《渗透测试实践指南》 入门笔记 第2章

《渗透测试实践指南：必知必会的工具与方法》  入门者笔记

第2章 侦察

Wireshark：查看网络流量 Metasploit：漏洞利用

白帽与黑帽之间最主要的区别在于授权，甚至不同层级的权限也是需要谨慎对待的。

主动侦察（active reconnaissance）：与目标直接交互，IP极有可能被跟踪，遗留数字痕迹

被动侦察（passive reconnaissance）：不直接交互，基本不遗留数字痕迹（digital fingerprint）

HTTrack：网站复制机，创建与目标网站完全相同的脱机副本，包含原链接、图片、代码

访问下载 http://www.httrack.com ，在windows系统下亦可安装；

如在Backtrack上安装，打开终端后输入 apt-get install webhttrack；

位置：K-Start（左下“开始按钮”图标）/Internet/WebHTTrack Website Copier

启动HTTrack（注意：此时已经被跟踪），出现若干网页，对复制过程进行设置和定制；

配置页面最后选择“Start”开始复制；复制时间取决于目标网站大小；

完成后，提供一个网页，可以在浏览器里Browse the Mirrored Website（浏览镜像网站）。

总之，嗅探需要使用各种不同引擎，过程要快速、全面，特别关注“新闻”与“公告”等公开信息；

在企业兼并和过度期，充分利用变动和混乱；还要格外注意网上的招聘启事。

！网络爬虫（Computer Robot）

！在第13届Defcon黑客大会上，Jonny Long发表了题为“渗透测试人员应该知道的Google黑客技术”的演讲。

（即 Google Hacking for Penetration Testers）

Google指令（directive）：详见www.codeweblog.com；不区分大小写

“site:domain”：只显示来自于某个目标域名的搜索结果；site、半角:、域名之间没有空格

“allintitle:”：搜索结果的网络标题，包含所有关键字（term/terms to search）；如——

Allintitle:index of 执行该搜索，可查看Web服务器上的所有可用的索引目录列表

“intitle:”：包含任意关键字

“inurl:”：搜索URL中包含某些特定字符的网站；如 inurl:admin

*网页快照：被Google抓取过的网页，会在其网页快照中保存一个精简副本，

          包含网站创建时所用代码和抓取过程中的其他格式文件；搜索快照相对于目标网站，不容易被跟踪

“cache:”：让Google只显示网页快照里的信息；但是单击任何链接都会跳转到真实主页

“filetype:”：搜索特定的文件扩展名；混编，如 site:domain filetype:txt

*被动侦察：这里所说的被动侦察，仅仅是搜素过程中；一旦单击任何一个链接，立即暴露

*关注目标的Usenet/BBS信息，以及个人社交中的技术情报线索

The Harvester：挖掘并利用邮箱地址

由Edge Security安全公司的Christian Martorella用Python脚本语言编写的；可以快速地给电子邮件及其子域名建立目录；

搜索Google、Bing、PGP服务器的电子邮件、主机以及子域名；还可搜索LinkedIn的用户名；

搜集@前字符串，极有可能作为用户名，强行登陆SSH、VPN、FTP等任何服务

可以从Edge Security公司的网站：http://www.edge-security.com 直接下载；

在终端输入命令 tar xf theHarvester ；

将下载的 .tar文件进行解压；linux区分大小写

Backtrack已内置The Harvester；路径为 Information Gathering/All/单击The Harvester；

也可直接打开终端，输入 cd /pentest/enumeration/google/theHarvester（原书未区分大小写）

进入The Harvester目录后，运行命令 ./theHarvester.py -d baidu.com -l 10 -b google

此命令用于搜索属于baidu.com的电子邮箱、子域名和主机；其中——

“./theHarvester.py”用来调用此工具，“-d”用来指定目标域名；小写“-l”用来限定返回搜索结果的数目；

“-b”为指定要搜索的公共数据库，可选Google、Bing、PGP或LinkedIn；

生成搜索结果之后，Accounts found之下排列的是电子邮箱地址，Host found之下为子域名

Whois：获取目标IP地址或DNS主机名以及地址和电话号码等具体信息

Backtrack已内置Whois；使用时打开终端，输入命令 whois target_domain

特别要留意返回结果中的DNS服务器名字，可以使用host命令将名字翻译成IP地址；

也可以打开http://www.whois.net网站，在WHOIS Lookup框内搜索；

如果没有显著细节，可以就一次搜索结果中的具体服务器列表进行二次/阶搜索；

可以使用Whois对“Referral URL:”（引用URL：）字段提供的链接地址做二次/阶搜索

Netcraft

登陆http://news.netcraft.com，在What 's that site Running?之下的文本框中输入目标网站；

在搜索结果的页面上还可单击查看Site Report（网站报告）；注意搜集目标网站IP、Web服务器的操作系统以及DNS服务器

Host工具：将目标主机名翻译为IP地址

Backtrack已内置host工具，直接打开终端，输入命令 root@bt~# host target_hostname

这里target_hostname为主机名（Name server）；使用“-a”参数可以显示详尽输出；

可以在终端窗口输入命令 man host，查看手册和帮助文件；host命令亦可反向使用

从DNS中提取信息

在侦查阶段，如能获得目标DNS服务器的完整权限，也就获得了内部IP地址的完整列表；

DNS服务器包含了一系列它所知道的IP地址和对应域名相匹配的记录信息；

许多网络部署了多台DNS服务器，以保证冗余或负载平衡。

因此，多台DNS服务器之间需要进行信息共享，这个“共享”过程正式通过区域传输（zone transfer）实现的；

区域传输通常也叫AXFR，在这个过程中，一台DNS服务器将其所有域名与IP映射发送到另一台DNS服务器；

这一过程允许多台DNS服务器保持信息同步

NS Lookup：查询DNS服务器的首选工具；并可获得DNS服务器知道的各种主机的记录

Backtrack已内置NS Lookup，在windows下通过命令行亦可使用；

在linux中，打开终端并输入命令 man nslookup 即可打开使用帮助

！交互模式：即，可先启动程序，然后再输入特定的参数使其运行特定的功能

NS Lookup可在交互模式下运行；在终端输入命令 nslookup

按回车键后，“#”提示符变为“>”，即可输入执行查找功能所需的额外信息；

首先输入关键字“server”，然后输入目标DNS服务器的IP地址；

NS Lookup接受命令后返回，然后显示“>”提示符，需要在其后指明所要查询的记录类型；

如果只查找一般性信息，可以使用“any”关键字，制定记录类型为“任何”类型，如

>set type=any

而如果想查看DNS服务器的某些特殊信息，例如目标公司处理电子邮件的邮件服务器的IP地址，输入命令 set type=mx；

获得各种DNS记录类型列表及描述信息，使用Google技巧；

在接下来的“>”提示符后面输入目标域名，以此完成用NS Lookup进行的初始DNS查询

Dig：提取DNS信息并可进行区域传输

打开终端，输入命令 dig @target_ip ，即可使用；

此外，用dig命令能进行区域传输；如上所述，AXFR就是从DNS服务器提取记录的过程；

在一些情况下，区域传输可能会导致目标DNS服务器将它所包含的所有记录发送出去；

进行区域传输时，如果“目标”不区分内外网IP的话，可以使用“-t AXFR”参数；如，

终端输入命令 dig @192.168.1.23 example.com -t AXFR ；

如果AXFR允许且不受限，目标DNS服务器会返回与目标域名相关的主机和IP地址列表

从电子邮件服务器提取信息

首先，向目标邮箱发送一封“附件内容为空的批处理文件”或是像“calc.exe之类的非恶意可执行文件”的邮件，

目的是在于让目标的邮件服务器对邮件进行检查，然后发送退信；

退信正文之后，通常会显示用来扫描这封邮件的杀毒软件及其版本号；特别检查邮件头！

MetaGooFil

用于提取元数据（metadata）；由开发The Harvester的团队（Edge Security公司）编写；

元数据，定义为关于数据的数据；通常是对文件的描述信息，包括名称、大小、保存路径；

Backtrack已内置MetaGooFil，在All Programs菜单里选择backtrack option，然后进入

Information Gathering；也可直接终端输入命令 cd/pentest/enumeration/google/metagoofil

进入MetaGooFil的目录之后，新建一个名为files的文件夹，输入命令 mkdir files ；

专门用来存放下载的文档，以保持原来目录的结构；目录创建之后，运行，执行命令

./metagoofil.py -d syngress.com -f all -o results -t files

“./metagoofil.py”是用来触发MetaGooFil的Python脚本；

“-d”参数用来指定搜索的目标域；

“-f”参数用来指定MetaGooFil查找哪一种或哪些类型的文件；

“all”参数是命令MetaGooFil将所有其能处理的文件格式全部下载，包括pdf、docx等；

“-o”参数指定MetaGooFil生成报告的名称；

“-t”参数指定文件夹以存放MetaGooFil发现并下载的文件

社会工程学：关于“人性”的考量；“故意”遗失的U盘（自执行后门程序）等

筛选信息寻找攻击目标

集中记录搜集到的IP、电子邮件地址、主机名称、URL地址等；并转化为IP

接下来的工作

1.熟悉Google以外其他搜索引擎的指令

2.搜索引擎评估工具（SEAT）：一次搜索即可同时快速查询多家不同的搜索引擎；

Backtrack已内置；官网 www.midnightresearch.com 亦可下载

3.Johnny Long的Google黑客数据库（GHDB）登陆www.hackersforcharity.org/ghdb获取

4.《渗透测试人员应该懂的Google黑客技术》，第2版，Syngress出版

5.Maltego社区版：由Paterva公司出品；Backtrack已内置