第3章-3.2-信息收集工具

信息收集工具在渗透测试初期进行资产收集的时候，可以借助一些工具进行综合信息收集，例如Nmap、Recon-NG、Maltego等工具对目标进行全方位的信息收集。前言目录/CONTENTSNmapRecon-NGMaltegoNmap（NetworkMapper）是一个网络连接端口扫描软件，最初是由Gordon

Fyodor

Lyon在1997年开始创建的，它可以用来扫描网络上活跃的主机，各主机开放的端口，确定哪些服务运行在哪些端口，推断计算机运行哪个操作系统。Nmap的功能十分全面，前面提到的活跃主机扫描、操作系统指纹识别、端口扫描和服务指纹识别都可以用其实现。Nmap介绍Nmap向目标主机发送报文并根据返回报文将端口的状态分为六种。open（开放的）：端口处于开放状态，当Nmap使用TCPSYN对目标主机某一范围的端口进行扫描时，如果目标主机返回SYN+ACK的报文，则证明该端口为开放状态，开放的端口都可能成为攻击的入口。Closed（关闭的）：端口上没有应用在监听但该端口依旧是可访问的，可用于活跃主机扫描和操作系统探测等，当Nmap使用TCPSYN对目标主机某一范围的端口进行扫描时，如果返回RST类型的报文，则端口处于关闭状态。filtered（被过滤的）：到达该端口的数据包会被过滤，因此探测类的报文可能会得不到响应。例如由于报文无法到达指定的端口，Nmap不能够决定端口的开放状态。Nmap介绍unfiltered（未被过滤的）：到达该端口的数据包未被过滤，该端口是可被访问的，但端口是否开放不能确定。这种状态和filtered的区别在于：unfiltered的端口能被Nmap访问，但是Nmap根据返回的报文无法确定端口的开放状态，而filtered的端口直接就没能够被Nmap访问。open|filtered（开放或者被过滤的）：该端口开放或是被过滤的状态不能确定，这种状态主要是nmap无法区别端口处于open状态还是filtered状态。closed|filtered（关闭或者被过滤的）：该端口关闭或是被过滤的状态不能确定，这种状态主要出现在Nmap无法区分端口处于closed还是filtered时。Nmap介绍Nmap命令：nmap发现的原理无非就是，发送数据包到目标主机，依据响应报文来识别已经开放的端口等信息等，属于主动攻击。nmap[<扫描类型>...][<选项>]{<扫描目标说明>}扫描类型默认使用-sTNmap介绍扫描的目标：可以是主机名、IP地址、网络等(可以使用逗号,指定不连续的ip段减号-指定连续ip段斜杠/指定掩码星号*代表全部)例如：、/24、;10.0.0-255.1-254-iL<inputfilename>：从文件中读取要扫描的主机列表-iR<主机数量>：选择随机目标#0为无限生成--exclude<host1[,host2][,host3],...>：要排除的主机/网络--excludefile<exclude_file>：从文件中选择要排除的主机列表Nmap介绍主机发现：-sL：列表扫描-打印主机的列表(对域名进行扫描时，可以得到IP列表)-sn：Ping扫描，同时禁用端口扫描，用来检查主机存活状态。-Pn：禁用Ping扫描，默认所有主机都是存活状态-PS/PA/PU/PY[端口列表]：对指定的端口通过TCPSYN/ACK、UDP或SCTP扫描来发现主机-PE/PP/PM：对指定的端口通过ICMP、时间戳和网络掩码请求发现和探测主机-PO[协议列表]：IP协议Ping-n/-R：不进行DNS解析/进行DNS解析[默认]--dns-servers<serv1[,serv2],...>：指定自定义DNS服务器--system-dns：使用操作系统的DNS解析器--traceroute：跟踪每个主机的跃点路径Nmap介绍扫描技术：-sS/sT/sA/sW/sM：TCPSYN/Connect()/ACK/Window/Maimon扫描-sU：UDP扫描-sN/sF/sX：TCPNull、FIN和Xmas扫描--scanflags<flags>：自定义TCP扫描标志-sI<僵尸主机[:僵尸端口]>：空闲扫描-sY/sZ：SCTPINIT/COOKIE-ECHO扫描-sO：IP协议扫描-b<FTP中继主机>：FTP反弹扫描Nmap介绍指定扫描端口、扫描顺序：-p<端口范围>：只扫描指定的端口例如：-p22；-p1-65535；-pU:53,111,137,T:21-25,80,139,8080,S:9--exclude-ports<端口范围>：从扫描中排除指定端口-F：快速模式。扫描比默认扫描更少的端口-r：连续扫描端口。不要随机化，即按顺序扫描端口--top-ports<number>：扫描<number>个最常用的端口--port-ratio<ratio>：扫描比<ratio>更常见的端口Nmap介绍操作系统检测：-O：启用操作系统检测--osscan-limit：将操作系统检测限制为有希望的目标--osscan-guess：更积极地猜测操作系统Nmap介绍服务/版本检测：-sV：探测开放端口以确定服务/版本信息--version-intensity<level>：设置从0（轻）到9（尝试所有探针）--version-light：限制最可能的探测（强度2）--version-all：尝试每一个探测（强度9）--version-trace：显示详细的版本扫描活动（用于调试）Nmap介绍脚本扫描：-sC：相当于--script=default--script=<Luascripts>:使用脚本进行扫描，多个脚本时用逗号分隔，支持通配符。--script-args=<n1=v1,[n2=v2,...]>：为脚本提供参数--script-args-file=filename：从文件中提供NSE脚本参数--script-trace：显示所有发送和接收的数据--script-updatedb：更新脚本数据库。--script-help=<Lua脚本>：显示有关脚本的帮助。Nmap介绍防火墙/IDS逃避和欺骗：-f;--mtu<val>:分片数据包（可选地w/给定的MTU）-D<诱饵IP1,诱饵IP2[,本机IP],...>：使用诱饵隐藏扫描。即发送参杂着假ip的数据包检测-S<IP地址>：欺骗源地址。就是伪造源主机IP地址。-e<网络接口>：指定从哪个网卡发送和接收数据包。-g/--source-port<portnum>：使用给定的端口号。针对防火墙只允许的源端口Nmap介绍--proxies<url1,[url2],...>:通过HTTP/SOCKS4代理中继连接--data<hexstring>：将自定义有效负载附加到发送的数据包--data-string<string>：将自定义ASCII字符串附加到发送的数据包中--data-length<num>：将随机数据附加到发送的数据包中。改变发生数据包的默认的长度，防止被识别出来。--ip-options<options>：发送带有指定ip选项的数据包--ttl<val>：设置IP生存时间字段--spoof-mac<mac地址/前缀/供应商名称>：欺骗你的MAC地址--badsum：发送带有虚假TCP/UDP/SCTP校验和的数据包Nmap介绍以百度为例使用Nmap进行端口探测Nmap介绍目录/CONTENTSNmapRecon-NGMaltegoRecon-NG是一个模块化的信息收集框架，使用Python语言编写。Recon-NG收集的信息会存放在数据库中，在信息收集结束后，可以针对性的抽取各类报告。Recon-NG能够实现的功能也十分强大，包括子域名查询、域名解析、识别主机及个人的地理位置、识别主机详细信息、识别被攻击过并且在网络上泄露过的账户及密码信息等。Recon-NG介绍Recon-NG在Kali中默认安装，键入recon-ng即可启动该工具。Recon-NG介绍Recon-NG是一新版Recon-NG默认情况下没有安装模块，需手动安装。输入下面命令进行安装：gitclone/lanmaster53/recon-ng-marketplace.git~/.recon-ng安装完后再启动Recon-ng时会显示模块Recon-NG介绍Recon-NG命令介绍：back返回上一级dashboard显示活动的总结db工作区的数据库页面exit退出recon-nghelp帮助信息index创造一个模块keys管理第三方的api接口marketplace应用市场modules已经安装的模块option管理当前文本的选项pdb打开python进行调试script记录并执行命令脚本shell执行操作系统命令show显示各种框架的条目snapshots管理一个快照spool将结果输出到一个文件里workspaces管理工作区modules介绍Recon-NG介绍模块的数量很多，系统根据功能将其分为5大众类①Discovery②Exploitation③Import④Recon：用来对目标进行侦查的⑤Reporting：用来将本次在Recon-NG中操作的结果生成一份报告（提供了很多种的报告文件格式）Recon-NG介绍模块的格式模块的命名采用“分层式”命名例如：以recon/domains-hosts/bing_domain_web模块为例，该模块被分为3个部分recon：这是模块的类型domains-hosts：给出模块的工作目标，这个模块的目标就是domains-hosts，从名字可以看出工作目标就是域名bing_domain_web：给出使用的技术，例如这个模块bing_domain_web就是借助微软的bing对一个域名的子域名进行检查Recon-NG介绍模块的使用：进入一个模块输入use模块名查看一个模块可以使用的参数：showoptionsRecon-NG介绍以查询的子域名为例，下面讲解Recon-NG的子域名查询功能。可用Recon-NG的bing_domain_web模块实现子域名查询功能，该模块的具体路径为：recon/domains-hosts/bing_domain_web在使用时，可以使用modulessearchbing搜索模块的具体路径，然后用load命令加载该模块，具体的命令为：modulesloadrecon/domains-hosts/bing_domain_web使用optionsset命令设置要进行子域名查询的顶级域名。具体命令为：optionssetSOURCE使用run命令运行该查询任务。Recon-NG介绍子域名查询的结果可实时展示，也会存储在数据库中，具体的表名为hosts，可用showhosts命令查看。Recon-NG介绍目录/CONTENTSNmapRecon-NGMaltegoMaltego是一个图形化的信息收集工具，具有跨平台性，可在Windows、Linux、MacOS操作系统中使用。Maltego有付费和社区两种版本，KaliLinux上默认安装了该软件的社区版本。该工具有很高的自动化程度，可根据一个域名从网络上的资源进行自上而下的搜集，可以枚举网络和域的信息，包括Whois、IP地址等，此外，还可以收集个人的电子邮件、组织、公司、电话号码等信息。Maltego介绍在Kali中打开Maltego的方式为：在命令行中输入maltegoMaltego介绍打开后，需要选择使用Maltego的产品类型，选择MaltegoCE（Fre