kali 渗透测试-第7章 主动信息收集

发现-潜在的被攻击目标

二层发现-arp

进入局域网后，在跳板上扫描局域网内其他目标
探测ip地址是否存活

arping
nmap
netdiscover
scapy

三层发现-ip，icmp

可路由，常被防火墙过滤，速度比二层发现稍慢
探测ip地址是否存活

ping
traceroute 可追踪数据包经过的路由器

• ping -r 192.168.1.1 功能同 traceroute相似，但返回的是b侧的ip

• traceroute 192.168.1.1 返回的是a侧的ip
  

上图○表示路由器，每个路由器左侧为a，右侧为b

scapy
nmap 和主机不同网段时发的是icmp包，相同网段时arp包（二层发现）
fping
hping 只能扫描一个目标

四层发现-TCP,UDP

探测ip地址是否存活
准确性比三层发现高
全端口扫描时速度慢

scapy
nmap
hping3

端口扫描

UDP端口扫描

易误判
完整的端口扫描准确性高，但耗时长

scapy
nmap

TCP端口扫描

隐蔽扫描-scapy,namp,hping3
僵尸扫描-条件苛刻 scapy,nmap
全连接扫描-scapy,nmap,dmitry,nc

服务扫描

Banner

nc -nv 192.168.1.106 80
python socket
dmitry

/use/share/nmap/script #nmap扫描脚本存放路径

amap
nmap 192.168.1.106 -p1-100 -sV

SNMP扫描

161,162端口
明文传输

onesixtyone
snmpwalk
snmpcheck

操作系统识别

TTL起始值
Windows：128（65-128）
Linux/Unix：64（1-64）
某些Unix：255

python scapy
nmap -O
xprobe2 192.168.1.108
p0f(被动扫描)

SMP扫描

nmap
nbtscan
enum4linux

SMTP扫描

发现目标系统的邮件账户（社工）

nc -nv 1.1.1.1 25
VRFY root -验证用户是否存在
nmap
• nmap smtp.163.com -p25 –script=smtp-enum-users.nse –script-args=smtp-enumusers.methods={VRFY}

• nmap smtp.163.com -p25 –script=smtp-open-relay.nse
smtp-user-enum -M VRFY -U users.txt -t 10.0.0.1

防火墙识别

检查回包

scapy
nmap

负载均衡识别

广域负载均衡识别-DNS

服务器常用：Nginx，Apache

lbd

WAF识别-web应用防火墙

wafw00f

nmap