网络扫描与网络侦察一

网络扫描与网络侦察

---

---

前言

实验目的：理解网络扫描、网络侦察的作用；通过搭建网络渗透测试平台，了解并熟悉常用搜索引擎、扫描工具的应用，通过信息收集为下一步渗透工作打下基础。
系统环境：Kali Linux 2、Windows
网络环境：交换网络结构
实验工具： Metasploitable2（需自行下载虚拟机镜像）；Nmap（Kali）；WinHex、数据恢复软件等

---

提示：以下是本篇文章正文内容，下面案例可供参考

一、网络扫描与网络侦察的目的

黑客在进行一次完整的攻击之前除了确定攻击目标之外，最主要的工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本、目标提供哪些服务、各服务的类型、版本以及相关的社会信息。
攻击者搜集目标信息一般采用七个基本的步骤：
（1） 找到初始信息，比如一个IP地址或者一个域名；
（2） 找到网络地址范围，或者子网掩码；
（3） 找到活动机器；
（4） 找到开放端口和入口点；
（5） 弄清操作系统；
（6） 弄清每个端口运行的是哪种服务；
（7） 找到目标可能存在的漏洞。

二、常用工具

1.Google Hacking（或baidu）

Google Hacking 是利用谷歌搜索的强大，来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门，不想被发现的后台入口，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码，php远程文件包含漏洞等重要信息。

2.BASE64编码

BASE64是一种编码方式，通常用于把二进制数据编码为可写的字符形式的数据。
编码后的数据是一个字符串，其中包含的字符为：A-Z、a-z、0-9、+、/共64个字符。（其实是65个字符，“=”是填充字符）。
长度为3个字节(38)的数据经过Base64编码后就变为4个字节(46)。
如果数据的字节数不是3的倍数，则其位数就不是6的倍数，那么就不能精确地划分成6位的块。需在原数据后面添加1个或2个零值字节，使其字节数是3的倍数。

字符串“Xue”经过Base64编码后变为“WHVl”。

字符串“Xu”经过Base64编码后变为“WHU=”。

字符串“X”经过Base64编码后变为“WA==”。

3.Nmap

Nmap是一个网络侦察和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取哪台主机正在运行以及提供什么服务等信息。Nmap支持很多扫描技术，例如：UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。Nmap还提供了一些高级的特征，例如：通过TCP/IP协议栈特征探测操作系统类型，秘密扫描，动态延时和重传计算，并行扫描，通过并行ping扫描探测关闭的主机，诱饵扫描，避开端口过滤检测，直接RPC扫描(无须端口映射)，碎片扫描，以及灵活的目标和端口设定。
Nmap运行通常会得到被扫描主机端口的列表。Nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有：open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示：防火墙、包过滤和其它的网络安全软件掩盖了这个端口，禁止Nmap探测其是否打开。unfiltered表示：这个端口关闭，并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下，端口的状态基本都是unfiltered状态，只有在大多数被扫描的端口处于filtered状态下，才会显示处于unfiltered状态的端口。
根据使用的功能选项，Nmap也可以报告远程主机的下列特征：使用的操作系统、TCP序列、运行绑定到每个端口上的应用程序的用户名、DNS名、主机地址是否是欺骗地址、以及其它一些东西。

4.WinHex

WinHex 是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具： 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。

三、被动扫描，利用搜索引擎或相关网站

1. 麻省理工学院网站中文件名包含“network security”的pdf文档

用搜索引擎Google或百度搜索麻省理工学院网站中文件名包含“network security”的pdf文档

在百度上搜索“network security”，并在搜索工具这一栏选择了pdf文档，如下图：
搜索出来的结果如下图：

2.照片中的女生在哪里旅行？

在百度中搜索图片中的“38 Le trente huit cafe brasserie”，得到如下结果：

所以它的地址是：

然后我根据查到的地址在Google地图中搜索得到如下结果：

好像和图片不太一样，我们调整一下时间轴：

这样就得到了(●’◡’●)

3、手机位置定位。

通过LAC（Location Area Code，位置区域码）和CID（Cell Identity，基站编号，是个16位的数据（范围是0到65535）可以查询手机接入的基站的位置，从而初步确定手机用户的位置。
获取自己手机的LAC和CID：
Android 获取方法：Android： 拨号*##4636##进入手机信息工程模式后查看
iphone获取方法：iPhone：拨号3001#12345#*进入FieldTest
Serving Cell info–>LAC=Tracking Area Code -->cellid = Cell identity
若不能获取，用右图信息。
截图你查询到的位置信息。

因为我的手机是 Android 系统但是获取信息失败，所以我采用了右图的信息完成实验。

通过对基站位置查询，得到具体定位：

4、编码解码

将Z29vZCBnb29kIHN0dWR5IQ==解码。截图。

5、地址信息

1、内网中捕获到一个以太帧，源MAC地址为：98-CA-33-02-27-B5；目的IP地址为：202.193.64.34，回答问题：该用户使用的什么品牌的设备，访问的是什么网站？并附截图。

在网上通过MAC查询：

得到如下图所示：

所以该用户使用的设备为苹果品牌
在网上通过IP查询：

该 IP 定位为“广西桂林市 桂林电子科技大学”

2、 访问https://whatismyipaddress.com得到MyIP信息，利用ipconfig(Windows)或ifconfig(Linux)查看本机IP地址，两者值相同吗？如果不相同的话，说明原因。

访问https://whatismyipaddress.com得到MyIP信息：

利用ipconfig(Windows)或ifconfig(Linux)查看本机IP地址

两者值不相同

原因（来自百度）：
“用ipconfig得到是在局域网内的地址,称为私有地址,这种私有地址不是不能在互联网上面流通的,一般都是在路由器上做了NAT地址转换,具体这种技术,可以查一下相关资料。
NAT的作用就是将私有地址转换为公网上的地址,这种地址才是真正的可以在互联网上流通的_{所以别人看到的都是你的公网IP}”

“ipconfig显示的是你的物理地址没有子网掩码和网络号的;而网页显示的是你的Internet分配给你的路由器号码和你的局域网的号码(既有子网掩码)”

“一个是本地IP,一个是公网IP。本地IP可动可静，公网IP也可动可静。如果你的及其在局域网内，本地daoIP就是用于局域网机器间的互访。公网IP是你使用哪个ISP给你分配的，用于你经过ISP的网关访问网络（外网/Internet）。”

IP地址分类
为了便于寻址以及层次化构造网络，每个IP地址包括两个标识码（ID），即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID，网络上的一个主机（包括网络上工作站，服务器和路由器等）有一个主机ID与其对应。Internet委员会定义了5种IP地址类型以适合不同容量的网络，即A类~E类。



public ip和private ip的概念和区别：

• Public IP : 公共 IP ，经由 INTERNIC 所统一规划的 IP，有这种 IP 才可以连上 Internet ；
• Private IP : 私有 IP 或保留 IP，不能直接连上 Internet 的 IP ，主要用于局域网络内的主机联机规划。
  早在 IPv4 规划的时候就担心 IP 会有不足的情况，而且为了应付某些企业内部的网络设定，于是就有了私有IP (Private IP) 的产生了。私有 IP 也分别在 A, B, C 三个 Class 当中各保留一段作为私有 IP 网段，那就是：

  • Class A：10.0.0.0 - 10.255.255.255

  • Class B：172.16.0.0 - 172.31.255.255

  • Class C：192.168.0.0 - 192.168.255.255

由于这三段 Class 的 IP 是预留使用的，所以并不能直接作为Internet 上面的连接之用，不然的话，到处就都有相同的IP 啰！那怎么行！网络岂不混乱？所以啰，这三个 IP 网段就只做为内部私有网域的IP 沟通之用。一般说来，我们用Ipcofig是无法查到公网ip的，大多数时候，你使用ipconfig查到的一般就只是以172.开头的b类私有Ip，或者以192.168开头的c类私有Ip.简单的说，s私有ip有底下的几个限制：

 - 私有 IP 的路由信息不能对外散播 (只能存在内部网络)；
 - 使用私有 IP 作为来源或目的地址的封包，不能透过 Internet 来转送 (不然网络会混乱)；

 - 关于私有 IP 的参考纪录(如 DNS)，只能限于内部网络使用 (一样的原理啦)

这个私有 IP 有什么好处呢？由于他的私有路由不能对外直接提供信息，所以，你的内部网络将不会直接被 Internet 上面的 Cracker 所攻击！但是，你也就无法以私有 IP 来『直接上网』啰！因此相当适合一些尚未具有Public IP 的企业内部用来规划其网络之设定！否则当你随便指定一些可能是Public IP 的网段来规划你企业内部的网络设定时，万一哪一天真的连上Internet 了，那么岂不是可能会造成跟 Internet 上面的 Public IP 相同了吗？
只有公网ip是能够连接互联网的，私网IP 一般只用作局域网

总结： 我们能够上网靠的是isp组织分给我们的Ip地址，但是这个ip地址一般不是给个人的，一般都是给一个单位，一个区域的，也就是说我们实际上能接触到的一般都是私有地址，即我们用ipconig查到的都是私有地址，也就相当于局域网内的ip地址，当我们真正联网时，会先把数据发送到路由，然后再由路由进行处理实现真正的联网操作，路由的地址才是真正联网的Ip地址，也就是pubilc ip，而我们在自己电脑上查到的都是私有ip

（转载自：https://blog.csdn.net/gui951753/article/details/79210535）

四、NMAP使用

1、利用NMAP扫描Metasploitable2（需下载虚拟机镜像）的端口开放情况。

附截图。说明其中四个端口的提供的服务，查阅资料，简要说明该服务的功能。
首先我们需要打开Metasploitable2：

在这里的用户名和密码都是：msfadmin，其密码不可见（千万要注意不要输错了噢~）

然后，利用“ifconfig”命令获取 Metaspoilable2 的 IP 地址：

再在 kali 里利用“nmap + 目标 IP”命令搜索扫描 Metasploitable2 的端口开放情况。

没有扫出来，后来我按照它给的提示又再扫了一遍，结果还是没有显示出端口

我分析了很多原因，尝试了很多遍，最终都没有扫出来（咦~~我才发现我的kali的时间慢了十二个小时，囧），原因还在查找中，看出原因的师傅可以在评论区告诉我
( •̀ ω •́ )y
所以我放上了以前扫出来的图：

以下内容来源于百度：
（1）21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。
FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。
（2）22端口主要用于SSH(Secure SHell)
SSH的英文全称是Secure SHell。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。
（3）23端口是telnet的端口
Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。
（4）80端口主要用于HTTP服务
HTTP说明：用于网页浏览。木马Executor开放此端口

2、利用NMAP扫描Metasploitable2的操作系统类型，并附截图。

扫描命令为“nmap -O +目标 IP”

一样，放上以前扫出来的图（囧）

3 、利用NMAP穷举 Metasploitable2上dvwa的登录账号和密码。

穷举法=暴力破解
输入命令“nmap -p 22 --script=ssh-brute --script-args userdb=用户字典,passdb=密码字典 目标机ip”

4、永恒之蓝-WannaCry蠕虫

查阅资料，永恒之蓝-WannaCry蠕虫利用漏洞的相关信息。

计算机蠕虫具有自我复制、感染性，通过网络自主传播，不需要宿主，独立程序，直接通过网络传播，包括内网和互联网。一般来说，不需要用户交互，通过目标系统的安全漏洞或错误配置进行传播。但对于一小部分蠕虫，用户交互是必要的。
永恒之蓝（Eternal Blue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日， 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，使全世界大范围内遭受了该勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
WannaCry病毒感染后主要行为是将计算机上的多种文件类型文件加密，以此为筹码勒索用户，此外病毒通过随机生成公网IP地址和遍历内网IP地址，访问其445端口，以此快速传播。
病毒的基本工作流程如下：

漏洞的利用：
（1）使用tcp反弹式meterpreter作为渗透操作模块，默认本地4444端作为连接端口.
（2）使用exploit/windows/smb/ms17010_eternalblue模块进行渗透。通过meterpreter可以进行提权，记录键盘，上传下载文件，监视摄像头等操作。
（3）…

(参考链接 https://www.cnblogs.com/yuxi-blog/p/12077207.html)

五、ZoomEye

利用ZoomEye搜索一个西门子公司工控设备，并描述其可能存在的安全问题。

在火狐中搜索并打开 ZoomEye 中的工业控制系统的查找网址：

然后找到设备（Products）下的西门子公司（Siemens），找到其中的一个：


我选择了第二个“PLC”
打开进入相应页面，列出了所有关于该类设备的相应信息：

点击“相关漏洞”，对不同类型漏洞分别进行查看。
如下漏洞：

Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。源代码以类BSD许可证的形式发布。Nginx 已经因为它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。Nginx出现了安全漏洞，那么利用这些漏洞可以对Web服务器进行渗透攻击。

Joomla：是一套网站内容管理系统。Joomla3.5.0-3.8.5 版本对 SQL 语句内的变量缺少类型转换，导致 User Notes 列表视图内 SQL 注入漏洞，可使攻击者访问或修改数据等。

Apache httpd：利用该漏洞可以造成身份验证被绕过以及拒绝服务攻击等。

Dedecms：该漏洞涉及到前台用户密码可以任意修改，以及任意用户空密码登陆，织梦
后台管理员密码任意修改的漏洞。前台用户密码修改主要是通过 dedecms 的用户安全
机制问题，当用户登陆的时候会记录用户的 cookies，通过 cookies 可以绕过安全机制，直接登陆用户的控制面板。

Wordpress：利用 wordpress 漏洞可以删除网站上的任意文件，影响危害严重，甚至是
致命的一个漏洞，如果被攻击者利用，后果将不堪设想。

Microsoft iis httpd：IIS 是由微软公司提供的基于运行 Microsoft Windows 的互联
网基本服务，其 7.0、7.5 版本在 URI 中出现 xxx.jpg/xxx.php 这样形式的访问时与后端 FastCGI 处理不一致，导致攻击者可以通过在图片中嵌入 PHP 代码，然后以
xxx.jpg/xxx.php 的形式来访问图片，IIS 就会执行图片中的 PHP 代码，导致命令执行漏洞

以第一个“Nginx”为例，点开“了解更多”可查看漏洞的具体内容：

六、数据恢复与取证（WinHex）

1、 elephant.jpg

elephant.jpg不能打开了，利用WinHex修复，说明修复过程。

在 WinHex 下打开文件“ elephant.jpg”，发现其文件头编码为“00 00”

经百度查找.jpg 文件不能打开原因，可知其文件头缺失，头编码应为“FF D8 FF E0”
因此将文件头修改

修复后：

各类头文件编码（来源于https://www.cnblogs.com/gwind/p/8215771.html）：

JPEG (jpg)，文件头：FF D8 FF PNG (png)，文件头：89 50 4E 47 【参考：png文件头详解】89
50 4e 47 0d 0a 1a 0a GIF (gif)，文件头：47 49 46 38 Windows Bitmap
(bmp)，文件头：42 4D [参考：bmp文件格式详解]42 4D 36 0C 30 00 00 00 00 00 36 00 00
00 28 00 00 00 56 05 00 00 00 03 00 00 01 00 18 00 00 00 00 00 00 04
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
python反编译文件pyc的头：03 F3 0D 0A （实验吧，py的交易会用到） pyd的文件头：4D 5A 90 00 ZIP
Archive (zip)，文件头：50 4B 03 04 ascii码部分是PK，可以直接根据PK判断是zip文件，也有可能是doc文件
rar文件: 52 61 72 21 7z文件头：37 7A BC AF 27 1C（实验吧，有趣的文件用到了） MS Word/Excel
(xls.or.doc)，文件头：D0CF11E0 CAD (dwg)，文件头：41433130 Adobe Photoshop
(psd)，文件头：38425053 Rich Text Format (rtf)，文件头：7B5C727466 XML
(xml)，文件头：3C3F786D6C HTML (html)，文件头：68746D6C3E Email [thorough only]
(eml)，文件头：44656C69766572792D646174653A Outlook Express
(dbx)，文件头：CFAD12FEC5FD746F Outlook (pst)，文件头：2142444EMS Access
(mdb)，文件头：5374616E64617264204A WordPerfect (wpd)，文件头：FF575043
Postscript (eps.or.ps)，文件头：252150532D41646F6265 Adobe Acrobat
(pdf)，文件头：255044462D312E Quicken (qdf)，文件头：AC9EBD8F Windows Password
(pwl)，文件头：E3828596 RAR Archive (rar)，文件头：52617221 Wave
(wav)，文件头：57415645 AVI (avi)，文件头：41564920 Real Audio
(ram)，文件头：2E7261FD Real Media (rm)，文件头：2E524D46 MPEG
(mpg)，文件头：000001BA MPEG (mpg)，文件头：000001B3 Quicktime
(mov)，文件头：6D6F6F76 Windows Media (asf)，文件头：3026B2758E66CF11 MIDI
(mid)，文件头：4D546864

2 、笑脸背后的阴霾

图片smile有什么隐藏信息。

在 WinHex 下打开文件“ elephant.jpg”，拉到最下面，我们可以发现一些不一样的地方，最后这里“tom is the killer”

所以图片smile的隐藏信息是“tom is the killer”

3 、尝试使用数据恢复软件恢复你的U盘中曾经删除的文件。

---

总结

（1）利用搜索引擎（Google Hacking（或baidu））查找我们所需要的东西
（2）图像信息提取
（3）了解本地IP的查询
（4）Nmap常用操作
（5）了解了一些ZoomEye的运用
（6）Winhex等16进制软件的使用（文件修复，查看隐藏信息）