Metasploit渗透学习日记二

情报收集

情报收集是渗透测试流程中的第二个步骤。情报收集的目的是获取渗透目标的准确信息，以了解目标组织的动作方式，确定最佳的进攻路线。如果情报收集工作不够细致，那么你可能会与可利用的系统漏洞或可实施攻击的目标之交臂。

情报收集的工作可能会包含从网页中收集信息、google hacking、为特定的目标的网络拓扑进行完整的扫描映射等，这些工作往往需要较长的时间，会比较考验你的耐性。情报收集工作需要周密的计划、调研，而最重要的是要具备攻击者角度去思考问题的能力。

在开始收集情报工作之前，你应该考虑如何将每一步操作和得到的结果记录下来。

使用被动、间接的信息收集技巧，你可以在不接触到目标系统的情况下挖掘目标信息。举例来说，你可以使用这些技巧确定网络边界情况和网络运维人员，甚至了解到目标网络中使用的操作系统和网站服务器软件的类型。

1、whois查询

说明：查看域名的详细信息

命令格式：

whois 域名/IP

 

首先通过域名进行一次查询，所得到的结果如下：

 

 在一些大机构中，DNS服务器往往部署在公司内部，可以被作为攻击点，使用针对DNS服务器的区域传送攻击以及其它类似的攻击，攻击者通常能够揭露出一个网络内部及外部的很多信息。在这里，我们可以看到Domain servers为：FIGINS1.DNSPOD.NET 和FIGINS2.DNSPOD.NET，不属于i0415.com所有，所以，我们不能对这些域名服务器进行攻击。但是我们通过whois命令可以得到很多关于这个域名相关的信息，比如域名注册人的信息等等，这在以后的渗透中也有一定的利用价值。

 

其次，我们获取一下i0415.com这个服务器的IP，然后针对这个IP再进行一次查询，其结果如下：

 

 

从这个结果中，我们发现，此服务器的提供商为XRNET，是息壤传媒文化有限公司。

 

NSLookup工具

为了获取关于服务器的附加信息，我们使用nslookup工具

 

我们可以看到i0415.com的邮件服务器的DNS指向5 mxdomain.qq.com. 说明邮件服务是由第三方运维的。

 

主动信息收集

在主动信息收集工作中，我们与目标系统直接交互，从而对其进行更深入的了解。举例来说，我们可以执行端口扫描来确定目标系统开放了哪些端口、运行了哪些服务。但是请注意：如果你在主动信息收集过程中不够小心，那么你很可能会被入侵检测系统(IDS)或入侵防御系统（IPS）给逮住。

 

使用Nmap进行端口扫描

通过被动信息收集确定了目标的IP范围后，我们可以开始使用端口扫描获取目标开放的端口。端口扫描的过程实际上是逐个对远程主机的端口发起连接，从而确定哪些端口是开放的。

Nmap是一款强大的扫描工具，其参数及应用技巧非常多，在这里，只用了一些常用的选项

1、-sS 这个选项是执行一次隐秘的TCP扫描，以确定某个特定的TCP端口是否开放

2、-Pn 这个选项是告诉nmap不要使用ping命令预先判断主机是否存活，而是默认所有主机都是存活状态。

 

现在来扫描一下

 

 

我们看到，主机i0415.com开放了很多端口以及对应的服务。

为了获取更多的信息，可以尝试使用-A选项，它将尝试进行深入的服务枚举和旗标获取，这些能够为你提供目标系统更多的细节信息。

 

下面加上-A选项再进行一次扫描，扫描结果除了上次的端口信息外，还多了以下关于服务器的更为详细的信息：

 

在这里，我们可以发现，服务器运行是操作系统是window server 2003 SP1 数据库是mssql，其版本信息也一目了然。

 

高级Nmap扫描技巧：TCP空闲扫描

一种更加高级的nmap扫描方式是TCP空闲扫描，这种扫描能让我们冒充网络上另一台主机的IP地址，对目标进行更为隐秘的扫描（我可不可以认为是跳板技术的一种呢？）。进行这种扫描之前，我们需要在网络上定位一台使用递增IP帧标识（IP ID：用于跟踪IP包的次序的一种技术）机制的空闲主机（空闲是指该主机在一段特定的时间内不向网络发送数据包）。

我们可以使用Metasploit框架的auxiliary/scanner/ip/ipidseq模块，来寻找能够满足TCP空闲扫描要求的空闲主机，如下所示：

 

需要说明的是：ipidseq模块中的options设置：必设置的项为:RHOSTS 这个可是单个IP，也可以是一个IP段（如192.168.1.1-192.168.1.254）、CIDR地址（192.168.1.0/24），另外THREAD参数是设定扫描线程数的，默认为1单线程。增加参数值可提高扫描速度，降低参数值可减少网络上的数据流量。一般来说，在windows平台上运行metasploit这个参数值最好不要超过16，在类unix平台上运行不要超过128。

 

在这里，我们发现：192.168.1.110's IPID sequence class: Incremental！提示为incremental，这说明，这台主机满足空闲TCP扫描的要求，接下来，我们在nmap中增加选项 –sI 来进行一次空闲TCP扫描：

 

 使用空闲扫描，我们可以不用自身IP地址向目标主机发送任何数据包，就能获取到目标主机上开放的端口信息。

 

在MSF终端中运行Nmap

 

现在我们把nmap和metasploit结合起来使用。我的使用的BT5R3平台，所以对书里的一些设置命令，在这里根本用不上，所以就省略了，因为BT5R3默认已经做好这一切了。我们直接使用就可以。

终端中输入msfconsole进入MSF，使用db_namp开始进行扫描:

扫描结果我这里不作分析了，相信都能看的明白。

输入services来查看目标系统上运行的服务信息:

到这里，我们就已经收集到了很多服务器上面的信息了。