第3章-3.4-主动信息收集

主动信息收集主动信息收集方式会对目标网络进行查询及扫描等操作，目标网络可感知到这些恶意的交互，可能会引起目标网络系统的告警及封堵，暴露渗透测试者的身份信息。主动信息收集方式包含了活跃主机扫描、操作系统指纹识别、端口扫描、服务指纹识别等方式。前言目录/CONTENTS活跃主机扫描操作系统指纹识别端口扫描服务指纹识别Web敏感文件扫描活跃主机扫描可让渗透测试人员发现局域网中的所有活跃主机，为后续的横向移动等奠定基础，实现扫描的方式多种多样，可基于ARP、ICMP、TCP等协议实现。活跃主机扫描例如使用Metasploit的arp_sweep模块进行活跃主机扫描活跃主机扫描使用nmap进行扫描。活跃主机扫描目录/CONTENTS活跃主机扫描操作系统指纹识别端口扫描服务指纹识别Web敏感文件扫描操作系统指纹识别指的是识别某台设备上运行的操作系统的类型。识别的方法是通过分析设备在网络发送的数据包中协议的标记、选项等数据推断发送数据包的操作系统。通过操作系统指纹识别可以获取操作系统的具体类型，这为后续渗透测试中漏洞利用奠定了基础。操作系统指纹识别p0f是一款被动探测操作系统指纹的工具。启用网卡监听开启浏览器访问，p0f监听到信息操作系统指纹识别Nmap的“-O”参数可实现操作系统指纹识别。Windows系统：nmap–o35

Linux系统：nmap–o34

操作系统指纹识别利用TTL值TTL起始值：Windowsxp(及在此版本之前的windows)128(广域网中TTL为65-128)Linux/Unix64(广域网中TTL为1-64)某些Unix:255网关:255操作系统指纹识别目录/CONTENTS活跃主机扫描操作系统指纹识别端口扫描服务指纹识别Web敏感文件扫描每个端口对应了一个网络服务及应用端的程序，通过端口扫描我们可以发现目标系统开放的端口、启用的服务，能够得到更具体的攻击面。通过端口扫描可以判断出网站开启的服务，从而通过爆破枚举或者漏洞利用进行突破，进一步提升网站权限，端口扫描也是信息收集必备的操作。端口扫描常见服务对应端口号：21-ftp22-ssh23-telnet110-POP31433-sqlserver3306-mysql3389-mstsc8080-tomcat/jboss9090-WebSphere参考链接：/weixin_47763513/article/details/127163220端口扫描Scanport起始IP、结束IP、端口号、线程端口扫描Metasploit中提供了端口扫描功能模块，该功能属于辅助模块，具体的模块路径为modules/auxiliary/scanner/portscan/，该路径下的子项目共有ack、ftpbounce、syn、tcp和xmas共5个。例如：使用auxiliary/scanner/portscan/syn启用端口扫描模块端口扫描用Nmap实现端口扫描。nmapip（默认扫描1000个常见端口，可以使用-p参数指定全端口扫描）端口扫描目录/CONTENTS活跃主机扫描操作系统指纹识别端口扫描服务指纹识别Web敏感文件扫描服务指纹识别主要是确定某个服务的版本信息，由于漏洞通常与服务的版本关联，因此服务指纹识别对后续的渗透测试也十分重要。服务指纹识别Amap是一个服务枚举工具，使用这个工具可以识别正运行在一个指定的端口或一个端口范围上的应用程序。Amap的工作原理是向某个端口发送触发的报文，将收到的响应与其数据库中的结果进行匹配，输出与之相匹配的应用程序信息。Amap命令格式为：amapipport服务指纹识别Nmap的服务指纹识别也是通过将其收集到的端口信息与自身的服务指纹数据库进行对比匹配实现的，服务版本查询可以用“-sV”参数实现。服务指纹识别目录/CONTENTS活跃主机扫描操作系统指纹识别端口扫描服务指纹识别Web敏感文件扫描在我们部署了网站之后有很多的敏感文件，比如说配置文件（.cfg)、数据文件(.sql)、目录文件（/backup/conf/admin）。但是有些网站如果配置出现问题，就会被攻击者攻击。这些配置的问题会导致数据库用户名和密码、服务器的用户名和密码、数据库的文件、网站源码等等信息都会被入侵。如果黑客获得了相应文件后，就能对网站进行进一步的攻击！Web敏感文件扫描收集方向robots.txt后台目录安装包上传目录Mysql管理页面Phpinfo编辑器Web敏感文件扫描robots.txt是一个协议，而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。robots.txt必须放置在一个站点的根目录下，而且文件名必须全部小写。语法：User-agent:定义搜索引擎的类型Disallow:定义禁止搜索引擎收录的地址Allow:定义允许搜索引擎收录的地址Web敏感文件扫描robots.txt文件的写法User-agent:*这里的*代表的所有的搜索引擎种类，*是一个通配符Disallow:/admin/这里定义是禁止爬寻admin目录下面的目录Disallow:/require/这里定义是禁止爬寻require目录下面的目录Disallow:/ABC/这里定义是禁止爬寻ABC目录下面的目录Disallow:/cgi-bin/*.htm禁止访问/cgi-bin/目录下的所有以".htm"为后缀的URL(包含子目录)。Disallow:/*?*禁止访问网站中所有的动态页面Disallow:/.jpg$禁止抓取网页所有的.jpg格式的图片Disallow:/ab/adc.html禁止爬取ab文件夹下面的adc.html文件。Allow:/cgi-bin/这里定义是允许爬寻cgi-bin目录下面的目录Allow:/tmp这里定义是允许爬寻tmp的整个目录Allow:.htm$仅允许访问以".htm"为后缀的URL。Allow:.gif$允许抓取网页和gif格式图片Web敏感文件扫描御剑工具的使用御剑也是一款好用的网站后台扫描工具，图形化页面，使用起来简单易上手。Web敏感文件扫描dirb是kali下自带的web目录扫描工具，用法如下：dirb90//usr/share/dirb/wordlists/big.txt可以看到mysql数据库的管理组件phpMyAdmin路径泄露。Web敏感文件扫描同样dirbuster可视化扫描工具，也是在kali中集成，使用dirbuster命令启动。填入目标机器url和相应的暴破字典即可。工具自带的字典路径为/usr/share/dirbuster/wordlists/例如选择directory-list-2.3-small.txt进行web路径暴破，看到暴破到的web路径与其他敏感文件。

Web敏感文件扫描Burpsuite的spider模块+target模块Web敏感文件扫描弱口令默认后台：admin，admin/login.asp,manage，login.asp等等常见后台查看网页的链接查看网站图片的属性查看网站使用的管理系统，从而确定后台用工具查找：wwwscan，intellitamper，御剑，进行爬虫、字典穷举扫描robots.txt的帮助：robots.txt文件告诉蜘蛛程序在服务器上什么样的文件可以被查看GoogleHacker通过语法查找后台查看网站使用的编辑器是否有默认后台，FCK、ewb等默认后台短文件利用短文件漏洞进行猜解子域名有可能管理后