利用TTL起始值判斷操作系統(tǒng),不同類型的操作系統(tǒng)都有默認(rèn)的TTL值(簡陋掃描,僅作參考)

TTL起始值:Windows xp(及在此版本之前的windows)? 128 (廣域網(wǎng)中TTL為65-128)

? ? Linux/Unix64(廣域網(wǎng)中TTL為1-64)

? ? 某些Unix:255

? ? 網(wǎng)關(guān):255

使用python腳本進(jìn)行TTL其實(shí)質(zhì)判斷

使用nmap識別操作系統(tǒng):nmap -O 192.168.45.129 #參數(shù)-O表示掃描操作系統(tǒng)信息,nmap基于簽名,指紋,特征,CPE編號等方法去判斷目標(biāo)系統(tǒng)的信息

CPE:國際標(biāo)準(zhǔn)化組織,制定了一套標(biāo)準(zhǔn),將各種設(shè)備,操作系統(tǒng)等進(jìn)行CPE編號,通過編號可以查詢到目標(biāo)系統(tǒng)

使用xprobe2進(jìn)行操作系統(tǒng)識別,專門用來識別目標(biāo)操作系統(tǒng):xprobe2 192.168.45.129,但結(jié)果并不是很精確

被動操作系統(tǒng)識別:不主動向目標(biāo)主機(jī)發(fā)數(shù)據(jù)包,基于網(wǎng)絡(luò)監(jiān)聽原理

通過抓包分析,被動掃描,使用kali中的p0f工具進(jìn)行網(wǎng)絡(luò)監(jiān)聽

p0f:p0f是一種被動指紋識別工具，可以識別您連接的機(jī)器，連接到您的盒子的機(jī)器，甚至連接在盒子附近的機(jī)器，即使該設(shè)備位于數(shù)據(jù)包防火墻后面。

p0f的使用:只要接收到數(shù)據(jù)包就可以根據(jù)數(shù)據(jù)包判斷其信息,首先輸入p0f,然后在瀏覽器里面輸入目標(biāo)系統(tǒng)的網(wǎng)址,便會獲得目標(biāo)系統(tǒng)的信息

或者使用p0f結(jié)合ARP地址欺騙識別全網(wǎng)OS

snmp掃描:簡單網(wǎng)絡(luò)管理協(xié)議,明文傳輸,使用網(wǎng)絡(luò)嗅探也可獲取到信息

SNMP是英文"Simple Network Management Protocol"的縮寫，中文意思是"簡單網(wǎng)絡(luò)管理協(xié)議"。SNMP是一種簡單網(wǎng)絡(luò)管理協(xié)議，它屬于TCP/IP五層協(xié)議中的應(yīng)用層協(xié)議，用于網(wǎng)絡(luò)管理的協(xié)議。SNMP主要用于網(wǎng)絡(luò)設(shè)備的管理。由于SNMP協(xié)議簡單可靠 ，受到了眾多廠商的歡迎，成為了目前最為廣泛的網(wǎng)管協(xié)議。

snmp的基本思想是為不同種類、不同廠家、不同型號的設(shè)備定義一個統(tǒng)一的接口和協(xié)議，使管理員可以通過統(tǒng)一的外觀面對這些需要管理的網(wǎng)管設(shè)備進(jìn)行管理，提高網(wǎng)管管理的效率，簡化網(wǎng)絡(luò)管理員的工作。snmp設(shè)計(jì)在TCP/IP協(xié)議族上，基于TCP/IP協(xié)議工作，對網(wǎng)絡(luò)中支持snmp協(xié)議的設(shè)備進(jìn)行管理。

在具體實(shí)現(xiàn)上，SNMP為管理員提供了一個網(wǎng)管平臺(NMS)，又稱為管理站，負(fù)責(zé)網(wǎng)管命令的發(fā)出、數(shù)據(jù)存儲、及數(shù)據(jù)分析。被監(jiān)管的設(shè)備上運(yùn)行一個SNMP代理(Agent))，代理實(shí)現(xiàn)設(shè)備與管理站的SNMP通信。如下圖

管理站與代理端通過MIB進(jìn)行接口統(tǒng)一，MIB定義了設(shè)備中的被管理對象。管理站和代理都實(shí)現(xiàn)了相應(yīng)的MIB對象，使得雙方可以識別對方的數(shù)據(jù)，實(shí)現(xiàn)通信。管理站向代理申請MIB中定義的數(shù)據(jù)，代理識別后，將管理設(shè)備提供的相關(guān)狀態(tài)或參數(shù)等數(shù)據(jù)轉(zhuǎn)換為MIB定義的格式，應(yīng)答給管理站，完成一次管理操作。

已有的設(shè)備，只要新加一個SNMP模塊就可以實(shí)現(xiàn)網(wǎng)絡(luò)支持。舊的帶擴(kuò)展槽的設(shè)備，只要插入SNMP模塊插卡即可支持網(wǎng)絡(luò)管理。網(wǎng)絡(luò)上的許多設(shè)備，路由器、交換機(jī)等，都可以通過添加一個SNMP網(wǎng)管模塊而增加網(wǎng)管功能。服務(wù)器可以通過運(yùn)行一個網(wǎng)管進(jìn)程實(shí)現(xiàn)。其他服務(wù)級的產(chǎn)品也可以通過網(wǎng)管模塊實(shí)現(xiàn)網(wǎng)絡(luò)管理，如Oracle、WebLogic都有SNMP進(jìn)程，運(yùn)行后就可以通過管理站對這些系統(tǒng)級服務(wù)進(jìn)行管理。

使用UDP161端口(服務(wù)端),162端口(客戶端),可以監(jiān)控網(wǎng)絡(luò)交換機(jī),防火墻,服務(wù)器等設(shè)備

可以查看到很多的信息,但經(jīng)常會被錯誤配置,snmp里面

有一些默認(rèn)的Community,分別是Public/private/manager

如果目標(biāo)的community是public,那么就可以發(fā)送SNMP的查詢指令,對IP地址進(jìn)行查詢

在kali中存在對snmp掃描的工具,為onesixtyone

在Windows XP系統(tǒng)安裝SNMP協(xié)議:

1,在運(yùn)行框輸入appwiz.cpl

2,找到管理和監(jiān)控工具,雙擊

3,兩個都勾選,然后點(diǎn)OK

使用onesixtyone對目標(biāo)系統(tǒng)進(jìn)行查詢:命令為:onesixtyone 192.168.45.132? public

? onesixtyone -c? 字典文件? -I? 主機(jī)? -o 倒入到的文件 -w 100

onesixtyone默認(rèn)的字典在:/usr/share/doc/onesixtyone/dict.txt

使用snmpwalk查找目標(biāo)系統(tǒng)的SNMP信息:snmpwalk 192.168.45.129 -c public -b 2c

snmpcheck -t? 192.168.45.129

snmpcheck -t? 192.168.45.129 -w? 參數(shù)-w檢測是不是有可寫權(quán)限

SMB協(xié)議掃描:server message block,微軟歷史上出現(xiàn)安全問題最多的協(xié)議,在Windows系統(tǒng)上默認(rèn)開發(fā),實(shí)現(xiàn)文件共享

在Windows系統(tǒng)下管理員的Sid=500,

SMB掃描:nmap -v -p 139,445 192.168.45.132 --open 參數(shù)-v表示顯示詳細(xì)信息,參數(shù)--open表示顯示打開的端口

nmap 192.168.45.132 -p 139,445 --script=smb-os-discovery.nse

smb-os-discovery.nse:這個腳本會基于SMB協(xié)議去判別操作系統(tǒng),主機(jī)名,域名,工作組和當(dāng)前的時間

nmap -v -P 139,445 --script=smb-check-vulns? --script-args=unsafe=1 192.168.45.132

腳本smb-check-vulns:檢查已知的SMB重大的漏洞

后面給腳本定義參數(shù) --script-args=unsafe=1,unsafe可能會對系統(tǒng)有傷害,導(dǎo)致宕機(jī),但要比safe準(zhǔn)確

nbtscan -r 192.168.45.0/24參數(shù)-r使用本地137端口進(jìn)行掃描,兼容性較好,可以掃描一些老版本的Windows

nbtscan可以掃描同一局域網(wǎng)不同的網(wǎng)段,對于局域網(wǎng)掃描大有裨益

enum4linux -a 192.168.45.132 :

SMTP掃描:目的在于發(fā)現(xiàn)目標(biāo)系統(tǒng)的郵件賬號

使用nc -nv 192.168.45.132 25

VRFY root :確定是不是有root用戶

nmap掃描SMTP服務(wù):

nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args=smtp-enum-

users.methods={VRFY}

腳本smtp-enum-users.nse用于發(fā)現(xiàn)遠(yuǎn)程系統(tǒng)上所有user的賬戶

nmap smtp.163.com -p25 --script=smtp-open-relay.nse,如果郵件服務(wù)器打開了open-relay功能,那么黑客可以拿管理員的郵箱去發(fā)送釣魚郵件

防火墻識別:通過檢查回包,可能識別端口是否經(jīng)過防火墻過濾

設(shè)備多種多樣,結(jié)果存在一定的誤差

第一種情況:攻擊機(jī)向防火墻發(fā)送SYN數(shù)據(jù)包,防火墻沒有給攻擊機(jī)回復(fù),攻擊機(jī)再發(fā)送ACK數(shù)據(jù)包,若防火墻返回RST數(shù)據(jù)包,那么證明該端口被防火墻過濾

第二種類似

第三種:攻擊機(jī)向防火墻發(fā)送SYN數(shù)據(jù)包,防火墻返回SYN+ACK或者SYN+RST數(shù)據(jù)包,攻擊者再發(fā)送ACK數(shù)據(jù)包,若防火墻返回RST數(shù)據(jù)包,那么就可以證明防火墻對于該端口沒被過濾.unfiltered=open

第四種情況類似,證明該端口是關(guān)閉的,或者防火墻不允許其他用戶訪問該端口

使用python腳本去判定:

使用nmap去進(jìn)行防火墻識別:nmap有系列防火墻過濾檢測功能

nmap -sA 192.168.45.129 -p 22 參數(shù)-sA表示向目標(biāo)主機(jī)發(fā)送ACK數(shù)據(jù)包,參數(shù)-sS表示向目標(biāo)發(fā)送SYN數(shù)據(jù)包,通過抓包分析收到的數(shù)據(jù)包判斷是否有防火墻檢測功能

負(fù)載均衡識別:負(fù)載均衡可以跟為廣域網(wǎng)負(fù)載均衡和服務(wù)器負(fù)載均衡

在kali中使用lbd命令用于識別負(fù)載均衡機(jī)制

格式:lbd +域名/IP地址,如lbd www.baidu.com

WAF識別:WEB應(yīng)用防火墻,在kali中最常用的waf檢測掃描器

輸入:wafw00f -l:可以檢測出這個工具可以檢測到的waf類別

探測微軟公司的WAF:wafw00f? http://www.microsoft.com

使用nmap中的腳本去掃描目標(biāo)網(wǎng)站使用的waf信息:nmap? www.microsoft.com? --script=http-waf-detect.nse

腳本詳情:

nmap補(bǔ)充:

參數(shù):-iL:把IP地址做成文件,使用該參數(shù)掃描這個文件里面的IP! nmap -iL ip.txt

-iR:隨機(jī)選取目標(biāo)進(jìn)行掃描,后面跟需要掃描的主機(jī)個數(shù),例:nmap -iR? 20? -p 22:隨機(jī)掃描20個主機(jī)的22號端口,默認(rèn)發(fā)送SYN數(shù)據(jù)包

參數(shù)-sn表示不做端口掃描

參數(shù)-Pn表示跳過主機(jī)發(fā)現(xiàn),掃描所有在線的主機(jī),掃防火墻幫助很大

參數(shù)p0表示進(jìn)行IP協(xié)議ping

參數(shù)-n/-R表示不進(jìn)行DNS解析

參數(shù)--dns-servers表示指定一個DNS服務(wù)器去解析

參數(shù)--traceroute表示進(jìn)行路由追蹤

參數(shù)-sM表示發(fā)送ACK+FIN

參數(shù)-sF發(fā)送FIN數(shù)據(jù)包

參數(shù)-sV根據(jù)特征庫匹配開放的服務(wù),加上參數(shù)--version-intensity 后面加等級,0最小,9最完善

參數(shù)--script=腳本名

參數(shù)--script=arge.腳本.腳本名

參數(shù)--script-updatedb更新腳本

參數(shù)--script-help=腳本名? 查看腳本的信息

參數(shù)-O檢測操作系統(tǒng)類型

參數(shù)--scan-delay 表示每次探測間隔多長時間,后面?zhèn)€時間,如nmap 192.168.45.132 --scan-delay 10s :間隔十秒

參數(shù)-f表示設(shè)置MTU最大傳輸單元

參數(shù)-D表示偽造源地址,增加一些虛假的掃描IP,例:nmap? -D 192.138.1.1,192.151.141.4? 172.16.45.1? :掃描172.16.45.1主機(jī),用這兩個地址做干擾,防止被發(fā)現(xiàn)

參數(shù)-S表示偽造源地址,但要獲取得到的IP地址,那么就得登陸到偽造的IP上

參數(shù)--proxies指定代理服務(wù)器

參數(shù)--spoof-mac欺騙mac地址 nmap 10.1.1.1? --spoof-mac=00:11:22:33:44:55

參數(shù)-6表示掃描IPv6