20155326刘美岑 Exp6 信息收集与漏洞扫描

实验后回答的问题

（1）哪些组织负责DNS，IP的管理。

全球根服务器均由美国政府授权的ICANN统一管理，负责全球的域名根服务器、DNS和IP地址管理。

全球一共有5个地区性注册机构：ARIN主要负责北美地区业务，RIPE主要负责欧洲地区业务，APNIC主要负责亚太地区业务，LACNIC主要负责拉丁美洲美洲业务，AfriNIC负责非洲地区业务。

（2）什么是3R信息。

注册人(Registrant) 、注册商(Registrar) 、官方注册局(Registry)

（3）评价下扫描结果的准确性

扫描结果比较准确，openvas扫描漏洞后，对漏洞分析的也很全面，同时告诉我们此漏洞可能带来的影响，以及它的解决方法等等。

实践过程记录

一、信息搜集

通过DNS和IP挖掘目标网站的信息

（1）whois域名注册信息查询

在终端输入whois baidu.com可查询到百度3R注册信息，包括注册人的姓名、组织和城市等信息。

注意：进行whois查询时去掉www等前缀，因为注册域名时通常会注册一个上层域名，子域名由自身的域名服务器管理，在whois数据库中可能查询不到。

（2）nslookup,dig域名查询

nslookup可以得到DNS解析服务器保存的Cache的结果，但并不是一定准确的（这里从下面的查询可以得知是一样的）：

dig可以从官方DNS服务器上查询精确的结果：

（3）IP2Location地理位置查询 GeolP2 IP2Location

直接ping一下百度的网站，得到他的IP地址

得到了查询结果

（4）netcraft提供的信息查询服务,能获取到更多的更详细的信息

通过nercraft能获取到更多更详细的信息,可看到DNS管理员sa@baidu.com，托管历史等等。

（5）IP2反域名查询

(6)可以使用shodan搜索引擎进行查询，得到一些注册信息

（7）tracert路由探测

在Linux下使用 traceroute 220.181.57.216 命令探测到百度经过的路由，我们可以通过ip查询到这些路由或者机器的地理位置，分析出数据包所走的路线

由于虚拟机使用的是nat连接，traceroute返回的TTL exceeded消息无法映射到源IP地址、源端口、目的IP地址、目的端口和协议，因此无法反向NAT将消息路由传递回来，所以在Windows下重新进行探测，可以通过网上的ip查询工具查询到这些路由所在地，分析出数据包所走的路线：

中间部分的请求超时应该是由于有些网络设备不允许ping和tracert。

• 通过搜索引擎进行信息搜集

利用搜索命令格式filetype:xxx NAME site:xxx.xxx进行查询

site：搜索范围限定在特定站点中如果知道某个站点中有自己需要找的东西，就可以把搜索范围限定在这个站点中，提高查询效率。
Filetype：搜索范围限定在指定文档格式中查询词用Filetype语法可以限定查询词出现在指定的文档中，支持文档格式有pdf，doc，xls，ppt，rtf,all(所有上面的文档格式)。对于找文档资料相当有帮助。

搜索特定类型的文件

eg：在百度的搜索栏里输入filetype:xls 奖学金 site:edu.cn可以搜索到包括关键字在内的具有xls格式文件的网址。

主机探测和端口扫描

• netdiscover发现

在linux下可以通过执行 netdiscover 命令直接对私有网段192.168..进行主机探测

• nmap扫描

首先，在Kali终端下输入nmap –sn 192.168.223.*扫描存活主机，既可以扫描某一台主机，也可以扫描一整个网段的主机，我扫描了包含我的Win 8主机以及两个vm虚拟机在内的一整个网段，得到了如下结果：

扫描到了我的win 10主机和两个vm 虚拟机。

在Kali终端下输入nmap -sS IP地址可以扫描目标主机开放的tcp端口，-sS表示属于tcp syn扫描。分别扫描了虚拟机xp系统和主机win 8系统，发现了不同的tcp端口的状态和提供的服务。

在Kali终端下输入nmap -sS -sU -top-ports 150 IP地址，-sU表示扫描UDP端口，-top-ports 150表示分别扫描tcp和udp最有可能开放的150个端口。

在Kali终端下输入nmap -sV IP地址检测目标主机的服务版本。

可以看出来win 8的主机和win xp虚拟机的服务版本有很大区别，可以由此推测使用的系统以及系统版本

在Kali终端下输入nmap -O IP地址检测目标主机的操作系统。

可以看到该ip地址的主机MAC地址，使用的是Win xp的SP2或SP3系统

而win 8则被推测出了很多版本。

服务扫描和查点

• SSH服务扫描

开启msf，通过输入指令查看msf中可提供的服务扫描辅助模块，看到有如下模块可以应用ssh_version

选择使用模块，配置参数，接着exploit。

• smb服务的查点

输入use auxiliary/scanner/smb/smb_version使用该模块，修改相关配置后，可发现目标主机的smb版本信息：

• http80服务查点

开启msf：msfconsole，通过输入指令查看msf中可提供的查点辅助模块，use auxiliary/scanner/http/http_version，查看配置参数，并进行相应的配置，然后run。

http80服务查点结果如下，发现了局域网下1台http80服务：

OpenVAS网络漏洞扫描

• 检查安装状态，开启VAS

终端下输入指令：openvas-check-setup，检查安装状态。

提示有错误，按照FIX提示的命令进行修复：

openvas-check-setup
openvasmd --migrate
openvas-manage-certs -a
openvas-manage-certs -a -f
openvasmd
openvas-check-setup

修复之后显示安装成功：

• 使用 openvas-start 开启服务，会自动打开浏览器主页https://127.0.0.1:9392：

这里打开链接时出现了错误。

点击Advanced，点击左下角，将https://127.0.0.1:9392设置为可信任站点,即可正常打开。

在菜单栏选择Tasks–>Task Wizard,新建一个任务向导，在栏里输入待扫描的xp靶机IP地址，并单击Start Scans确认，开始扫描。

这里可以看到系统漏洞。

打开该扫描结果的详细信息，点击Full and fast：

以防火墙为例子点进去查看：

选择其中一个高危漏洞进行分析：

其中summary中显示，远程攻击者可以通过TCP标志字段在ECE位设置绕过防火墙。至少一个防火墙（IPFW）是已知的具有这种行为。已知的易受攻击的系统包括所有的FreeBSD 3，X，4，X，3.5-stable，和4.2-stable。

在其中的solution部分展示了解决方法：需要升级我的防火墙。

实验总结与体会

这次的实验主要是通过信息搜集、漏洞扫描得到可以用于攻击被扫描的靶机的漏洞。在学会了使用filetype:xxx NAME site:xxx.xxx的方法进行深度查询后，我深深地感到了现代社会大数据的可怕，如果这些信息被不法分子利用，后果很严重啊。。。