
Starting Nmap 7.91 ( https://nmap.org ) at 2023-03-21 23:10 CST
Initiating ARP Ping Scan at 23:10
Scanning 192.168.1.109 [1 port]
Completed ARP Ping Scan at 23:10, 0.04s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 23:10
Completed Parallel DNS resolution of 1 host. at 23:10, 0.01s elapsed
Initiating SYN Stealth Scan at 23:10
Scanning 192.168.1.109 [1000 ports]
Discovered open port 111/tcp on 192.168.1.109
Discovered open port 22/tcp on 192.168.1.109
Discovered open port 5555/tcp on 192.168.1.109
Discovered open port 5003/tcp on 192.168.1.109
Completed SYN Stealth Scan at 23:10, 0.05s elapsed (1000 total ports)
Nmap scan report for 192.168.1.109
Host is up (0.000071s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
5003/tcp open filemaker
5555/tcp open freeciv
MAC Address: 00:0C:29:AF:59:19 (VMware)
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
Raw packets sent: 1001 (44.028KB) | Rcvd: 1001 (40.044KB)
例 3:扫描一个范围: 端口 1-65535
└─# nmap -p 1-65535 192.168.1.63
注:生产环境下,我们只需要开启正在提供服务的端口,其他端口都关闭。
关闭不需要开的服务有两种方法:
情景 1:你认识这个服务,直接关服务
└─# systemctl stop rpcbind
情景 2:不认识这个服务,查看哪个进程使用了这个端口并找出进程的路径,然后 kill 进程,删除文 件,接下来以 22 端口为例,操作思路如下:
└─# lsof -i :22 #查看 22 端口正在被哪个进程使用
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1089 root 3u IPv4 21779 0t0 TCP *:ssh (LISTEN)
通过 ps 命令查找对应的进程文件:
└─# ps -axu | grep 1089
root 1089 0.0 0.1 105996 3744 ? Ss 10:52 0:00 /usr/sbin/sshd -D
注:看到进程的文件的路径是/usr/sbin/sshd
。如果没有看到此命令的具体执行路径,说明此木马
进程可以在 bash 终端下直接执行,
通过 which 和 rpm -qf 来查看命令的来源,如下:
└─# which vim
/usr/bin/vim
解决:
└─# kill -9 1089
总结:这个思路主要用于找出黑客监听的后门端口和木马存放的路径。
例 4: 扫描一台机器:查看此服务器开放的端口号和操作系统类型。
┌──(root💀kali)-[~]
└─# nmap -sS -O www.taobao.com
Starting Nmap 7.91 ( https://nmap.org ) at 2023-03-21 23:19 CST
Nmap scan report for www.taobao.com (111.6.93.167)
Host is up (0.021s latency).
Other addresses for www.taobao.com (not scanned): 111.6.93.166 2409:8c44:6100:1000:3::3cd 2409:8c44:6100:1000:3::3ce
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
OS fingerprint not ideal because: Missing a closed TCP port so results incomplete
No OS matches for host
OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.87 seconds
参数说明:
-O: 显示出操作系统的类型。 每一种操作系统都有一个指纹。
-sS:半开扫描(half-open)
TCP 同步扫描(TCP SYN):因为不必全部打开一个 TCP 连接,所以这项技术通常称为半开扫描
(half-open)。你可以发出一个 TCP 同步包(SYN),然后等待回应。如果对方返回 SYN|ACK(响应)包就
表示目标端口正在监听;如果返回 RST 数据包,就表示目标端口没有监听程序;如果收到一个
SYN|ACK 包,源主机就会马上发出一个
RST(复位)数据包断开
和目标主机的连接,这实际上由我们的操
作系统内核自动完成的。
当服务器端口开放时,半连接扫描过程如图 1 ,当服务器端口关闭时,半连接扫描过程如图 2
例 5:扫描一个网段中所有机器是什么类型的操作系统。
└─# nmap -sS -O 192.168.1.0/24
例 6: 查找一些有特点的 IP 地址中,开启 80 端口的服务器。
└─#
nmap -v -p 80 192.168.1.62-67
例 7:如何更隐藏的去扫描,频繁扫描会被屏蔽或者锁定 IP 地址。
--randomize_hosts # 随机扫描,对目标主机的顺序随机划分
--scan-delay #延时扫描,单位秒,调整探针之间的延迟
(1)随机扫描
┌──(root💀kali)-[~]
└─# nmap -v --randomize-hosts -p 80 192.168.1.62-69 130 ⨯
Starting Nmap 7.91 ( https://nmap.org ) at 2023-03-21 23:26 CST
Initiating ARP Ping Scan at 23:26
Scanning 8 hosts [1 port/host]
Completed ARP Ping Scan at 23:26, 1.41s elapsed (8 total hosts)
Nmap scan report for 192.168.1.66 [host down]
Nmap scan report for 192.168.1.68 [host down]
Nmap scan report for 192.168.1.62 [host down]
Nmap scan report for 192.168.1.63 [host down]
Nmap scan report for 192.168.1.65 [host down]
Nmap scan report for 192.168.1.64 [host down]
Nmap scan report for 192.168.1.69 [host down]
Nmap scan report for 192.168.1.67 [host down]
Read data files from: /usr/bin/../share/nmap
Nmap done: 8 IP addresses (0 hosts up) scanned in 1.45 seconds
Raw packets sent: 16 (448B) | Rcvd: 0 (0B)
(2)随机扫描+延时扫描 ,默认单位秒
└─# nmap -v --randomize-hosts --scan-delay 3000ms -p 80 192.168.1.62-69
例 8:使用通配符指定 IP 地址
└─# nmap -v --randomize-hosts --scan-delay 30 -p 80
1.*.2.3-8
例 9:Connect 扫描
└─# nmap -sT 192.168.1.63 -p 80
这种扫描方式和 SYN 扫描很像,只是这种扫描方式完成了 TCP 的三次握手。
例 10:UDP 扫描
└─# nmap -sU 192.168.1.63
端口状态解析:
open
:从目标端口得到任意的 UDP 应答
open|filtered
:如果目标主机没有给出应答
closed
:ICMP 端口无法抵达错误
filtered
:ICMP 无法抵达错误
例 11:报文分段扫描
└─# nmap -f -v 192.168.1.63
例 12:使用诱饵主机隐蔽扫描
(1)随机 3 个诱饵
└─# nmap -D RND:3 192.168.1.63
(
2)使用自己 IP 作为诱饵
└─# nmap -D ME 192.168.1.63
(
3)指定单个 IP:192.168.1.14 作为诱饵
└─# nmap -D 192.168.1.14 192.168.1.63
(
4)指定多个 IP 作为诱饵对 192.168.1.63 进行探测
└─# nmap -D 192.168.1.14,192.168.1.18 192.168.1.63
例 13:伪造源端口为 8888 对目标进行扫描
└─# nmap --source-port 8888 101.200.128.35
或
└─# nmap -g 8888 101.200.128.35
例 14:从互联网上随机选择 10 台主机扫描是否运行 Web 服务器(开放 80 端口)
└─# nmap -v -iR 10 -p 80
例 15:将所有主机视为联机,跳过主机发现,这种方式可以穿透防火墙,避免被防火墙发现
└─# nmap -Pn 101.200.128.35
2、Hping3发送TCP/UDP包
Hping3发送udp包:
命令:hing3 ip地址 --udp -c 2
Hping3默认发送TCP包:
命令:hping3 ip地址 -c 2
561
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
