情报搜集:
搜索引擎
设备搜索引擎:zoomeye等
1、用搜索引擎Google或百度搜索麻省理工学院网站中文件名包含“network security”的pdf文档。
2、照片中的女生在哪里旅行?
直接搜索门店名:letrentehuit café brasserie
百度地图搜索一下
4、编码解码
将Z29vZCBnb29kIHN0dWR5IQ==解码。
5、地址信息
5.1内网中捕获到一个以太帧,源MAC地址为:98-CA-33-02-27-B5;目的IP地址为:202.193.64.34,回答问题:该用户使用的什么品牌的设备,访问的是什么网站?并附截图。
5.2 访问https://whatismyipaddress.com得到MyIP信息,利用ipconfig(Windows)或ifconfig(Linux)查看本机IP地址,两者值相同吗?如果不相同的话,说明原因。
不相同,原因是NAT起了作用。查看本机ip看到的是局域分配的私有地址,访问公网中的资源时私有ip经过NAT转换了ip地址和端口。
6、NMAP使用
6.1利用NMAP扫描Metasploitable2(需下载虚拟机镜像)的端口开放情况。并附截图。
说明其中四个端口的提供的服务,查阅资料,简要说明该服务的功能。
1、ftp
FTP就是文件传输协议。 用于互联网双向传输,控制文件下载空间在服务器复制文件从本地计算机或本地上传文件复制到服务器上的空间。控制端口21;数据传输端口20
2、ssh
SSH 是一种加密的网络传输协议,可在不安全的网络中实现远程登录和命令执行。
3、http
HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)
4、mysql
MySQL是基于SQL查询的开源跨平台数据库管理系统。使用sql语句对数据库进行操作。
6.2利用NMAP扫描Metasploitable2的操作系统类型,并附截图。
nmap -O 192.168.158.130
6.3 利用NMAP穷举 Metasploitable2上dvwa的登录账号和密码。
nmap -p80 --script http-form-brute --script-args http-form-brute.path=/dvwa/login.php 192.168.158.130 -d
admin
password
7、利用ZoomEye搜索一个西门子公司工控设备,并描述其可能存在的安全问题。
8、Winhex简单数据恢复与取证
8.1 elephant.jpg不能打开了,利用WinHex修复,说明修复过程。
Winhex打开发现文件头不对,修改为ffd8,保存。
8.2 笑脸背后的阴霾:图片smile有什么隐藏信息。L
Winhex打开后发现中间有很多重复的信息
往下滑看看,找到了关键信息。
8.3 尝试使用数据恢复软件恢复你的U盘中曾经删除的文件。
使用数据恢复软件即可恢复。
因为刚删除的数据实际上在磁盘上并未被抹除,而是修改某个标志位告诉计算机这一部分可以被覆盖了,只要短时间内写入的数据不多,没有覆盖之前被删除的数据,是能够恢复近期删除的数据的。
实验小结:
情报搜集:
设备搜索引擎。可搜索指定组件,框架,设备,一些旧版本设备,使用旧版本框架的网站未及时更新可能会被不法分子发现,并利用漏洞入侵。
普通搜索引擎使用:filetype:site:直接搜索关键词。
文件真正删除,使用大量写入操作覆盖。
数据恢复。
图片隐藏信息,winhex查看文件。隐写工具。文件恢复。