菜鸟渗透日记30---python渗透测试编程之信息收集2-端口扫描

书接上文

菜鸟渗透日记29---python渗透测试编程之信息收集1-主机发现

端口概念简介

基于TCP全开的端口扫描技术

TCP全开端口扫描原理

设计一个基于TCP全开的完整端口扫描程序

基于TCP半开的端口扫描技术

TCP半开端口扫描的原理

设计一个基于TCP半开的完整端口扫描程序

端口概念简介

上文提到端口扫描，这是在传输层才出现的概念，可以认为端口就是设备和外界进行交流的端口。例如，常见的用来完成FTP服务的21端口，常见的用来完成web服务的80端口等等。

端口扫描在网络安全渗透中是一个十分重要的概念。如果把服务器看作一个房子，那么端口就是通向不同房间（服务）的们。从入侵者角度来分析，我们如果要侵入这个房子，就需要知道这个房子有多少门，门后面有什么东西都是十分重要的内容

因此在信息收集阶段就需要对目标的端口开放情况做扫描，因为一方面这些端口可能成为进出的通道，另一方面利用这些端口有可以进一步获得目标主机上运行的服务，从而找到可以进行渗透的漏洞。

正常来说，端口只有open和closed两种状态，但是有时候会出现网络安全的机制屏蔽了端口的探测，因此该端口会出现无法判断的情况，所以在探测时候要为端口添加一个filtered状态，表示无法获悉目标端口的真正状态。

判断一个端口的状态在Nmap中继承了很多端口扫描的方法，这里只说两种常用的方法：TCP全开扫描和TCP半开扫描

基于TCP全开的端口扫描技术

TCP全开端口扫描原理

这种扫描的思想很简单，如果目标端口是开放的，那么在接到主机端口发出的SYN请求之后，就会返回一个SYN+ACK的包，然后主机端口再回应一个ACK，这样就成功地和目标端口建立了一次TCP链接。

过程如图：

如果目标端口是关闭的，那么再接收到主机端口发出的SYN请求之后，就会返回一个RST回应，表示不接受这次请求，这样就中断了这次TCP链接。

过程如图：

还有一种特殊情况，主机发送出SYN请求之后，没有收到任何回应。多种原因可能造成这种情况，例如，目标主机没有活跃、一些网络安全设备屏蔽掉端口的SYN请求。关于屏蔽这种情况暂时不考虑。

过程如图：

在前文中已经学习了Scapy中IP数据包和TCP数据包的格式，这里仅仅需要将TCP的flags参数设置为“S”,表明这是一个SYN请求的数据包，构造这个数据包的语句如下所示：

packet=IP(dst=dst_ip)/TCP(sport=src_port,flag=”S”)

然后使用sr1函数将这个数据包发送出去，并且设置5秒延迟。

resp = sr1(packet,timeout=5)

然后根据应答包来判断目标端口的状态，这时候的情况根据刚才的图，会有三种情况。

第一种：如果resp值为空，就表示没有收到来自目标的回应。在程序中可以使用str(type(resp))来判断这个resp是不是为空，当type(resp)的值转换为字符串之后为“<type ‘NoneType’>”时，表示resp为空，就是没有收到任何数据包，可以直接判断目标端口关闭，跳到后面的第二种或者第三种情况。

第二种：当收到了回应的数据包之后，判断一下这个数据包时“SYN+ACK”类型还是“RST”类型。在scapy模块中，可以使用haslayer()函数来判断是否具有某一个协议，例如，判断一个数据包是否使用了TCP，就可以使用haslayer(TCP)来判断，也可以使用getlayer(TCP)，来读取某一个字段的内容，这里需要判断回应数据包是否为“SYN+ACK”类型，代码如下：

resp.getlayer(TCP).flags == 0x12 //0x12就是“SYN+ACK”

如果这个结果为真，表示目标接受我们的TCP请求，需要继续发送一个ACK数据包过去，完成三次握手。

IP(dst=dst_ip)/TCP(spor=src_port,dport=dst_port,flags=”AR”)

第三种：如果resp.getlayer(TCP).flags的结果不是0X12，而是0x14(表示RST)那么表示端口是关闭的。

使用如下的语句判断数据包是不是RST类型。

resp.getlayer(TCP).flags == 0x14 //0x14就是“RST”

按照上面讲的这些思路

设计一个基于TCP全开的完整端口扫描程序

import sys

from scapy.all import *

if len(sys.argv) != 3:

print('Usage:PortScan <IP>\n eg:PortScan 192.168.65.1 80')

sys.exit(1)

dst_ip = sys.argv[1]

src_port = RandShort()

dst_port=int (sys.argv[2])

packet = IP(dst = dst_ip)/TCP(sport=src_port,dport=dst_port,flags="S")

resp = sr1(packet,timeout = 5)

if(str(type(resp))=="<type 'noneType'>"):

print "The port %s is Closed" %(dst_port)

elif (resp.haslayer(TCP)):

if(resp.getlayer(TCP).flags == 0x12):

send_rst = sr(IP(dst = dst_ip)/TCP(sport=src_port,dport=dst_port,flags="AR"),timeout = 10)

print "The port %s is open" %(dst_port)

elif(resp.getlayer(TCP).flags == 0x14):

print "The port %s is Closed" %(dst_port)

代码执行结果如下。

代码中的RandShort函数功能是一个随机生成端口

基于TCP半开的端口扫描技术

TCP半开端口扫描的原理

全开扫描的话，可能会被主机的日志记录下来，而且最主要的是TCP连接三次握手中的最后一次是没用的，在目标返回了一个SYN+ACK类型的包，已经达到了探测的目标，可以考虑去除这一步。

于是一种基于TCP半开的端口扫描产生了，这种扫描的思想很简单。如果目标端口时开放的，那么在街道主机端口发出的SYN请求之后，就会返回一个SYN+ACK的回应，表示愿意接受这次连接的请求，然后主机端口不再回应一个ACK而是发送一个RST表示中断这个连接。这样实际上并没有建立好完成的TCP连接，称之为半开扫描。过程如图所示：

不过这个端口如果是关闭的话，扫描过程如图：

在这次半开扫描实例中，还要考虑一种不确定的状态，我们发出去的包很容易被过滤掉，过滤开能来自对方的而防火墙设备，路由器规则，防火墙等。这些端口几乎不提示任何信息，偶尔也会响应ICMP的错误信息，过程如图：

这样就将收到没有回应数据包的端口归于“filtered”状态，另外，考虑收到ICMP错误消息的情形，这种情况下，也要讲目标端口归于“filtered”状态，当TCP连接的是数据包被屏蔽时，一般返回如下的几种ICMP的错误信息

类型（type）代码（code）意义

3                           1                   主机不可达

3                           2                   协议不可达

3                           3                   端口不可达

3                           9                   目标网络被强制禁止

3                           10                 目的之际被强制禁止

3                           13                 由于过滤，通信被强制禁止

如果收到这几种类型的数据包，也将目标端口的状态归于“filtered”所以在写代码时候，考虑如下两种情况：

if(str(type(stealth_scab_resp)) == “<type ‘NoneType’>”)

这种情况表示没有收到任何回应包。

if(int(resp.getlayer(ICMP).type) == 3 and int(resp.getlayer(ICMP).code) in [1,2,3,9,10,13]):

这种情况表示收到的ICMP类型的数据包。

设计一个基于TCP半开的完整端口扫描程序

完整代码如下：

import sys

from scapy.all import *

if len(sys.argv) != 3:

print('Usage:PortScan <IP>\n eg:PortScan 192.168.65.1 80')

sys.exit(1)

dst_ip = sys.argv[1]

src_port = RandShort()

dst_port=int (sys.argv[2])

packet = IP(dst = dst_ip)/TCP(sport=src_port,dport=dst_port,flags="S")

resp = sr1(packet,timeout = 5)

if(str(type(resp))=="<type 'NoneType'>"):

print "The port %s is Filtered" %(dst_port)

elif (resp.haslayer(TCP)):

if(resp.getlayer(TCP).flags == 0x12):

send_rst = sr(IP(dst = dst_ip)/TCP(sport=src_port,dport=dst_port,flags="R"),timeout = 10)

print "The port %s is open" %(dst_port)

elif(resp.getlayer(TCP).flags == 0x14):

print "The port %s is Closed" %(dst_port)

elif(resp.haslayer(ICMP)):

if(int(resp.getlayer(ICMP).type) == 3 and int(resp.getlayer(ICMP).code) in [1,2,3,9,10,13]):

print "The port %s is Filtered" %(dst_port)

另外也可以用nmap库来进行TCP扫描，Nmap中默认的就是半开扫描，所以连参数都不用加，其代码如下：

import sys

import nmap

if len(sys.argv) != 3:

print('Usage:PortScan <IP>\n eg:PortScan 192.168.65.1 80')

sys.exit(1)

target = sys.argv[1]

port = sys.argv[2]

nm = nmap.PortScanner()

nm.scan(target,port)

for host in nm.all_hosts():

print('-------------------')

print('Host: {0} ({1})'.format(host,nm[host].hostnmae()))

print('State : {0}').format(nm[host].state()))

for proto in nm[host].all_protocols()

print('----------')

print('Protocol : {0}'.format(proto))

lport = list(nm[host][proto].keys())

lport.sort()

for port in lport:

print('port : {0}\tstate : {1}'.format(port,nm[host][proto][port]))

这个程序本身简单，但是nmap的扫描结果格式很复杂，在服务扫描中会介绍。