密码学与网络安全实验教程 课件11 网络服务扫描实验

网络安全实验第十一章网络服务扫描实验目录11.1常用扫描服务模块11.2网络服务扫描实验目录11.1常用扫描服务模块11.2网络服务扫描实验目录－11.1－－11.2－11.1.1Telnet服务扫描11.1.2SSH服务扫描11.1.3SSH口令猜测11.1.4数据库服务查点Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。由于Telnet没有对传输的数据进行加密，越来越多的管理员渐渐使用更为安全的SSH协议代替它。但是，很多旧版的网络设备不支持SSH协议，而且管理员通常不愿冒风险升级他们重要设备的操作系统，所以网络上很多交换机、路由器甚至防火墙仍然在使用Telnet。一个有趣的现象是，价格昂贵、使用寿命更长的大型交换机使用Telnet协议的可能性会更大，而此类交换机在网络中的位置一般来说都非常重要。当渗透进入一个网络时，不妨扫描一下是否有主机或设备开启了Telnet服务，为下一步进行网络嗅探或口令猜测做好准备。11.1.1Telnet服务扫描－11.1－－11.2－SSH为SecureShell的缩写，由IETF的网络工作小组（NetworkWorkingGroup）所制定；SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、DigitalUNIX、Irix，以及其他平台，都可运行SSH。SSH是类UNIX系统上最常见的远程管理服务，与Telnet不同的是，它采用了安全的加密信息传输方式。通常管理员会使用SSH对服务器进行远程管理，服务器会向SSH客户端返回一个远程的Shell连接。如果没有做其他的安全增强配置（如限制管理登录的IP地址），只要获取服务器的登录口令，就可以使用SSH客户端登录服务器，那就相当于获得了相应登录用户的所有权限。11.1.2SSH服务扫描－11.1－－11.2－进行口令攻击之前，需要一个好用的用户名和口令字典。这个从网上都能找到很多，不过在使用之前，需要注意Windows和Linux系统下文件编码的区别，否则会导致加载口令字典出错的情况。在载入ssh_login模块后，首先需要设置RHOSTS参数指定口令攻击的对象，可以是一个IP地址，或一段IP地址，同样也可以使用CIDR表示的地址区段。然后使用USERNAME参数指定一个用户名（或者使用USER_FILE参数指定一个包含多个用户名的文本文件，每个用户名占一行），并使用PASSWORD指定一个特定的口令字符串（或者使用PASS_FILE参数指定一个包含多个口令的字典文件，每个口令占一行），也可以使用USERPASS_FILE指定一个用户名和口令的配对文件（用户名和口令之间用空格隔开，每对用户名口令占一行）。默认情况下，ssh_login模块还会尝试空口令，以及与用户名相同的弱口令进行登录测试。11.1.3SSH口令猜测－11.1－－11.2－1．MicrosoftSQLServer数据库SQLServer是关系型数据库管理系统。具有使用方便可伸缩性好与相关软件集成程度高等优点，可跨越从运行MicrosoftWindows98的以上型电脑到运行MicrosoftWindows2012的大型多处理器的服务器等多种平台使用。MicrosoftSQLServer是一个全面的数据库平台，使用集成的商业智能(BI)工具提供了企业级的数据管理。MicrosoftSQLServer数据库引擎为关系型数据和结构化数据提供了更安全可靠的存储功能，使用户可以构建和管理用于业务的高可用和高性能的数据应用程序。各种网络数据库的网络服务端口是漏洞频发的“重灾区”，MicrosoftSQLServer的1433端口即为其中一个。可以使用Metasploit中mssql_ping模块查找网络中的MicrosoftSQLServer。11.1.4数据库服务查点－11.1－－11.2－2．ORACLE数据库ORACLE数据库系统是美国ORACLE公司（甲骨文）提供的以分布式数据库为核心的一组软件产品，是目前最流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。比如SilverStream就是基于数据库的一种中间件。ORACLE数据库是目前世界上使用最为广泛的数据库管理系统，作为一个通用的数据库系统，它具有完整的数据管理功能；作为一个关系数据库，它是一个完备关系的产品；作为分布式数据库它实现了分布式处理功能。但它的所有知识，只要在一种机型上学习了ORACLE知识，便能在各种类型的机器上使用它。11.1.4数据库服务查点可以使用tnslsnr_version模块查找网络中开放端口的Oracle监听器服务。－11.1－－11.2－目录11.1常用扫描服务模块11.2网络服务扫描实验11.2网络服务扫描实验－11.1－－11.2－实验器材Metasploit工具1套PC机（win10）1台预习要求做好实验预习，复习网络服务有关内容。熟悉实验过程和基本操作流程。做好预习报告。实验任务扫描当前机器的网络服务实验环境一台安装了Metasploit的计算机。预备知识1.Telnet服务相关知识2.SSH服务相关知识3.数据库相关知识实验步骤11.2网络服务扫描实验1．Telnet_version模块（1）使用use命令使用telnet_version模块。

msf>useauxiliary/scanner/telnet/telnet_version（2）通过show命令查看模块的设置选项。

msfauxiliary(telnet_version)>showoptions－11.1－－11.2－其中Name表示的是需要设置的选项的名称，Current表示的是该选项目前默认的设置值，Setting表示是否进行了设置，Required则表示的是该选项是否必须设置，yes表示必须进行设置，而no则表示可以设置也可以不进行设置。Description则表示的是对选项的介绍。最重要的选项是RHOSTS，即目标地址范围或CIDR标识符。也就是要扫描的地址范围设置。实验步骤（3）使用set命令设置目标地址范围。

msfauxiliary(telnet_version)>setrhosts10.10.10.0/24设置后的界面显示如下所示：

rhosts=>10.10.10.0/24（4）使用set命令设置并发线程的数量。

msfauxiliary(telnet_version)>setthreads100设置后的界面显示如下所示：

threads=>100（5）使用run命令来执行扫描。

msfauxiliary(telnet_version)>run11.2网络服务扫描实验－11.1－－11.2－11.2网络服务扫描实验－11.1－－11.2－设置后的界面显示如表所示：可以看出，IP地址为10.10.10.254（自己搭建的网络）的主机（即网关服务器）开放了Telnet服务，通过返回的服务旗标”Ubuntu8.04\x0ametasploitablelogin："，可以进一步确认出这台主机的操作系统版本为Ubuntu8.04，而主机名为metasploitable。实验步骤11.2网络服务扫描实验2.SSH_version模块（1）使用use命令使用ssh_version模块。

msf>useauxiliary/scanner/ssh/ssh_version（2）通过show命令查看模块的设置选项。－11.1－－11.2－同telnet_version模块相同，ssh_version扫描模块的设置选项也包括Name、Current、Setting、Required和Description五部分，所表示的含义也相同。实验步骤11.2网络服务扫描实验（3）使用set命令设置目标地址范围。

msfauxiliary(ssh_version)>setrhosts10.10.10.0/24（4）使用set命令设置并发线程的数量。

msfauxiliary(ssh_version)>setthreads100（5）使用run命令来执行扫描。

msfauxiliary(ssh_version)>run－11.1－－11.2－实验步骤11.2网络服务扫描实验－11.1－－11.2－设置后的界面显示如表所示：从结果可以看出，使用Metasploit中的ssh_version辅助模块，可以很快在设置的网络范围中定位了两台开放SSH服务的主机，分别是10.10.10.129（网站服务器）和10.10.10.254（网关服务器），并且显示了SSH服务软件及具体版本号。有了这些信息，那么可以通过查询等方式得到相应版本号的一些基本信息及漏洞信息，为之后进一步操作提供了可能。实验步骤11.2网络服务扫描实验3.SSH_login模块（1）使用use命令使用ssh_login模块。

msf>useauxiliary/scanner/ssh/ssh_login（2）通过show命令查看模块的设置选项。

msfauxiliary(ssh_login)>showoptions查看结果如下表所示。－11.1－－11.2－实验步骤11.2网络服务扫描实验－11.1－－11.2－与前面相比，ssh_login模块用到的设置项多了很多。下面进行简单的介绍：BLANK_PASSWORDS，也就是空白密码的意思，即前面讲到的会先默认对空白密码进行验证。BRUTEFORCE_SPEED，暴力破解的速度，从0到5可选。PASSWORD，即准备暴力破解使用的密码，虽然不是必须的，但是没有进行暴力破解的密码，模块在验证完空密码后就停止了，因此这个其实是必须设置的。PASS_FILE，即准备暴力破解使用的密码文件，PASSWORD是指定单个的密码，而PASS_FILE则是将密码字典放到一个文件里，并且每行只能放置一个密码。STOP_ON_SUCCESS，即如果得到主机正在工作的消息，则停止试探密码，一般是设为false的。USERNAME，同PASSWORD一样，虽然要求不是必须，但是在实际使用中是需要指定的。USERPASS_FILE，是同时存储了密码和用户名的口令字典文件。每行包括一个用户名和对应的一个密码，中间用一个空格分隔开。USER_AS_PASS，将所用用户名作为它的密码进行猜测。这在实际使用中很有用，因为经常有些安全意识薄弱的管理员这样设置密码。USER_FILE，存储试探用户名的文件，同样每行一个用户名。VERBOSE，是否在窗口输出所有的尝试情况，默认是输出的。实验步骤11.2网络服务扫描实验－11.1－－11.2－在口令猜测时明显需要设置的项或者说可以设置的项变的多了很多，这就需要根据实际情况来进行设置。下面，写一个简单的例子：根据上次实验的结果，选取10.10.10.254（3）使用set命令设置目标地址范围。

msfauxiliary(ssh_login)>setrhosts10.10.10.254（4）使用set命令设置参数username的值。在这里仅尝试用户名为root的情况，因此代码如下：

msfauxiliary(ssh_login)>setusernameroot（5）使用set命令设置参数pass_file的值。将名称为words.txt的密码字典放在了桌面，因此代码如下：

msfauxiliary(ssh_login)>setpass_file/root/Desktop/words.txt（6）使用set命令设置并发线程的数量。

msfauxiliary(ssh_login)>setthreads100（7）使用run命令来执行扫描。

msfauxiliary(ssh_login)>run实验步骤11.2网络服务扫描实验－11.1－－11.2－设置后的界面显示如表所示：可以看到，在第16次尝试下，终于破解了目标站点SSH服务的帐号和密码，username:'root'withpassword:'ubuntu'。因为没有设置VERBOSE的值，所以默认是将所有的尝试情况进行了输出。实验步骤11.2网络服务扫描实验4.Mssql_ping模块（1）使用use命令使用mssql_ping模块。

msf>useauxiliary/scanner/mssql/mssql_ping（2）通过show命令查看模块的设置选项。

msfauxiliary(mssql_ping)>showoptions查看结果如下表所示。－11.1－－11.2－与前面不同的是在mssql_ping模块用到了USERNAME设置项，这起始与MicrosoftSQLServer安装时候的一个默认设置有关。在初次安装服务器的时候，会默认创建sa或系统管理员用户。因此，这里USERNAME设置项的默认设置是sa，在这里也不准备进行更改。实验步骤11.2网络服务扫描实验（3）使用set命令设置目标地址范围。

msfauxiliary(mssql_ping)>setRHOSTS202.118.176.0/24（4）使用set命令设置并发线程的数量。

msfauxiliary(mssql_ping)>setTHREADS50（5）使用run命令来执行扫描。

msfauxiliary(mssql_ping)>run－11.1－－11.2－实验步骤11.2网络服务扫描实验设置后的部分界面显示如表所示：从扫描结果可以看出，在扫描的202.118.176.0网络范围内mssql_ping模块共搜索到包括202.118.176.67、202.118.176.104、202.118.176.108、202.118.176.124、202.118.176.121、202.118.176.118、202.118.176.141等在内的七处站点的服务器采用的是MicrosoftSQLServer服务器。并分别列出了服务器名称ServerName、实际名称InstanceName（即MicrosoftSQLServer服务器）、是否为集群服务器IsClustered、版本号Version以及TCP端口号tcp等信息。－11.1－－11.2－实验步骤11.2网络服务扫描实验4.Tnslsnr_version模块（1）使用use命令使用tnslsnr_version模块。

msf>useauxiliary/scanner/oracle/tnslsnr_version（2）通过show命令查看模块的设置选项。

msfauxiliary(tnslsnr_version)>showoptions查看结果如下表所示－