网站建设和定位,电子商务专升本需要考些什么科目,上街免费网站建设,软件技术专业专升本考试科目介绍
说到黑客#xff0c;知识就是力量。您对目标系统或网络的了解越多#xff0c;可用的选项就越多。因此#xff0c;在进行任何利用尝试之前#xff0c;必须进行适当的枚举。
假设我们获得了一个 IP#xff08;或多个 IP 地址#xff09;来执行安全审计。在我们做任何…介绍
说到黑客知识就是力量。您对目标系统或网络的了解越多可用的选项就越多。因此在进行任何利用尝试之前必须进行适当的枚举。
假设我们获得了一个 IP或多个 IP 地址来执行安全审计。在我们做任何其他事情之前我们需要了解我们正在攻击的“景观”。这意味着我们需要确定哪些服务在目标上运行。例如其中一个可能正在运行 Web 服务器而另一个正在充当 Windows Active Directory 域控制器。建立这张景观“地图”的第一阶段是所谓的港口扫描。当计算机运行网络服务时它会打开一个称为“端口”的网络结构来接收连接。端口对于发出多个网络请求或提供多个服务是必需的。例如当您在 Web 浏览器中同时加载多个网页时程序必须有某种方法来确定哪个选项卡正在加载哪个网页。这是通过使用本地计算机上的不同端口与远程 Web 服务器建立连接来完成的。同样如果您希望服务器能够运行多个服务例如您可能希望 Web 服务器同时运行站点的 HTTP 和 HTTPS 版本那么您需要某种方式将流量定向到适当的服务。再一次端口是解决这个问题的办法。网络连接在两个端口之间建立 - 一个在服务器上侦听的开放端口另一个在您自己的计算机上随机选择的端口。例如当您连接到网页时您的计算机可能会打开端口 49534 以连接到服务器的端口 443。 与前面的示例一样该图显示了同时连接到多个网站时发生的情况。您的计算机会打开一个不同的高编号端口随机用于与远程服务器的所有通信。
每台计算机共有 65535 个可用端口;但是其中许多已注册为标准端口。例如HTTP Web 服务几乎总是可以在服务器的端口 80 上找到。可以在端口 443 上找到 HTTPS Web 服务。可以在端口 139 上找到 Windows NETBIOS可以在端口 445 上找到 SMB。需要注意的是;但是尤其是在 CTF 设置中即使是这些标准端口也被更改也并非闻所未闻因此我们必须对目标执行适当的枚举。
如果我们不知道服务器打开了哪些端口那么我们就没有希望成功攻击目标;因此我们必须从端口扫描开始任何攻击。这可以通过多种方式实现——通常使用一个名为 nmap 的工具这是这个房间的重点。Nmap 可用于执行许多不同类型的端口扫描——其中最常见的将在即将到来的任务中引入;但是基本理论是这样的nmap 将依次连接到目标的每个端口。根据端口的响应方式可以将其确定为打开、关闭或过滤通常由防火墙。一旦我们知道哪些端口是打开的我们就可以查看枚举每个端口上正在运行的服务 - 手动或更常见的使用 nmap。
那么为什么是nmap简短的回答是它目前是行业标准是有原因的没有其他端口扫描工具能接近它的功能尽管一些新来者现在正在与它的速度相匹配。它是一个非常强大的工具——它的脚本引擎变得更加强大可用于扫描漏洞在某些情况下甚至可以直接执行漏洞利用同样这将在即将到来的任务中详细介绍。
开关
现在重要的是要了解什么是端口扫描;为什么有必要;NMAP 是任何类型的初始枚举的首选工具。
与大多数渗透测试工具一样nmap 是从终端运行的。有适用于 Windows 和 Linux 的版本。对于此房间我们将假设您使用的是 Linux;但是开关应相同。默认情况下Nmap 安装在 Kali Linux 和 TryHackMe Attack Box 中。
可以通过键入终端命令行来访问 Nmap然后是我们将在下面介绍的一些“开关”告诉程序执行不同操作的命令参数。nmap
为此您只需要 nmap 的帮助菜单使用 访问和/或 nmap 手册页使用 访问。对于每个答案除非另有说明否则请包括开关的所有部分。这包括开头 处的连字符。nmap -hman nmap-
描述
使用 Nmap 进行端口扫描时有三种基本扫描类型。这些是
技术合作计划TCP连接扫描 -sT)SYN“半开”扫描 -sS)UDP的扫描 -sU)
此外还有几种不太常见的端口扫描类型我们还将介绍其中的一些类型尽管不太详细。这些是
技术合作计划TCP空扫描 -sN)技术合作计划TCPFIN 扫描 -sF)技术合作计划TCP圣诞扫描 -sX)
其中大多数UDP 扫描除外用于非常相似的目的但是它们的工作方式在每次扫描之间有所不同。这意味着虽然在大多数情况下前三种扫描之一可能是您的首选但值得记住的是存在其他扫描类型。
在网络扫描方面我们还将简要介绍ICMP或“ping”扫描。
TCP Connect 扫描
若要了解 TCP Connect 扫描 请务必熟悉 TCP 三向握手。如果这个术语对你来说是新的那么在继续之前完成介绍性网络是可取的。-sT
简要回顾一下三方握手由三个阶段组成。首先连接终端在本例中为我们的攻击机向目标服务器发送 TCP 请求并设置了 SYN 标志。然后服务器使用包含 SYN 标志和 ACK 标志的 TCP 响应来确认此数据包。最后我们的终端通过发送设置了 ACK 标志的 TCP 请求来完成握手。 这是TCP/IP网络的基本原则之一但它与Nmap有什么关系呢
好吧顾名思义TCP Connect 扫描的工作原理是依次与每个目标端口执行三次握手。换言之Nmap 尝试连接到每个指定的 TCP 端口并通过接收到的响应来确定服务是否打开。 例如如果端口关闭RFC 9293 会声明
...如果连接不存在 CLOSED则发送重置以响应除另一个重置之外的任何传入段。通过此方法拒绝与现有连接不匹配的 SYN 段。
换言之如果 Nmap 发送的 TCP 请求将 SYN 标志设置为关闭端口则目标服务器将使用设置了 RST Reset 标志的 TCP 数据包进行响应。通过此响应Nmap 可以确定端口已关闭。 但是如果将请求发送到开放端口则目标将使用设置了 SYN/ACK 标志的 TCP 数据包进行响应。然后Nmap 将此端口标记为已打开并通过发回设置了 ACK 的 TCP 数据包来完成握手。 这一切都很好但是还有第三种可能性。
如果端口是打开的但隐藏在防火墙后面怎么办
许多防火墙配置为仅丢弃传入的数据包。Nmap 发送 TCP SYN 请求但未收到任何回复。这表示端口受到防火墙的保护因此该端口被视为已过滤。
也就是说配置防火墙以使用 RST TCP 数据包进行响应非常容易。例如在 Linux 的 IPtables 中命令的简单版本如下所示
iptables -I INPUT -p tcp --dport port -j REJECT --reject-with tcp-reset
这可能使获得目标的准确读数变得极其困难如果不是不可能的话。
SYN 扫描
与 TCP 扫描一样SYN 扫描 用于扫描一个或多个目标的 TCP 端口范围;但是这两种扫描类型的工作方式略有不同。SYN 扫描有时称为“半开”扫描或“隐身”扫描。-sS
TCP 扫描与目标执行完整的三次握手而 SYN 扫描在从服务器接收 SYN/ACK 后发回 RST TCP 数据包这可防止服务器重复尝试发出请求。换句话说扫描开放端口的顺序如下所示 这对我们黑客来说有很多好处
它可用于绕过较旧的入侵检测系统因为它们正在寻找完整的三次握手。对于现代IDS解决方案情况通常不再如此;正是由于这个原因SYN扫描仍然经常被称为“隐形”扫描。侦听开放端口的应用程序通常不会记录 SYN 扫描因为标准做法是在完全建立连接后记录连接。同样这与SYN扫描隐身的想法有关。SYN 扫描无需费心完成和断开每个端口的三次握手就比标准 TCP Connect 扫描快得多。
但是SYN 扫描有几个缺点即
它们需要 sudo 权限[1] 才能在 Linux 中正常工作。这是因为 SYN 扫描需要能够创建原始数据包而不是完整的 TCP 握手这是默认情况下只有 root 用户才拥有的权限。不稳定的服务有时会因 SYN 扫描而关闭如果客户端为测试提供了生产环境则可能会出现问题。
总而言之利大于弊。
因此如果使用 sudo 权限运行则 SYN 扫描是 Nmap 使用的默认扫描。如果在没有 sudo 权限的情况下运行则 Nmap 默认为我们在上一个任务中看到的 TCP Connect 扫描。 使用 SYN 扫描识别关闭和过滤的端口时应用与 TCP Connect 扫描完全相同的规则。
如果端口关闭则服务器会使用 RST TCP 数据包进行响应。如果端口被防火墙过滤则 TCP SYN 数据包将被丢弃或者通过 TCP 重置进行欺骗。
在这方面两次扫描是相同的最大的区别在于它们如何处理开放端口。 [1] 也可以通过赋予 Nmap CAP_NET_RAW、CAP_NET_ADMIN 和 CAP_NET_BIND_SERVICE 功能来使 SYN 扫描发挥作用;但是这可能不允许许多 NSE 脚本正常运行。
UDP 扫描
与 TCP 不同UDP 连接是无状态的。这意味着UDP 连接不是通过来回“握手”来启动连接而是依赖于将数据包发送到目标端口并且基本上希望它们能够成功。这使得 UDP 非常适合依赖于速度而不是质量的连接例如视频共享但缺乏确认使 UDP 的扫描难度大大增加并且速度要慢得多。Nmap UDP 扫描的开关为 -sU)
当数据包发送到打开的 UDP 端口时应该没有响应。发生这种情况时Nmap 将端口称为 。换句话说它怀疑端口是打开的但它可能是防火墙。如果它得到 UDP 响应这是非常不寻常的则该端口将被标记为打开。更常见的是没有响应在这种情况下请求将作为双重检查第二次发送。如果仍然没有响应则端口被标记为打开|过滤Nmap 继续前进。open|filtered
当数据包发送到关闭的 UDP 端口时目标应使用 ICMP ping 数据包进行响应其中包含端口无法访问的消息。这清楚地标识了关闭的端口Nmap 将其标记为关闭端口并继续前进。 由于难以识别 UDP 端口是否实际打开因此与各种 TCP 扫描相比UDP 扫描往往非常慢在 20 分钟内扫描前 1000 个端口连接良好。因此通常最好在启用的情况下运行 Nmap 扫描。例如使用 .将扫描前 20 个最常用的 UDP 端口从而获得更可接受的扫描时间。--top-ports numbernmap -sU --top-ports 20 target 在扫描 UDP 端口时Nmap 通常会发送完全空的请求——只发送原始的 UDP 数据包。也就是说对于通常由知名服务占用的端口它将发送特定于协议的有效载荷该有效载荷更有可能引发响应从中可以得出更准确的结果。
NULL、FIN 和 Xmas
NULL、FIN 和 Xmas TCP 端口扫描的使用不如我们已经介绍过的任何其他端口因此我们不会在这里深入探讨。这三者都是相互关联的主要使用它们因为相对而言它们往往比 SYN“隐身”扫描更隐蔽。从 NULL 扫描开始
顾名思义NULL 扫描 是指在发送 TCP 请求时根本没有设置任何标志。根据 RFC如果端口关闭目标主机应使用 RST 进行响应。-sN FIN 扫描 以几乎相同的方式工作;但是不是发送完全空的数据包而是使用 FIN 标志发送请求通常用于正常关闭活动连接。同样如果端口关闭Nmap 需要 RST。-sF 与此类中的其他两个扫描一样Xmas 扫描 发送格式错误的 TCP 数据包并期望关闭端口的 RST 响应。它被称为圣诞扫描因为它设置的标志PSH、URG 和 FIN在 Wireshark 中被视为数据包捕获时它看起来像一棵闪烁的圣诞树。-sX 使用这些扫描的开放端口的预期响应也是相同的并且与 UDP 扫描的响应非常相似。如果端口处于打开状态则对格式错误的数据包没有响应。不幸的是与打开的 UDP 端口一样如果端口受防火墙保护这也是一种预期行为因此 NULL、FIN 和 Xmas 扫描只会将端口识别为打开|过滤、关闭或过滤。如果端口被识别为通过这些扫描之一进行过滤则通常是因为目标已响应 ICMP 无法访问的数据包。
还值得注意的是虽然 RFC 793 要求网络主机使用 RST TCP 数据包响应关闭端口的格式错误数据包但根本不响应开放端口;在实践中情况并非总是如此。特别是众所周知Microsoft Windows以及许多思科网络设备会使用RST响应任何格式错误的TCP数据包 - 无论端口是否实际打开。这会导致所有端口都显示为已关闭。
也就是说这里的目标当然是防火墙规避。许多防火墙配置为将传入的 TCP 数据包丢弃到设置了 SYN 标志的阻止端口从而阻止新的连接初始请求。通过发送不包含 SYN 标志的请求我们有效地绕过了这种防火墙。虽然这在理论上是好的但大多数现代IDS解决方案都精通这些扫描类型因此在处理现代系统时不要依赖它们100%有效。
ICMP网络扫描
在黑匣子分配中首次连接到目标网络时我们的第一个目标是获得网络结构的“映射”——或者换句话说我们想要查看哪些 IP 地址包含活动主机哪些不包含。
一种方法是使用 Nmap 执行所谓的“ping 扫描”。顾名思义这完全是Nmap 将 ICMP 数据包发送到指定网络的每个可能的 IP 地址。当它收到响应时它会将响应的 IP 地址标记为活动。由于我们将在后面的任务中看到的原因这并不总是准确的;但是它可以提供一些基线因此值得介绍。
为了执行 ping 扫描我们将开关与 IP 范围结合使用IP 范围可以通过 hypen 或 CIDR 表示法指定。即我们可以使用以下方法扫描网络-sn-192.168.0.x
nmap -sn 192.168.0.1-254
或
nmap -sn 192.168.0.0/24 交换机告诉 Nmap 不要扫描任何端口迫使它主要依靠 ICMP 回显数据包或本地网络上的 ARP 请求如果使用 sudo 或直接以 root 用户身份运行来识别目标。除了 ICMP 回显请求之外交换机还会导致 nmap 向目标的端口 443 发送 TCP SYN 数据包以及向目标的端口 80 发送 TCP ACK或 TCP SYN如果不以 root 身份运行数据包。-sn-sn
NSE 脚本概述
Nmap Scripting Engine NSE 是 Nmap 的一个非常强大的补充大大扩展了它的功能。NSE 脚本是用 Lua 编程语言编写的可用于执行各种操作从扫描漏洞到自动利用漏洞。NSE 对于侦察特别有用但是值得牢记脚本库的广泛性。
有许多类别可用。一些有用的类别包括
safe- 不会影响目标intrusive- 不安全可能影响目标vuln- 扫描漏洞exploit- 尝试利用漏洞auth- 尝试绕过正在运行的服务的身份验证例如匿名登录 FTP 服务器brute- 尝试暴力破解正在运行服务的凭据discovery- 尝试查询正在运行的服务以获取有关网络的更多信息例如查询SNMP服务器。
可以在此处找到更详尽的列表。
在下一个任务中我们将了解如何与 NSE 交互并利用这些类别中的脚本。
与 NSE 合作
在任务 3 中我们非常简要地查看了用于激活类别中的 NSE 脚本的开关。其他类别以完全相同的方式工作也就不足为奇了。如果运行该命令则将针对目标运行任何适用的安全脚本注意仅激活以活动服务为目标的脚本。--scriptvuln--scriptvuln--scriptsafe 要运行特定的脚本我们将使用 例如 .--scriptscript-name --scripthttp-fileupload-exploiter
通过用逗号分隔多个脚本可以以这种方式同时运行多个脚本。例如。--scriptsmb-enum-users,smb-enum-shares
某些脚本需要参数例如如果它们利用了经过身份验证的漏洞则需要凭据。这些可以通过 Nmap 开关给出。这方面的一个例子是脚本用于使用 PUT 方法上传文件。这需要两个参数要将文件上传到的 URL 以及文件在磁盘上的位置。例如--script-argshttp-put
nmap -p 80 --script http-put --script-args http-put.url/dav/shell.php,http-put.file./shell.php
请注意参数用逗号分隔并连接到带有句点即 的相应脚本。script-name.argument
可以在此处找到脚本及其相应参数的完整列表以及示例用例。 Nmap 脚本带有内置的帮助菜单可以使用 访问。这往往不像上面给出的链接那样广泛但是在本地工作时它仍然很有用。nmap --script-help script-name
NSE 脚本搜索脚本
好的我们知道如何在 Nmap 中使用脚本但我们还不知道如何找到这些脚本。
为此我们有两个选项理想情况下应该相互结合使用。第一个是 Nmap 网站上的页面在上一个任务中提到其中包含所有官方脚本的列表。第二个是攻击机器上的本地存储。Nmap 将其脚本存储在 Linux 上。默认情况下所有 NSE 脚本都存储在此目录中 -- 这是 Nmap 在指定脚本时查找脚本的位置。/usr/share/nmap/scripts
有两种方法可以搜索已安装的脚本。一种是使用文件。尽管有扩展名但这实际上并不是一个数据库而是一个包含每个可用脚本的文件名和类别的格式化文本文件。/usr/share/nmap/scripts/script.db Nmap 使用此文件来跟踪和利用脚本引擎的脚本;但是我们也可以通过它来查找脚本。例如。grep ftp /usr/share/nmap/scripts/script.db 搜索脚本的第二种方法是使用命令非常简单。例如我们可以使用以下方法获得与上一个屏幕截图相同的结果lsls -l /usr/share/nmap/scripts/*ftp* 请注意在搜索词的两侧使用星号*
同样的技术也可用于搜索脚本类别。例如grep safe /usr/share/nmap/scripts/script.db 安装新脚本
我们之前提到过Nmap 网站包含一个脚本列表那么如果本地目录中缺少其中一个脚本会怎样一个标准应该解决这个问题;但是也可以通过从 Nmap 下载脚本来手动安装脚本。然后必须跟进 这会更新文件以包含新下载的脚本。scriptssudo apt update sudo apt install nmapsudo wget -O /usr/share/nmap/scripts/script-name.nse https://svn.nmap.org/nmap/scripts/script-name.nsenmap --script-updatedbscript.db
值得注意的是如果你要制作自己的 NSE 脚本并将其添加到 Nmap 中您将需要相同的 “updatedb” 命令 - 这是一项非常易于管理的任务只需了解一些 Lua 的基本知识
防火墙规避
我们已经看到了一些绕过防火墙的技术想想隐身扫描以及 NULL、FIN 和 Xmas 扫描;但是还有另一种非常常见的防火墙配置我们必须知道如何绕过。
典型的 Windows 主机将使用其默认防火墙阻止所有 ICMP 数据包。这就带来了一个问题我们不仅经常使用 ping 来手动建立目标的活动Nmap 默认情况下也会做同样的事情。这意味着 Nmap 会将具有此防火墙配置的主机注册为死主机并且根本不会对其进行扫描。
因此我们需要一种方法来绕过这种配置。幸运的是Nmap 为此提供了一个选项它告诉 Nmap 在扫描主机之前不要打扰它。这意味着 Nmap 将始终将目标主机视为活动主机从而有效地绕过 ICMP 块;但是这样做的代价是可能需要很长时间才能完成扫描如果主机确实死了那么 Nmap 仍将检查并仔细检查每个指定的端口。-Pn
值得注意的是如果您已经直接在本地网络上Nmap 还可以使用 ARP 请求来确定主机活动。 Nmap 认为还有许多其他开关可用于防火墙规避。我们不会详细介绍这些内容但是可以在此处找到它们。
特别需要注意以下开关
-f- 用于对数据包进行分段即将它们拆分为更小的片段从而降低防火墙或 IDS 检测到数据包的可能性。的替代方法但提供了对数据包大小的更多控制接受用于发送数据包的最大传输单元大小。这必须是 8 的倍数。-f--mtu number--scan-delay timems- 用于在发送的数据包之间添加延迟。如果网络不稳定这非常有用但对于规避任何可能存在的基于时间的防火墙/IDS 触发器也非常有用。--badsum- 这用于为数据包生成无效的校验和。任何真正的 TCP/IP 堆栈都会丢弃此数据包但是防火墙可能会自动响应而无需检查数据包的校验和。因此此开关可用于确定是否存在防火墙/IDS。 总结 目标 IP 是否响应 ICMP 回显 ping 请求 Y/N 正确答案 对目标的前 999 个端口执行 Xmas 扫描 -- 有多少个端口显示为打开或过滤 正确答案 这是有原因的——它是什么 注意答案将在您的扫描结果中。仔细考虑使用哪些开关 - 并在寻求帮助之前阅读提示 正确答案提示 对目标的前 5000 个端口执行 TCP SYN 扫描 -- 有多少个端口显示为打开 正确答案 打开 Wireshark有关说明请参阅 Cryillic 的 Wireshark Room并对目标上的端口 80 执行 TCP Connect 扫描监视结果。确保您了解正在发生的事情。针对该框部署 脚本。Nmap能否在21端口成功登录FTP服务器是/否ftp-anon 正确答案
