項(xiàng)目二信息收集【項(xiàng)目概述】

某安全運(yùn)維公司接到一個(gè)任務(wù)，要求對(duì)客戶公司的服務(wù)器進(jìn)行滲透測(cè)試。為保證滲透測(cè)試工作的順利進(jìn)行，首先需要了解客戶公司服務(wù)器的基本情況，收集服務(wù)器的基本信息。已知服務(wù)器的IP地址為00/24，請(qǐng)使用信息收集技術(shù)對(duì)服務(wù)器的其他信息進(jìn)行收集?！卷?xiàng)目分析】

滲透測(cè)試是出于保護(hù)系統(tǒng)的目的，模擬黑客入侵的常見(jiàn)行為，對(duì)目標(biāo)系統(tǒng)進(jìn)行一系列的測(cè)試，從而尋找系統(tǒng)中存在的漏洞。滲透測(cè)試的基本流程分為8個(gè)步驟，即明確目標(biāo)、搜集信息、漏洞探測(cè)、漏洞驗(yàn)證、信息分析、獲取所需信息、信息整理、報(bào)告形成。如圖2-1所示。圖2-1滲透測(cè)試的基本流程在明確目標(biāo)階段，滲透測(cè)試團(tuán)隊(duì)需要與客戶溝通，確定測(cè)試的范圍、限度、需求等，并根據(jù)這些內(nèi)容制定全面、詳細(xì)的滲透測(cè)試方案。而在信息收集階段，測(cè)試團(tuán)隊(duì)可以利用各種方法，獲取更多關(guān)于目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)?、系統(tǒng)配置等信息。收集信息的方式包括掃描、開(kāi)放搜索等。需要收集的信息類型包括：（1）基礎(chǔ)信息：IP、網(wǎng)段、域名、端口。（2）系統(tǒng)信息：操作系統(tǒng)及其版本。（3）應(yīng)用信息：各個(gè)端口應(yīng)用服務(wù)。（4）版本信息：所有探測(cè)到信息的版本。（5）服務(wù)信息：各種高危服務(wù)。（6）人員信息：域名注冊(cè)人員信息、管理員信息、用戶信息等。（7）防護(hù)信息：防護(hù)設(shè)備的信息，如安全狗等。

項(xiàng)目主要內(nèi)容：

任務(wù)一Whois信息查詢?nèi)蝿?wù)二使用Nmap掃描目標(biāo)系統(tǒng)任務(wù)三

使用Nessus掃描目標(biāo)系統(tǒng)任務(wù)二使用Nmap掃描目標(biāo)系統(tǒng)任務(wù)描述信息收集的另一個(gè)重要內(nèi)容是獲取目標(biāo)主機(jī)的系統(tǒng)信息、應(yīng)用信息和版本信息。已知目標(biāo)主機(jī)的IP地址為00/24，請(qǐng)使用Nmap軟件對(duì)目標(biāo)主機(jī)進(jìn)行掃描，獲得目標(biāo)主機(jī)的操作系統(tǒng)類型、開(kāi)放的端口號(hào)、對(duì)應(yīng)的服務(wù)及其版本信息等內(nèi)容。任務(wù)分析

Nmap是一個(gè)網(wǎng)絡(luò)探測(cè)掃描程序。系統(tǒng)管理者可以使用這個(gè)軟件掃描目標(biāo)主機(jī)，獲取主機(jī)正在運(yùn)行的相關(guān)信息。Nmap支持很多掃描技術(shù)，如TCPConnect掃描、TCPSYN掃描、UDP掃描、Ping掃描、FIN掃描、圣誕樹(shù)掃描等。另外，Nmap還提供了一些高級(jí)功能，包括探測(cè)操作系統(tǒng)類型、秘密掃描、動(dòng)態(tài)延時(shí)和重傳計(jì)算、并行掃描等。Nmap軟件有Windows版本和Linux版本。Windows版本包括圖形用戶界面和命令行界面兩種。建議使用命令行界面，操作會(huì)更方便快捷。Kali中也包含有Nmap軟件，同樣是命令行界面。無(wú)論是Windows版本還是Linux版本，命令格式都基本相同，均為：nmap[參數(shù)]目標(biāo)系統(tǒng)的IP/域名/網(wǎng)絡(luò)地址

參數(shù)決定了Nmap軟件的不同功能。Nmap常用的參數(shù)及功能說(shuō)明如表2-1所示。表2-1Nmap常用參數(shù)及功能說(shuō)明參數(shù)功能說(shuō)明-O獲得目標(biāo)主機(jī)的操作系統(tǒng)類型激活對(duì)TCP/IP指紋特征（Fingerprinting）的掃描，檢測(cè)目標(biāo)主機(jī)操作系統(tǒng)網(wǎng)絡(luò)協(xié)議棧的特征。-sPPing掃描向用戶發(fā)送ICMPRequest數(shù)據(jù)包，根據(jù)響應(yīng)的數(shù)據(jù)包判斷目標(biāo)主機(jī)是否在線。-sTTCPConnect掃描啟用Connect()系統(tǒng)調(diào)用，請(qǐng)求建立TCP連接，根據(jù)連接建立成功與否，判斷對(duì)方的TCP端口是否打開(kāi)。-sSTCPSYN掃描發(fā)送一個(gè)TCPSYN包，根據(jù)對(duì)方回應(yīng)，判斷對(duì)方的TCP端口是否打開(kāi)。-sUUDP掃描發(fā)送一個(gè)零字節(jié)的UDP包到目標(biāo)主機(jī)的各個(gè)端口，根據(jù)對(duì)方回應(yīng)判斷對(duì)方的UDP端口是否打開(kāi)。-sV服務(wù)版本掃描掃描系統(tǒng)開(kāi)放服務(wù)的版本信息-A深度掃描可以探測(cè)目標(biāo)主機(jī)的操作系統(tǒng)類型、服務(wù)版本、腳本信息以及路由信息等。-p指定要掃描的端口號(hào)如使用–p20-100，即掃描20-100號(hào)端口。-S欺騙掃描后接IP地址，可以偽裝掃描的源IP地址。-v輸出掃描過(guò)程的詳細(xì)信息這個(gè)選項(xiàng)使用兩次會(huì)輸出更詳細(xì)的信息。任務(wù)實(shí)施本次任務(wù)實(shí)施的拓?fù)涫疽鈭D如圖2-9所示。圖2-9使用Nmap掃描目標(biāo)系統(tǒng)拓?fù)涫疽鈭D1．掃描目標(biāo)主機(jī)是否在線

在Kali命令行中輸入：nmap-sP00，運(yùn)行結(jié)果如圖2-10所示。圖2-10掃描目標(biāo)主機(jī)是否在線2．掃描目標(biāo)主機(jī)打開(kāi)的TCP端口

在Kali命令行中輸入：nmap-sT00，運(yùn)行結(jié)果如圖2-11所示。圖2-11掃描目標(biāo)主機(jī)打開(kāi)的TCP端口

上面命令中使用的參數(shù)“-sT”表示使用的是TCPConnect方式的掃描，也可以使用TCPSYN掃描，其參數(shù)為“-sS”。讀者可以自行實(shí)驗(yàn)。知識(shí)鏈接：TCPConnect掃描與TCPSYN掃描有什么不同？TCPConnect掃描的原理是利用Connect()函數(shù)直接和目標(biāo)系統(tǒng)完成完整的三次握手。如果目標(biāo)系統(tǒng)端口有監(jiān)聽(tīng)程序，則三次握手能夠成功完成。否則，三次握手不能完成。這種掃描的速度和精度都是令人滿意的，也不需要root權(quán)限就能執(zhí)行。但是三次握手的過(guò)程很容易被防火墻記錄，如果防火墻記錄了針對(duì)每一個(gè)端口的三次握手連接成功或失敗的信息，目標(biāo)主機(jī)的管理員就會(huì)發(fā)現(xiàn)自己被掃描了。因此，如果一個(gè)黑客利用TCPConnect掃描目標(biāo)主機(jī)，很容易被發(fā)現(xiàn)。TCPSYN掃描也稱“半打開(kāi)掃描”。掃描軟件向目標(biāo)主機(jī)的一個(gè)端口發(fā)送一個(gè)TCPSYN數(shù)據(jù)包，如果目標(biāo)主機(jī)的這個(gè)端口處于監(jiān)聽(tīng)狀態(tài)，在接到這個(gè)數(shù)據(jù)包后，會(huì)回復(fù)一個(gè)SYN+ACK的數(shù)據(jù)包，如果目標(biāo)主機(jī)的端口處于關(guān)閉狀態(tài)，會(huì)回復(fù)一個(gè)RST的數(shù)據(jù)包。掃描軟件根據(jù)目標(biāo)主機(jī)回復(fù)的數(shù)據(jù)包類型來(lái)判斷目標(biāo)主機(jī)的端口的狀態(tài)。掃描軟件不管收到目標(biāo)主機(jī)的任何數(shù)據(jù)包，都會(huì)回復(fù)一個(gè)RST數(shù)據(jù)包斷開(kāi)此次連接。由于這個(gè)掃描過(guò)程不是一個(gè)完整的三次握手的過(guò)程，防火墻一般不會(huì)記入日志，因此這種掃描更不容易被發(fā)現(xiàn)。但是發(fā)送SYN數(shù)據(jù)包需要有root權(quán)限。3．掃描目標(biāo)主機(jī)打開(kāi)的UDP端口。

在Kali命令行中輸入：nmap-sU00，運(yùn)行結(jié)果如圖2-12所示。圖2-12掃描目標(biāo)主機(jī)打開(kāi)的UDP端口知識(shí)鏈接：掃描結(jié)果中的open、filtered、unfiltered代表什么含義？

計(jì)算機(jī)每個(gè)端口的狀態(tài)有open、filtered、unfiltered三種狀態(tài)。open狀態(tài)意味著這個(gè)端口是開(kāi)放的，處于監(jiān)聽(tīng)狀態(tài)。filtered狀態(tài)表示防火墻、包過(guò)濾和其他網(wǎng)絡(luò)安全軟件掩蓋了這個(gè)端口，禁止Nmap探測(cè)其是否打開(kāi)。unfiltered表示這個(gè)端口關(guān)閉，并且沒(méi)有防火墻/包過(guò)濾軟件來(lái)隔離Nmap的探測(cè)企圖。通常情況下，端口的狀態(tài)基本都unfiltered，所以這種狀態(tài)不顯示。只有在大多數(shù)被掃描的端口處于filtered狀態(tài)下，才會(huì)顯示處于unfiltered狀態(tài)的端口。知識(shí)鏈接：為什么UDP掃描會(huì)得到open|filtered的結(jié)果？UDP掃描的原理是發(fā)送一個(gè)零字節(jié)的UDP信息包到目標(biāo)主機(jī)的各個(gè)端口，如果收到一個(gè)ICMP端口無(wú)法到達(dá)的回應(yīng)，那么該端口是關(guān)閉的，否則可以認(rèn)為是開(kāi)放的。但是由于UDP協(xié)議是無(wú)連接的協(xié)議，其發(fā)出去的ICMP數(shù)據(jù)包可能由于丟失而得不到回應(yīng)，也可能是被防火墻等設(shè)備攔截而得不到回應(yīng)。此時(shí)，不能完全根據(jù)未收到回應(yīng)而判斷該端口是處于開(kāi)放的狀態(tài)。所以UDP掃描的結(jié)果通常會(huì)是open|filtered，也即表示的確沒(méi)有收到這個(gè)端口的應(yīng)答，端口可能是開(kāi)放的，也可能是被防火墻過(guò)濾掉了數(shù)據(jù)包。4．掃描目標(biāo)主機(jī)的操作系統(tǒng)類型。

在Kali命令行中輸入：nmap-O00，運(yùn)行結(jié)果如圖2-13所示。Nmap在掃描目標(biāo)主機(jī)的操作類型的同時(shí)，也會(huì)掃描目標(biāo)主機(jī)打開(kāi)的TCP端口。圖2-13掃描操作系統(tǒng)的信息5．掃描目標(biāo)主機(jī)開(kāi)放服務(wù)的版本

在Kali命令行中輸入：nmap-sV00，運(yùn)行結(jié)果如圖2-14所示。圖2-14掃描目標(biāo)主機(jī)開(kāi)放服務(wù)的版本知識(shí)鏈接：掃描目標(biāo)主機(jī)時(shí)如何獲得服務(wù)和操作系統(tǒng)類型？

獲得服務(wù)和操作系統(tǒng)類型有三種方式：

（1）根據(jù)端口判定：這種判定服務(wù)的方式就是直接利用端口與服務(wù)的對(duì)應(yīng)關(guān)系，如23號(hào)端口對(duì)應(yīng)Telnet服務(wù)，21號(hào)端口對(duì)應(yīng)FTP服務(wù)，80號(hào)端口對(duì)應(yīng)HTTP端口。

（2）根據(jù)Banner判定：很多服務(wù)都配置有Banner信息，用來(lái)在服務(wù)開(kāi)始時(shí)顯示服務(wù)的基本信息。通過(guò)獲取服務(wù)的Banner，可以獲取到軟件開(kāi)發(fā)商、軟件名稱、服務(wù)類型、版本號(hào)等信息。

（3）指紋技術(shù)：是指利用不同操作系統(tǒng)在TCP/IP協(xié)議棧實(shí)現(xiàn)上的差別來(lái)辨識(shí)一個(gè)操作系統(tǒng)。指紋技術(shù)不僅可以辨別操作系統(tǒng)的類型，甚至還可以精確到小版本號(hào)。6．綜合掃