Nmap、MSF、Netcraft、nslookup、whois信息收集工具使用

转载请注明作者及出处：

被动信息收集

使用被动、间接的信息收集技术，可以在不接触目标系统的情况下挖掘目标信息。例如，可以用被动信息收集技术确定网络边界情况和网络运维人员，甚至了解到目标网络中使用的操作系统和软件类型

whois查询

使用kali linux对baidu.com执行whois查询命令

在上图中我们得到了一个非常有用的信息，就是目标的DNS，使用针对DNS服务器的区域传送攻击以及其他类似的攻击，通常能够揭露出一个网络内部及外部的很多信息。在渗透测试的前期交互阶段，我们会与客户敲定授权攻击的资产范围，而如果发现目标的DNS不属于被授权资产范围，或者说根本不归目标客户所有，我们就不能对这些DNS进行攻击，应当转移到其他攻击点上

使用Netcraft（http://searchdns.netcraft.com）

通过Netcraft对百度进行查询，我们得到了目标IP地址、域、命名服务器、域名注册商等可能对我们有用的信息

使用nslookup

查询A记录

查询MX记录

查询NS记录

查询CNAME

主动信息收集

主动信息收集相比被动信息收集通常能获取到更多的信息，但是主动信息收集很可能被入侵检测系统（IDS）或入侵防御与系统（IPS）发现

使用nmap进行扫描

图中采用了多选项组合扫描的方式进行信息收集，其中-sS是使用隐蔽扫描，-Pn是告诉nmap不使用ping命令判断主机是否存活（默认目标全部存活，避免漏掉实际存活但禁ping的主机）。扫描完毕后nmap会回显段数据，其中包含了目标开放端口的列表以及使用该端口的应用，最后附带了目标的MAC地址（知识点：VMware虚拟机MAC地址开头均为00:0C:29）

如图我们在之前的命令中添加了-A选项，这个选项能给我们带来更多的目标信息

如上图所示，我们使用了-oX选项对目标进行扫描，生成一个名为nn.xml的文件，接下来我们将用MSF与nmap进行联动

首先打开MSF执行/etc/init.d/postgresql start启动数据库

db_connect postgres:toor@127.0.0.1/msf使用此命令连接到数据库，用户名：postgres密码：toor数据库名：msf，如果是第一次连接msf数据库，会自动生成名为msf的数据库，并返回MSF终端提示符

db_status查看数据库连接状态

db_import /root/nn.xml将nn.xml文件导入数据库

hosts -c address显示数据库中所有已保存内容，核实将文件导入数据库的结果

TCP空闲扫描

首先，使用了Metasploit框架的scanner/ip/ipidseq模块，利用这个模块来寻找满足要求的空闲主机

注意：RHOSTS可以使用IP段（如192.168.0.1-192.168.0.100）、CIDR地址块（如192.168.0.0/24）、使用逗号分隔的多个CIDR地址块（如192.168.0.0/24,192.168.1.0/24）、每行包含一个IP地址的文本文件（如file:/root/ip.txt）。

通过扫描，发现有空闲主机192.168.0.193可用于空闲扫描。在nmap中使用-sI选项指定扫描中获取的地址作为空闲主机，对目标192.168.0.192扫描。

使用空闲扫描，可以不用自身IP地址向目标主机发送任何数据包，就能获取目标主机开放的端口信息

在MSF终端运行nmap

启动MSF数据库

连接到数据库后使用db_nmap进行扫描，这个命令可以自动将nmap扫描结果存储在数据库中

执行services -u查看数据库中的扫描结果

Metasploit端口扫描

首先设置参数，模块：auxiliary/scanner/portscan/syn，目标IP：192.168.0.102，线程128

跑一下看看效果，可以看到目标开启了135，139，445，554等端口

使用metasploit进行SMB扫描

首先使用search命令寻找smb扫描模块，然后设置目标IP192.168.0.102，线程设置4，run命令开始运行，经过扫描，得到了目标操作系统版本、用户名、已运行时间等信息

使用metasploit扫描MS SQL

首先搜索并使用mssql_ping模块，然后设置目标网段和线程，由于目标网段并没有安装mssql，所以并没有扫描出相关数据，如果目标下存在MSSQL，将会显示目标服务器版本号以及监听的TCP端口号等信息

使用metasploit扫描SSH服务

首先查找并使用ssh_version模块，然后设置目标IP地址段和线程数，最后run命令运行，扫描结果显示了存在SSH服务的IP地址、目标SSH服务版本、操作系统版本等信息，这些信息将有助于我们做针对性的测试

使用metasploit进行FTP扫描

查找并使用ftp_version模块，设置目标IP段和线程，由于目标网段并不存在FTP服务器，所以并未扫描出相关信息。如果成功扫描到了FTP服务器，可以用MSF或其他工具验证一下目标是否允许匿名登录，顺利的话可以进入共享文件夹行下一步操作

使用metasploit进行SNMP扫描

搜索并使用snmp_login模块，设置目标网段及线程数，当目标存在相关问题时，我们将可能得到目标补丁情况、正在运行的服务、用户名、已运行时间、路由等信息，这些信息将有可能成为我们取胜的关键