2016年4月19号渗透学习总结

kali linux端口和服务扫描

端口扫描

端口对应网络服务及应用端程序

服务端程序的漏洞通过端口攻入

发现开放的端口

更具体的攻击面

udp端口扫描

如果目标系统不响应icmp就可能产生误判

完整的udp扫描，准确性高，耗时巨大

端口关闭：端口不可达

端口开放：没有回包

了解每一种基于udp应用层包结构很有帮助

与三层相同的技术

误判

scapy

sr1(IP(dst="1.1.1.1")/UDP(dport=53),timeout=1,verbose=1)

./udp_scan.py 1.1.1.1 100

nmap

nmap -sU 192.168.1.104

其中有默认的1000个端口

nmap -sU 192.168.1.104 -p53（指定端口)

nmap -sU 192.168.1.104 -p-(1-65535)

nmap -iL iplist.txt -sU -p 1-200

tcp端口扫描

基于链接的协议

三次握手

隐蔽扫描

僵尸扫描（比隐蔽扫描更隐蔽，不和目标直接联系）

全链接扫描

所有的TCP扫描方式都是基于三次握手的变化，来判断端口的状态

隐蔽扫描----syn

不建立完整连接

应用日志不记录扫描行为

僵尸扫描

极度隐蔽

实施条件苛刻

可伪造源地址

选择僵尸机，闲置系统，系统使用递增的IPID（0，随机，这些都不行）

隐蔽端口扫描

Syn----syn/ack-----rst

scapy

1.a=sr1(IP(dst="192.168.1.110")/TCP(flags="S"),timeout=1,verbose=1)

or:a=sr1(IP(dst="192.168.1.110")/TCP(flags="S",dport=22),timeout=1,verbose=1)

2../syn_scan.py(脚本运行命令)

nmap(强大的扫描工具)

nmap -sS 1.1.1.1 -p1-100 --open

nmap -sS 1.1.1.1 -p 1-65535 --open

nmap -sS -iL iplist.txt -p 80,22,23,21

nmap -sS 1.1.1.1 -p- --open

hping3

hping3 1.1.1.1 --scan 80 -S (发syn包)

hping3 1.1.1.1 --scan 80,21,25,443 -S

hping3 1.1.1.1 --scan 0-65535 -S

hping3 -c 10 -S -spoof 1.1.1.2 -p ++1 1.1.1.3  （-c 10 -S 表示发10个syn包，地址欺骗将1.1.1.1的地址改为1.1.1.2，目标为1.1.1.3，-p ++1和前面的10表示每次端口+1从1-10扫描这十个端口，这样必须要登陆1.1.1.2这台电脑抓包才能看到扫描结果）

全连接端口扫描（不隐蔽,可在过滤严格的条件下扫描）

scapy

syn扫描不需要raw packets

内核认为syn/ack是非法包，直接发rst中断连接

全连接扫描对scapy比较困难

a=sr1(IP(dst="192.168.1.110")/TCP(dport=22,flags="S"))

namp

nmap -sT 1.1.1.1 -p 80

nmap -sT 1.1.1.1 -p 80,21,25

nmap -sT 1.1.1.1 -p 80-2000

nmap -sT -iL iplist.txt -p 80

默认1000个常用端口

dmitry

功能简单但使用简便

默认150个最常用的端口

dmitry -p 192.168.1.110

dmitry -p 192.168.1.110 -o output

nc

nc -nv -w 1 -z 192.168.1.110 1-100(定义超时时间为1秒，-z表示扫描)

for x in $(seq 20 30);do nc -nv

for x in $(seq 20 30); do nc -nv -w 1 -z 1.1.1.$x 80;done

僵尸扫描：闲置机不用完全限制，只要没有三层的IP通信就可以。

xp之前的电脑符合要求，现在的操作系统不行。

scapy----zonbie.py

只有scapy和nmap支持僵尸扫描

1.i=IP（）

2.t=TCP()

3.rz=(i/t)  (向僵尸机发的数据包)

4.rt=(i/t)    （向目标机发的数据包）

5.rz[IP].dst="僵尸机地址"

6.rz[TCP].dport=445   (僵尸机开放的端口)

7.rz[TCP].flags="SA"  (syn+ack包)

8.rt[IP].src="僵尸机地址"

9.rt[IP].dst="目标机地址"

10.rt[TCP].dport=25  (目标机要扫描的端口)

11.rt[TCP].flags="S"

12.az1=sr1(rz)

13.ar=sr1(rt,timeout=1)

14.az2=sr1(rz)

15.az1  (显示包)

16.az2  (比较ipid   如果加了2表示开启如果加了1表示没有开启)

nmap

发现僵尸机

nmap -p445 1.1.1.1 --script=ipidseq.nse

扫描目标

nmap 本机ip -sI 僵尸ip -Pn -p 0-100

服务扫描

识别端口上运行的应用

识别目标操作系统

提高攻击效率

banner捕获

服务识别  （识别软件版本，找漏洞进行针对性攻击）

操作系统识别   （操作系统自带服务也有可能有漏洞）

snmp分析

防火墙识别

banner信息

软件开发商

软件名称

服务类型

版本号

直接发现已知的漏洞和弱点

链接建立后直接获取banner

另类服务识别方法

特征行为和响应字段

不同的响应可用于识别底层操作系统

snmp

简单网络管理协议

community strings   （身份认证信息）

信息查询或重新配置

识别和绕过防火墙筛选

服务扫描----banner

nc

1.nc-nv 1.1.1.1 22 (22是端口号可以识别ssh的一些信息)

2.get /

python socket

socket模块用于网络连接服务

1.python

2.import socket

3.banner=socket.socket(socket.AF_INET,socket.SOCK_STREAM)

4.banner.connect(("192.168.1.110",21))

5.banner.recv(4096)   (接收数据，指定数据大小为4096)

6.banner.close()

7.exit()

banner如果不允许抓取，recv函数无返回将挂起。需要通过脚本来运行

dmitry

dmitry -p 192.168.1.110

dmitry -pb 192.168.1.110

nmap

nmap -sT 1.1.1.1 -p 22 --script=banner

nmap -sT 1.1.1.1 -p1-100 --script=banner.nse

amap

amap -B 192.168.1.110 21

amap -B 192.168.1.110 1-65535

amap -B 192.168.1.110 1-65535 | grep on

服务扫描----服务识别

banner信息抓取能力有限

nmap相应特征分析识别服务

发送系列复杂的探测

根据相应特征signature

nc -nv 1.1.1.1 80

nmap 1.1.1.1 -p 80 -sV   (经常用到，准确度高)

amap

amap 192.168.1.110 80

amap 192.168.1.110 1-100 (-q)加上-q让信息更整齐

amap 192.168.1.110 1-100 -qb  信息更详细

今天本来还想学一个新漏洞呢，但是学了一半时间不够了，只能等到明天了。