渗透测试技术 课件 第3章-3.4-主动信息收集.pptx

主动信息收集;主动信息收集方式会对目标网络进行查询及扫描等操作，目标网络可感知到这些恶意的交互，可能会引起目标网络系统的告警及封堵，暴露渗透测试者的身份信息。主动信息收集方式包含了活跃主机扫描、操作系统指纹识别、端口扫描、服务指纹识别等方式。;目录/CONTENTS;活跃主机扫描可让渗透测试人员发现局域网中的所有活跃主机，为后续的横向移动等奠定基础，实现扫描的方式多种多样，可基于ARP、ICMP、TCP等协议实现。;例如使用Metasploit的arp_sweep模块进行活跃主机扫描;使用nmap进行扫描。;目录/CONTENTS;操作系统指纹识别指的是识别某台设备上运行的操作系统的类型。识别的方法是通过分析设备在网络发送的数据包中协议的标记、选项等数据推断发送数据包的操作系统。 通过操作系统指纹识别可以获取操作系统的具体类型，这为后续渗透测试中漏洞利用奠定了基础。;p0f是一款被动探测操作系统指纹的工具。 启用网卡监听 开启浏览器访问，p0f监听到信息;Nmap的“-O”参数可实现操作系统指纹识别。 Windows系统：nmap –o 35 Linux系统：nmap –o 34 ;利用TTL值 TTL起始值： Windows xp(及在此版本之前的windows) 128 (广域网中TTL为65-128) Linux/Unix64(广域网中TTL为1-64) 某些Unix:255 网关:255 ;目录/CONTENTS;每个端口对应了一个网络服务及应用端的程序，通过端口扫描我们可以发现目标系统开放的端口、启用的服务，能够得到更具体的攻击面。 通过端口扫描可以判断出网站开启的服务，从而通过爆破枚举或者漏洞利用进行突破，进一步提升网站权限，端口扫描也是信息收集必备的操作。 ;常见服务对应端口号： 21-ftp 22-ssh 23-telnet 110-POP3 1433-sqlserver 3306-mysql 3389-mstsc 8080-tomcat/jboss 9090-WebSphere 参考链接： /weixinarticle/details/127163220;Scanport 起始IP、结束IP、端口号、线程;Metasploit中提供了端口扫描功能模块，该功能属于辅助模块，具体的模块路径为modules/auxiliary/scanner/portscan/，该路径下的子项目共有ack、ftpbounce、syn、tcp和xmas共5个。 例如：使用auxiliary/scanner/portscan/syn启用端口扫描模块;用Nmap实现端口扫描。 nmap ip（默认扫描1000个常见端口，可以使用-p参数指定全端口扫描） ;目录/CONTENTS;服务指纹识别主要是确定某个服务的版本信息，由于漏洞通常与服务的版本关联，因此服务指纹识别对后续的渗透测试也十分重要。;Amap是一个服务枚举工具，使用这个工具可以识别正运行在一个指定的端口或一个端口范围上的应用程序。Amap的工作原理是向某个端口发送触发的报文，将收到的响应与其数据库中的结果进行匹配，输出与之相匹配的应用程序信息。 Amap命令格式为： amap ip port;Nmap的服务指纹识别也是通过将其收集到的端口信息与自身的服务指纹数据库进行对比匹配实现的，服务版本查询可以用“-sV”参数实现。;目录/CONTENTS;在我们部署了网站之后有很多的敏感文件，比如说配置文件（.cfg)、数据文件(.sql)、目录文件（/backup /conf /admin）。但是有些网站如果配置出现问题，就会被攻击者攻击。这些配置的问题会导致数据库用户名和密码 、服务器的用户名和密码 、数据库的文件、网站源码等等信息都会被入侵。如果黑客获得了相应文件后，就能对网站进行进一步的攻击！;收集方向 robots.txt 后台目录 安装包 上传目录 Mysql管理页面 Phpinfo 编辑器 ;robots.txt是一个协议，而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。 robots.txt必须放置在一个站点的根目录下，而且文件名必须全部小写。 语法： User-agent: 定义搜索引擎的类型 Disallow: 定义禁止搜索引擎收录的地址 Allow: 定义允许搜索引擎收录的地址 ;robots.txt文件的写法 User-agent: * 这里的*代表的所有的搜索引擎种类，*是一个通配符　　 Disallow: /admin/ 这里定义是禁止爬寻admin目录下面的目录　　 Disallow