主动信息收集

直接与目标系统交互通信
无法避免留下访问的痕迹
使用受控的第三方电脑进行探测
使用代理或已经被控制的主机
使用噪声迷惑目标,淹没真实的探测流量
发送不用的探测,根据返回结果判断目标状态

发现——二层发现

arping

arping 1.1.1.1 -c 1
arping 1.1.1.1 -d
arping -c 1 1.1.1.1 | grep “bytes from” | cut -d” “ -f 5 | cut -d “(“ -f 2 | cut -d”)” -f 1

Nmap

nmap 1.1.1.1-254 –sn
nmap -iL iplist.txt -sn

Netdiscover

专用于二层发现
可用于无线和交换网络环境
主动和被动探测

主动

netdiscover -i eth0 -r 1.1.1.0/24
netdiscover -l iplist.txt

被动

netdiscover -p

发现——三层发现

优点 可路由 速度比较快
缺点 速度比二层慢 经常被边界防火墙过滤
ip.、icmp协议

Ping

ping 1.1.1.1 -c 2
ping -R 1.1.1./traceroute 1.1.1.1
ping 1.1.1.1 -c 1 | grep “bytes from” | cut -d “ “ -f 4 | cut -d “:” -f 1

Scapy

ip=IP()
ip.dst=“1.1.1.1”
ping=ICMP()
a=sr1(ip/ping)
a.display()

Ping不存在的地址

a=sr1(ip/ping,timeout=1)
a = sr1(IP(dst=“1.1.1.1”)/ICMP(),timeout=1)

Nmap

nmap -sn 1.1.1.1-255
nmap -iL iplist.txt -sn

Fping

fping 1.1.1.1 -c 1
fping -g 1.1.1.1 1.1.1.2

Hping

能够发送几乎任意TCP/IP包
功能强大但每次只能扫描一个目标

发现——四层发现

优点 可路由且结果可靠

  1.        不太可能被防火墙过滤<br />           甚至可以发现所有端口都被过滤的主机

缺点 基于状态过滤的防火墙可能过滤扫描

  1.       全端口扫描速度慢

Scapy

a = sr1(IP(dst=”1.1.1.1”)/TCP(dport=80,flags=’A’) ,timeout=1))

Nmap

nmap 1.1.1.1-254 -PU53 -sn
nmap -iL iplist.txt -PA80 -sn

Hping3

hping3 —udp 1.1.1.1 -c 1
hping3 1.1.1.1 -c 1 (TCP)

端口扫描

端口对应网络服务及应用端程序
服务端程序的漏洞通过端口攻入
发现开放的端口
更具体的攻击面

Nmap

nmap -sU 1.1.1.1
ICMP host-unreachable
nmap 1.1.1.1 -sU -p 53
nmap -iL iplist.txt -sU -p 1-200

TCP端口扫描

基于连接的协议

三次握手
隐蔽扫描
僵尸扫描
全连接扫描
所有的TCP扫描方式都是基于三次握手的变化来判断目标端口状态

隐蔽端口扫描

Scapy

sr1(IP(dst=”192.168.60.3”)/TCP(dport=80),timeout=1,verbose=1)
./syn_scan.py

Nmap

nmap -sS 1.1.1.1 -p 80,21,25,110,443
nmap -sS 1.1.1.1 -p- —open
nmap -sS -iL iplist.txt -p 80,21,22,23

hping3

hping3 1.1.1.1 —scan 80 -S
hping3 1.1.1.1 —scan 80,21,25,443 -S
hping3 1.1.1.1 —scan 0-65535 -S

全连接扫描

nmap -sT 1.1.1.1 -p 80
nmap -sT 1.1.1.1 -p 80-2000
nmap -sT -iL iplist.txt -p 80
Dmitry
dmitry -p 172.16.36.135
dmitry -p 172.16.36.135 -o output
dmitry -s google.com
Nc
nc -nv -w 1 -z 192.168.60.4 1-100

僵尸扫描

发现僵尸机
nmap -p445 192.168.1.133 —script=ipidseq.nse
扫描目标
nmap 172.16.36.135 -sI 172.16.36.134 -Pn -p 0-100

服务扫描

  • 识别开放端口上运行的应用
  • 识别目标操作系统
  • 提高攻击效率

Banner捕获
服务识别
操作系统识别
SMTP分析
防火墙识别

服务扫描——BANNER

nc -nv 1.1.1.1 22

dmitry -p 172.16.36.135
dmitry -pb 172.16.36.135
dmitry -wnpb 域名

nmap -sT 1.1.1.1 -p 22 —script=banner

amap -B 172.16.36.135 21
amap -B 172.16.36.135 1-65535 | grep on

服务扫描——服务识别

Banner信息抓取能力有限
nmap响应特征分析识别服务
nc -nv 1.1.1.1 80
nmap 1.1.1.1 -p 80 -sV

Amap

amap 192.168.1.134 80
amap 172.16.36.135 20-30 qb

操作系统识别

  • 操作系统识别技术

    1.  种类繁多     好产品采用多种技术组合<br />nmap 1.1.1.1 -O<br />xprobe2 1.1.1.1

  • 被动操作系统识别

IDS 抓包分析

  • 被动扫描
  • p0f

    SNMP扫描

    onesixtyone 1.1.1.1 public
    onesixtyone -c dict.txt -i hosts -o my.log -w 100

nmpwalk 192.168.20.199 -c public -v 2c
snmpcheck -t 192.168.20.199
snmpcheck -t 192.168.20.199 -c private -v 2
snmpcheck -t 192.168.20.199 -w

SMB扫描

  • 微软历史上出现安全问题最多的协议
  • 实现复杂
  • 默认开放
  • 文件共享

  • 空会话未身份认证访问

    密码策略 用户名 我组名
    机器名 用户、组SID
    nmap -v -p139,445 192.168.60.1-20
    nmap 192.168.60.4 -p139,445 —script=smb-os-discovery.nse
    nmap -v -p139,445 —script=smb-check-vulns —script-args=unsafe=1 1.1.1.1
    nbtscan -r 192.168.60.0/24
    enum4linux -a 192.168.60.10

    SMTP扫描

    nc -nv 1.1.1.1 25
    nmap smtp.163.com -p25 —script=smtp-enum-users.nse —script-args=smtp-enum-
    users.methods={VRFY}
    nmap smtp.163.com -p25 —script=smtp-open-relay.nse
    smtp-user-enum -M VRFY -U users.txt -t 10.0.0.1

    防火墙识别

  • 防火墙有系列防火墙过滤检测功能

• nmap -sA 172.16.36.135 -p 22

负载均衡识别

DNS
HTTP-Loadbalancing
Nginx
Apache
lbd www.baidu.com
lbd mail.163.com

WAF识别

  • Web应用防火墙

wafw00f -l
wafw00f http://www.microsoft.com
nmap www.microsoft.com —script=http-waf-detect.nse