本文中示例的环境:
活跃主机扫描
①ICMP Ping 命令
Ping (Packet Internet Grope,因特网包探索器)是一个用于测试网络连接的程序。Ping程序会发送一个 ICMP echo 请求消息给目的主机,并报告应答情况。如果Ping后面跟的是域名,那么它会首先尝试将域名解析,然后向解析得到的IP地址发送数据包。
②arping
arping 向目标主机发送arp数据包,常用来检测一个ip是否在网络中已被使用。因为主机的 arp 功能是无法关闭的,若关闭了 arp 功能则无法与网络通信。因此 arping 比 ping 的通用性更好。同时,还可以采用 arp-scan --interface=网卡名 网段
来扫描一个网段的活跃主机。
③Metasploit 的主机发现模块
Metasploit中提供了一些辅助模块可用于活跃主机的发现,这些模块位于Metasploit源码路径的 modules/auxiliary/scanner/discovery 目录中,主要有以下几个:arp_sweep、ipv6_multicast_ping、ipv6_neighbor、ipv6_neighbor_router_advertisement、udp_prove、udp_sweep。其中两个最常用模块的主要功能为:
- arp_sweep 使用ARP请求枚举本地局域网络中的所有活跃主机
- udp_sweep 通过发送UDP数据包探查指定主机是否活跃,并发现主机上的UDP服务
④使用Nmap进行主机探测
Nmap (Network mapper)是目前最流行的网络扫描工具,它不仅能够准确地探测单台主机的详细情况,而且能够高效率地对大范围的IP地址段进行扫描。使用Nmap能够得知目标网络上有哪些主机是存活的,哪些服务是开放的,甚至知道网络中使用了何种类型的防火墙设备等。
操作系统辨识
获取了网络中的活跃主机后,就应该关注于这些主机安装了什么操作系统,准确区别出设备使用的操作系统对于后续渗透流程的确定和攻击模块的选择非常重要。同时,漏洞扫描器得到的扫描结果中一般会存在误报现象,而准确地操作系统辨识能排除这些误报项目。
可以使用 nmap -O 网络或网段
对目标的操作系统进行识别
端口扫描与服务类型探测
可以通过端口扫描了解到目标网络极为详细的信息,为下一步开展网络渗透打下基础。目前常见的端口扫描技术有如下几类:TCP Connect、TCP SYN、TCP ACK、TCP FIN。此外还有一些更为高级的端口扫描技术,如TCP IDLE。
TCP Connect扫描指的是扫描器发起一次真实的TCP连接,如果连接成功表明端口是开放的,这种扫描得到的结果最精确,但速度最慢,此外也会被扫描目标主机记录到日志文件中,容易暴露扫描。而SYN、ACK、FIN等则是利用了TCP协议栈的一些特性,通过发送一些包含了特殊标志位的数据包,根据返回信息的不同来判定端口的状态,这类扫描往往更加快速和隐蔽。
①Metasploit中的端口扫描器
Metasploit 的辅助模块中提供了几款实用的端口扫描器,可以输入search portscan
命令找到相关的端口扫描器。
- ack:通过 ACK 扫描方式对防火墙上未被屏蔽的端口进行探测
- ftpbounce:通过 FTP bounce 攻击的原理对TCP服务进行枚举,一些新的 FTP 服务器软件能够很好的防范 FTP bounce 攻击,但在一些旧的 Solaris 和 FreeBSD 系统的 FTP 服务中此类攻击方式仍能够被利用
- syn:使用发送 TCP SYN 标志的方式探测开放的端口
- tcp:通过一次完整的 TCP 连接来判断端口是否开放,这种扫描方式最准确,但扫描速度较慢
- xmas:一种更为隐秘的扫描方式,通过发送 FIN、PSH和URG标志,能够躲避一些高级的 TCP 标记监测器的过滤
下面是使用 syn 方式的端口扫描示例:
②Nmap 的端口扫描功能
大部分扫描器会对所有的端口分为 open (开放) 或 closed (关闭) 两种类型,而 Nmap 对端口状态的分析粒度更加细致,共分为六个状态:open (开放)、closed (关闭)、filtered (被过滤)、unfiltered (未过滤)、open|filtered (开放或被过滤)、closed|filtered (关闭或被过滤)。
- open:一个应用程序正在此端口上进行监听,以接收来自 TCP、UDP 或 SCTP 协议的数据。这是在渗透测试中最关注的一类端口,开放端口往往能够为我们提供一条能够进入系统的攻击路径
- closed:关闭的端口指的是主机已经响应,但没有应用程序监听的端口。这些信息并非没有价值,扫描出关闭端口至少说明主机是在活跃状态
- filtered:指 Nmap 不能确认端口是否开放,但根据响应数据猜测该端口可能被防火墙等设备过滤
- unfiltered:仅在使用 ACK 扫描时,Nmap 无法确定端口是否开放,会归为此类。可以使用其他类型的扫描 (如 Window 扫描、SYN扫描、FIN扫描) 来进一步确认端口的信息
③ Bank Track 5 的 Autoscan 功能
BT5 提供了一个完全图形化、简单易用的工具 Autoscan,可在如下位置找到:Applications → BackTrack → Information Gathering → Net Analysis → Network Scanner → Autoscan。虽然实际使用的效果比不上 Nmap,但能够提供一个非常直观的系统网络情况
Nmap 常用命令
①活跃主机扫描
- -sL:简单列表扫描
- -sn:Ping 扫描主机,但不进行端口扫描
- -sP:进行 Ping 扫描
- -sA:发送 TCP 的 ack 包进行探测
- -iL:若有一个 IP地址列表,将其保存为一个 txt 文件,并和 nmap 在同一目录下,则可以使用该命令扫描该 txt 文件中的 IP地址
用法:nmap -iL IP.txt
②端口扫描
- -sT:TCP connect 扫描,类似 Metasploit 中的 tcp 扫描模块
- -PU:UDP ping 扫描
- -sS:TCP SYN 扫描,类似 Metasploit 中的 syn 扫描模块
- -sF / -sX / -sN:这些扫描通过发送一些特殊的标志位以避开设备或软件的监测
- -sU:探测目标开放了哪些 UDP 端口
- -Pn:在扫描之前,不发送 ICMP Ping 来测试目标是否活跃
- -F:快速扫描模式,只扫描在 nmap-services 中列出的端口
- -p<端口范围>:指定希望扫描的端口,也可以使用一段端口范围。
- -sO:指定想要扫描的协议号 (0 ~ 255)
- -sV:扫描目标主机和端口上运行的软件及版本信息
③ 绕过防火墙
- -f:通过分片绕过防火墙
- -D:使用诱饵隐蔽扫描,用法:nmap -D [ip1,ip2 …… | RND:10] 目标主机。即可以指定诱饵主机,也可以使用 RND 随机生成指定数量的主机
- -S:源地址欺骗,可以修改扫描时的源地址,如:nmap -S 10.10.10.10
- –source-port 或 -g:源端口欺骗,修改扫描时的端口
④其他命令
-
-e:指定网络接口,扫描时使用哪个网卡
用法:nmap -e eth0 目标IP
-
-S:可以伪装源地址进行扫描,使对方发现不到自己的真实IP。
注:若使用 -S 伪装自己的源地址进行扫描,则必须使用 -e 指定网卡,同时使用 -Pn 参数才能伪装
用法:nmap -e eth0 目标IP -S 要伪装成的IP -Pn
-
-O:可用来扫描目标的操作系统类型
-
-A:获取目标所有信息,最全最完整的一个扫描
-
-v:显示扫描规程