信息搜集
DNS信息搜集:
ping 域名/ip
whois 域名/ip //查看域名的详细信息
nslookup IP/域名
dig 域名/ip //查看域名解析的详细信息
dig @<dns域名> <待查询域名>
如:dig @
dnsenum
dnsenum -f (域名字典) –dnsserver IP/域名 –o
dnsmap –w –c
dnsmap -w -c (只能输出scv结果)
DNS枚举:
fierce -dns
fierce –dns [–wordlist ]
通过查询 DNS 服务器枚举主机名
类似工具:subDomainsBrute 和 SubBrute 等等
路由信息搜集:
traceroute 目标域名
指纹识别:
操作系统指纹:
nmap -O IP
use auxiliary/scanner/smb/smb_version
xprobe2 ip/域名
xprobe2 -v -p tcp:80:open IP
http 指纹:
nc -nvv ip port
telnet ip port
httsquash –r IP/域名 (backtrack: pentest/scanners/httsquash)
whatweb IP/域名
端口探测
nmap -T4 –sS –Pn IP
nmap -T4 –sV –Pn IP
amap –A IP 端口号
amap –bqv IP 端口号
zmap -p 端口 ip段 -o -B 10M -i eth0
nc v w 1 target z 11000
主机发现
arping -c 请求包数量 IP段
genlist -s 10.10.10.*
nbtscan 192.168.1.1-255
nmap -sP -PN IP段 | grep for
nmap -PU -sn IP段
use auxiliary/scanner/discoveryarp-sweep
netdiscover
fping cat | grep alive >
fping -a -s -f /root/
*IP文件中,每个ip或域名占一行。-g 10.10.10.0 10.10.10.255
主机发现,生成存活主机列表
$ nmap -sn -T4 -oG 192.168.56.0/24 && grep "Status: Up" | cut -f 2 -d ' ' >
注:
我们可以利用其它在线主机作为诱饵主机,这样扫描时会尽量少留下我们自己的ip,增加追查难度。
举例:192.168.1.15,192.168.1.16是诱饵主机,192.168.1.12是我们要扫描的主机
nmap -D192.168.1.15,192.168.1.16,ME -p 21,22,80,443 -Pn 192.168.1.12
参数解释
-D开关表示实施一次诱饵扫描,-D后面紧跟选择好的诱饵主机的IP地址列表并且这些主机都在线
-Pn不发ping请求包,-p选择扫描的端口范围。“ME”可以用来代替输入自己主机的IP。
防火墙探测
版本探测:wafw00f URL
nmap扫描策略
nmap -sP -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 –source-port 53 -T4 -iL tcp-allports-1M-IPs
-iL tcp-allports-1M-Ips:使用产生的IP地址
–source-port 53 :指定发送包的源端口为53,该端口是DNS查询端口,
一般的防火墙都允许来自此端口的数据包
-T:时序级别为4,探测速度比较快
以TCP SYN包方式探测目标机的21,22,23,25,80,113,31339端口,以TCP ACK包方式探测对方80,113,443,10042端口
发送ICMP ECHO/ICMP TIMESTAMP包探测对方主机
只要上述的探测包中得到一个回复,就可以证明目标主机在线。
过滤状态:
nmap -sS -T4 //探测端口开放状态
nmap -sF -T4 // FIN扫描识别端口是否关闭
nmap -sA -T4 // ACK扫描判断端口是否被过滤
nmap -sW -p- -T4 //发送ACK包探测目标端口(只适合TCPIP协议栈)
FIN扫描:收到RST回复说明该端口关闭,否则说明是open或filtered状态。
ACK扫描:未被过滤的端口(无论打开、关闭)都会回复RST包。
将ACK与FIN扫描的结果结合分析,我们可以找到很多开放的端口。例如7号端口,FIN中得出的状态是:open或filtered,从ACK中得出的状态是 unfiltered,那么该端口只能是open的。
电子邮件/用户名/子域名信息搜集工具
theharvester:theharvester -d -l 100 -b bing (通过bing搜集)
通过查找搜集目标用户名
theharvester -d -l 100 -b
Recon-ng工具
root@kali:~/recon-ng# ./recon-ng
[recon-ng][default] > use recon/companies-contacts/linkedin_crawl
[recon-ng][default][linkedin_crawl] > set URL /
[recon-ng][default][linkedin_crawl] > run
查看联系人
[recon-ng][default] > show contacts
利用搜索引擎搜集敏感信息:
以下命令可组合查询,威力更强大(最好不要带 www,因为不带的话可以检测二级域名)
site:域名(指定查某站点的所有页面)
inurl:inc(sql,bak,sql,mdf,login) //搜索含指定文件的页面
filetype:mdb //查找指定文件
inurl:"Vieweframe?Mode= //搜索在线监控设备
intext:to parent directory //IIS配置不当可遍历目录
parent directory site:
例:
site: inurl:login(登录):
site: filetype:mdb(inc,conf,sql):
intext:to parent directory intext:to parent directory
site: inurl:asp?id=
site: intext:管理|后台|登陆|
用户名|密码|验证码|系统|帐号|manage|admin|login|system
site: inurl:login|admin|manage|manager|admin_login|login_admin|system
自动化信息搜集和安全审计工具:
Unicornscan
Unicornscan 是一个信息收集和安全审计的工具。
us H msf Iv IP p 165535
us H mU Iv IP p 1 65535
H 在生成报告阶段解析主机名 Iv 详细结果
m 扫描类型 ( sf: tcp , U:udp )
Metagoofil 元数据收集工具
$ python d t doc,pdf l 200 n 50 o examplefiles f
Samba探测
利用smbclient工具可以获得这个TCP的139端口服务的旗标
smbclient -L 192.168.50.102 -N
smbclient连接到192.168.50.102,然后显示服务信息。-N选项表示没有目标的root密码。
我们可以利用这个服务的版本信息来搜索针对这个服务可能存在的漏洞,如:searchploit samba
枚举 Samba
nmblookup A target
smbclient //MOUNT/share -I target -N
rpcclient U "" target
enum4linux target
SNMP探测
: snmputil walk 目标IP public .1.3.6.1.4.1.77.1.2.25
(.1.3.6.1.4.1.77.1.2.25 "目标标识符(OID)",是为了得到更多信息)
:(net-snmp工具包)
snmpget -c public -v 2c 目标IP public .0(=wave)
snmpwalk -c public -v 2c 目标IP #更快窃取MIB(与OID有关)
枚举 SNMP
snmpget v 1 c public IP
snmpwalk v 1 c public IP
snmpbulkwalk v2c c public Cn0 Cr10 IP
snmp自动探测工具
windows: SNScan(Security Solutions for Cloud, Endpoint, and Antivirus)
linux: onesixtyone
nmblookup -A target
smbclient //MOUNT/share -I target -N rpcclient -U "" target 枚举Snmp
挂载远程 Windows 共享文件夹
smbmount ///c$ /mnt/remote/ -o username=user,password=pass,rw
mount –t smbfs //192.168.0.103/c /mnt/remote -o username=administrator
//192.168.2.230/job /mnt/share -o username=administartor%123456
smbclient //192.168.1.114/d -U administrator%333333
新版:
mount -t cifs -o username=user,pass=password //127.0.0.1/shared /mnt
linux下NetBIOS信息探测: nmbscan 工具(Homepage of NMBscan)
服务扫描
服务扫描
服务:
nmap -sS -PS80 -p 80 –oG
use auxiliary/sanner/http/webdav_scanner(Webdav服务器)
服务:
Nmap
use auxiliary/sanner/ssh/ssh_version
猜解:use auxiliary/sanner/ssh/ssh_login
服务
use auxiliary/sanner/telnet/telnet_version
服务
use auxiliary/sanner/ftp/ftp_version
use auxiliary/sanner/ftp/anonymous //探测是否允许匿名登录
服务:
猜解:use auxiliary/smb/smb_login(易被记录)
use exploit/windows/smb psexec #凭证攻击登录域控制器
use auxiliary/admin/smb/psexec_command #命令执行
服务:
nmap -sS -p 1521 IP
use auxiliary/sanner/oracle/tnslsnr_version
服务:
nmap -sS -p T:1433,U:1434 IP nmap –sU 192.168.33.130 -p1434
use auxiliary/sanner/mssql/mssql_ping
服务:
use auxiliary/sanner/mysq/mysql_version发现mysql服务
use auxiliary/scanner/mysql/mysql
服务
use auxiliary/sanner/vnc/vnc_none_auth //探测VNC空口令
服务:
use auxiliary/sanner/snmp/snmp_enum
猜解:use auxiliary/sanner/snmp_login
admsnmp IP –wordfile [-outputfile <name>]
利用字符串获取系统信息:./ IP 字符串 ()
11.OpenX11空口令:
use auxiliary/scanner/x11/open_x11
当扫描到此漏洞的主机后可以使用 xspy工具来监视对方的键盘输入:cd/pentest/sniffers/xspy/
xspy –display 192.168.1.100:0 –delay 100