您现在的位置是:首页 > 密码破解

Nmap待办单:从探寻到漏洞检测(Part 4)

作者:果E安全网时间:2020-10-23 15:23:32分类:密码破解

简介它是大家的Nmap待办单的第四一部分(Part1、?Part2、?Part3)。文中中大家将探讨大量物品有关扫描防火墙,IDS/IPS肇事逃逸,Web服务端网站渗透测试等。在这以前,大家应当了解一下防火墙的一些基本知识便于绕开它。防火墙是用于操

它是大家的Nmap待办单的第四一部分(Part 1、?Part 2、?Part 3)。文中中大家将探讨大量物品有关扫描防火墙,IDS / IPS 肇事逃逸,Web服务端网站渗透测试等。在这以前,大家应当了解一下防火墙的一些基本知识便于绕开它。

防火墙是用于操纵互联网浏览的手机软件或硬件。分成下列两大类:1、根据服务器的防火墙;2、根据互联网的防火墙。

它是在每台服务器上运作的手机软件,用于操纵入站总流量(从互联网向服务器)和出站总流量(从服务器向互联网)。这种程序安装于电脑操作系统以上,普遍事例便是Linux上边的iptables和Windows上的Zone Alarm。

这种能够是硬件配置机器设备或手机软件,或是硬件配置机器设备和手机软件紧密结合。用于维护来自于未受维护的入站通讯。

防火墙被安裝在受维护和不会受到维护的互联网中间,他们会查询全部的通讯,并根据设定标准来操纵入站和转站的通讯。

为了更好地合理地扫描防火墙,大家务必查验全部对外开放端口,服务项目和情况。在应用Nmap扫描时还要付诸行动,设置时间选择项来明确防火墙的存有。因此 你能见到下边相关Nmap扫描結果的报表,我们可以非常容易地了解防火墙是不是存有。

1.jpg

根据谷歌搜索引擎情况下.我了解,下边的IP地址是由WAF(Web运用防火墙),及其一些IDS维护下。大家尝试以某类超强力进攻(SQL引入)。大家递交一些特殊符号时,它都是会被显示信息“不成功的防火墙验证”。大家才知道这个东西可以用HTTP形容词伪造来绕开。大家将稍候探讨。

Clipboard Image.png

最先大家应用选择项-Pn开展扫描。

Clipboard Image.png

发觉有被过虑的端口,因而大家毫无疑问网络服务器有防火墙维护,大家扫描特定端口得到 大量的信息内容。

Clipboard Image.png

使我们做一个內部互联网扫描。最先,大家将查验扫描版本:

Clipboard Image.png

根据特定時间选择项和端口选择项发觉了大量服务项目。

Clipboard Image.png

观查:

扫描防火墙给內部互联网出示的各种各样服务项目,包含DNS,SSH,HTTPS和Web代理商。这种全是在內部互联网中的全部PC能够浏览。它也在80端口运作透明代理,因此 并不一定手机客户端的电脑浏览器变更设定。

bypass或避开或躲避只不过是进到系统软件的另一种方法。管理人员应用防火墙或IDS / IPS阻拦故意进攻或垃圾短信。可是从网络攻击的视角看来,他会想办法绕开防火墙标准;Nmap有很多方法绕开防火墙。

Nmap推送八个字节数的数据文件绕开防火墙/IDS/IPS。这类技术性早已很历史悠久了,可是在防火墙配备不善的情况下依然有效。

Clipboard Image.png

MTU,较大 传送模块,它是泛娱乐化的别称,我们可以特定它的尺寸。

Clipboard Image.png

上边的Nmap扫描应用16字节数的数据文件而不是八个字节数。因此 我们可以特定自定数据文件尺寸为8的倍数。

这类种类的扫描是十分隐秘且没法发觉。总体目标由好几个仿冒或仿冒IP地址开展扫描。那样防火墙便会觉得进攻或扫描是根据好几个資源或IP地址开展,因此就绕开了防火墙。

Clipboard Image.png

鱼饵在原始的ping扫描(应用ICMP,SYN,ACK等)应用,在具体的端口扫描环节应用。鱼饵在远程控制电脑操作系统检验(-O)期内也应用。鱼饵没有版本检验工作中或TCP联接扫描中应用。

这事实上在总体目标看来是由好几个系统软件另外扫描,这促使防火墙更难查证扫描的来源于。

有二种方法来实行鱼饵扫描:

1.nmap --D RND:10 TARGET

Clipboard Image.png

2.nmap --D decoy1,decoy2,decoy3 target

Clipboard Image.png

下列网络抓包显示信息好几个鱼饵将蒙骗防火墙。

Clipboard Image.png

网络攻击将最先运用一个空余的系统软件并且用它来扫描总体目标系统软件。

扫描的原理是运用一些系统软件中选用可预料的IP编码序列ID形成。为了更好地使空余扫描取得成功,丧尸服务器的系统软件务必是在扫描時间处在闲置不用情况。针对一切疑惑,请参照以前的文章内容。

在这类技术性中会掩藏网络攻击的IP地址。

Clipboard Image.png

大家应用tcpdump来捕捉全部数据流量。

Clipboard Image.png

每一个TCP数据文件含有源端口号。默认设置状况下Nmap会任意挑选一个能用的传来源端口来检测总体目标。该--source-port选择项将强制性Nmap应用特定的端口做为源端口。这类技术性是运用了盲目跟风地接纳根据特殊端口号的传到总流量的防火墙的缺点。端口21(FTP),端口53(DNS)和67(DHCP)是这类扫描种类的普遍端口。

Clipboard Image.png

额外任意数据信息长短,大家还可以绕开防火墙。很多防火墙根据查验数据文件的尺寸来鉴别埋伏中的端口扫描。这是由于很多扫描器会推送具备特殊尺寸的数据文件。为了更好地避开那类检验,我们可以应用指令--data-length提升附加的数据信息,便于与默认设置尺寸不一样。在下面的图中,大家根据添加25好几个字节数更改数据文件尺寸。

Clipboard Image.png

捕捉手机流量

Clipboard Image.png

选择项--randomize-host用以任意 次序扫描特定总体目标。--randomize-host有利于避免 因持续 扫描好几个总体目标而防火墙和入侵防御系统网络检测到。

Clipboard Image.png

每台设备都是有自身与众不同的mac详细地址。因而这也是绕开防火墙的另一种方式,由于一些防火墙是根据MAC地址开启标准的。为了更好地得到 扫描結果,您必须先掌握什么MAC地址能够应用。这能够根据手动式或优秀的模糊不清检测进行。我更喜欢模糊不清检测,用Python完成很容易。大家只必须手工制作导进正则表达式到Python中,随后自动化技术实行。

尤其是--spoof-MAC选择项使您可以从一个特殊的供应商选择一个MAC地址,挑选一个任意的MAC地址,或是设置您所挑选的特殊MAC地址。 MAC地址蒙骗的另一个优势是,你给你的扫描隐秘,由于你的具体MAC地址就不容易出現在防火墙的日志文件。

Clipboard Image.png

Mac详细地址蒙骗必须下列主要参数:

2.jpg

8、推送不正确校检

在一些防火墙和IDS / IPS,总是查验有恰当校检包的数据文件。因而,网络攻击根据推送不正确校检蒙骗IDS / IPS。

Clipboard Image.png

什么叫Sun RPC?Sun RPC(远程控制全过程启用)是一种Unix协议书,用于完成多种多样服务项目例如NFS。最开始由Sun开发设计,但如今普遍应用在别的服务平台上(包含Digital Unix的)。也被称作敞开式互联网测算(ONC)。

Sun RPC包含有一个RPCc语言编译器,自动生成服务器端和手机客户端的底单。

nmap含有接近600个RPC程序流程的数据库查询。很多RPC服务项目应用高端口序号或是应用UDP协议书,RPC程序流程也有比较严重的远程控制运用系统漏洞。因此 网络工程师和网络安全审计工作人员通常期待掌握大量在她们的互联网内相关一切RPC程序流程。

我们可以根据下列指令得到 RPC 的详细资料:

Clipboard Image.png

nmap根据下列三个流程跟对外开放的RPC端口立即通讯,随后获得信息。

1)应用TCP或是UDP扫描对外开放的端口。

2)-sV选择项查验应用Sun RPC协议书的对外开放端口。

3)RPC暴力破解密码模块会逐一向nmap-rpc数据库查询中纪录的端口推送空指令,来分辨RPC程序流程。当nmap猜想不正确,会接到一条不正确信息,强调要求的端口并沒有运作PRC程序流程。当nmap耗光了全部已经知道的纪录,或是端口回到了非RPC的数据文件,nmap才会舍弃。

NMAP具备检验SSL加密协议的工作能力,开展版本检验的时候会全自动开启这一作用。如同此前探讨的RPC扫描,要是检验一个适度的(SSL)端口全自动实行将SSL后CPU扫描。

指令:

Clipboard Image.png

Nmap应用本地文件来储存版本检验探针和搭配字符串数组。尽管nmap内置的nmap-services足够考虑大部分客户,了解格式文件有利于网站渗透测试工作人员加上新的标准到扫描模块中。#号刚开始的行用以注解和忽视。

版本扫描中会清除特定的端口。它只有应用一次,在全部的探针命令的最上边,坐落于文档顶端。端口应当用分号隔开。

英语的语法:Exclude

英语的语法:Probe

事例:

Probe TCP GetRequest q|GET / HTTP/1.0\\r

\\r

|

Probe UDP DNSStatusRequest q|\\x10|

Probe TCP NULL q||

探针命令告知nmap推送特定字符串数组去鉴别服务项目。主要参数以下:

<协议>

这务必是TCP或UDP。 NMAP只应用搭配它尝试扫描服务项目的协议书的探针。

<探测器名称>

这是一个纯英文名字。

<探测字符串>

告知Nmap推送哪些。它务必有一个q,用分隔符标识字符串数组的开始与结束。它容许下述规范转义字符C或Perl的字符串数组:\\\\ , \\a, \\b, \\f,

, \\r, , \\v,和\\xHH( H是一切十六进制数据)。Nmap的探针也有时间內容探针例如上边的第三个事例,这一TCP空探针用于接受服务项目回到的banner。假如你的分隔符(在这种事例中是|)必须在检测字符串数组中,你需要挑选不一样的分隔符。

英语的语法:match[]

Examples:

搭配命令告知Nmap怎样依据以前推送探针后网络服务器的回应来鉴别服务项目。每一个探针后可追随数十或数以百计搭配的句子。搭配命令包含:可选择的版本表明,应用软件名字,版本号,及其Nmap汇报的别的信息内容。该主要参数这一命令以下:

 <服务>

  这是简单的模式匹配的服务名称。比如ssh、smtp、http或snmp。

  <模式>

  该模式被用来确定接收到的响应是否与先前给出的服务参数相匹配。格式如Perl,使用语法为m/[regex]/[opts]。“m”告诉Nmap一个匹配的字符串开始。正斜杠(/)是一个分隔符。该正则表达式是一个Perl风格的正则表达式。目前可以配置的选项是‘i’(不区分大小写),‘s’(.也可以匹配换行符)。在Perl这两个选项具有相同的语义。用括号包围需要捕获的字符串,比如版本号。

  <版本信息>

  在部分实际上包含几个可选字段。每个字段始于一个确认字母(如h为“主机名”)。接下来是一个分隔符,优选的分隔符是斜杠('/'),除非是在斜杠会在内容中体现。接下来是字段的值,然后是分隔符。下表描述了六个字段:

  3.jpg

  软匹配指令

  语法:softmatch

  样例:

  softmatch ftp m/^220 [-.\w ]+ftp.*\r

  $/i

  softmatch smtp m|^220 [-.\w ]+SMTP.*\r

  |

  softmatch pop3 m|^\+OK [-\[\]\(\)!,/+:<>@.\w ]+\r

  $|

  软匹配指令和匹配指令的格式类似,主要区别在于软匹配成功之后仍会继续扫描,但只会发送与匹配成功的服务有关的探针,这有助于获得更多信息,比如版本号。

  语法:port

  样例:

  这个命令告诉nmap通过哪些端口去标识服务。语法类似于nmap的-p选项。

  语法:sslports

  样例:sslports 443

  这个是用来探测ssl服务的端口。

  语法:totalwaitms

  样例:totalwaitms 5000

  这个指令告诉nmap针对特定服务发送探针后要等待响应的时间有多久。nmap默认是5秒。

  语法:rarity <值在1和9之间>

  样例:rarity 6

  这个指令对应这个探针能返回期望结果的程度。数值越高表示越稀有。

  语法:fallback <逗号分隔的探针列表>

  样例:fallback GetRequest,GenericLines

  这个选项指定当当前探针没有匹配成功时,会使用的备用探针,顺序是从左往右。对于没有回退指令的探针,会隐藏的执行回退到空探针。

  现在来讲讲nmap在web渗透中的利用。

  Web服务器根据它们的配置和软件支持不同的HTTP方法,并且其中一些请求在一定条件下是危险的。HTTP的方法有GET, HEAD, POST, TRACE, DEBUG, OPTION, DELETE, TRACK, PUT等。更多详情请查阅这里。

  命令:

  Clipboard Image.png

  如果需要详细的检查,那么命令:

  Clipboard Image.png

  默认情况下,脚本http-methods使用根文件夹为基础路径(/)。如果我们要设置一个不同的基本路径,设置参数的HTTP methods.url路径:

  命令:

  Clipboard Image.png

  HTTP方法TRACE,CONNECT,PUT和DELETE可能会出现安全风险,如果一个Web服务器或应用程序的支持这些方法的话,需要进行彻底测试。 TRACE使应用程序容易受到跨站跟踪(XST)攻击,可能导致攻击者访问标记为的HttpOnly的Cookie。 CONNECT方法可能会允许Web服务器作为未经授权的Web代理。 PUT和DELETE方法具有改变文件夹的内容的能力,如果权限设置不正确可能被滥用。

  你可以了解每个方法更多的风险到:

  https://www.owasp.org/index.php/Test_HTTP_Methods_%28OTG-CONFIG-006%29

  有些防火墙会过滤Nmap的默认UserAgent,你可以设置不同的用户代理。

  命令:?

  Clipboard Image.png

  一些web服务器允许多个HTTP请求的封装在一个包。这可以加快脚本执行的速度,如果web服务器支持的话建议启用。默认情况下一个管道会有40个请求,并且会根据网络情况自动调节大小。

  命令:

  Clipboard Image.png

  另外,我们可以设置http.max-pipeline参数来控制http管道的最大值。如果设置了该参数,nmap会自动忽略http.pipeline。

  命令:

  使用http代理是为了隐藏自己的真实ip地址。下列命令显示如何检测开放代理:

  命令:

  Clipboard Image.png

  我们还可以指定用来验证的url。

  命令:

  Clipboard Image.png

  这是在渗透测试中常见的任务,通常没法手动完成。经常讨论的Web应用程序的脆弱性有目录列表,用户账户枚举,配置文件等。用Nmap的NSE可以更快的帮助我们完成这个任务。

  Clipboard Image.png

  查找Lua脚本

  Clipboard Image.png

  进入Lua列表

  Clipboard Image.png

  指纹存储在nselib/data/http-fingerprints.lua,事实上是LUA表格。若要显示所有的存在页面

  Clipboard Image.png

  指定不同的User Agent来绕过某些防火墙

  也可以指定HTTP管道数目来加快扫描

  Clipboard Image.png

  很多家用路由器,IP网络摄像头,甚至是Web应用程序仍然依赖于HTTP认证,渗透测试人员需要尝试弱密码的单词列表,以确保系统或用户帐户是安全的。现在多亏了NSE脚本http-brute,我们可以对HTTP认证保护的资源执行强大的字典攻击。请参见下面的命令:

  Clipboard Image.png

  http-brute脚本默认使用的是自带的字典,如果要使用自定义的字典。

  Clipboard Image.png

  http-brute支持不同的模式进行攻击。

  用户模式:该模式下,对于userdb中的每个user,会尝试passdb里面的每个password

  Clipboard Image.png

  密码模式:该模式下,对于passdb中的每个password,会尝试userdb里面的每个user。

  Clipboard Image.png

  fcreds:此模式需要额外的参数brute.credfile。

  Apache的模块UserDir提供了通过使用URI语法/~username/来访问用户目录的方法。我们可以使用Nmap进行字典攻击,确定web服务器上有效的用户名列表。命令如下:nmap -p80 --script http-userdir-enum

  Clipboard Image.png

  跟上面的脚本一样,可以设置User Agent、HTTP管道参数。

  通常情况下Web应用程序存在默认凭据,通过NSE很容易发现。

  脚本通过查找已知路径和已知的用户密码来登陆,依赖/nselib/data/http-default-accounts.nse存放的指纹文件。

  发现使用弱密码账户安装的wordpress,输入如下命令:

  Clipboard Image.png

  设置线程的数量,使用脚本参数http-wordpress-brute.threads:

  如果服务器是虚拟主机,利用参数http-wordpressbrute设置主机字段:

  设置一个不同的登陆URI,登录使用参数http-wordpress-brute.uri:

  要改变存储的用户名和密码的POST变量的名称,设置参数http-wordpress-brute.uservar和http-wordpress-brute.passvar:

  Joomla是在许多国家非常流行的cms,使用http-joomla-brute脚本来检测弱密码账户。

  Clipboard Image.png

  Mark:Wordpress的方法也适用于Joomla。

  要检测web应用防火墙,使用如下命令:

  Clipboard Image.png

  正如你所见,这里的报错信息显示有mod_security

  Clipboard Image.png

  可以通过检测响应内容的变化来检测防火墙,推荐使用内容较少的页面。

  Clipboard Image.png

  使用更多的攻击载荷:

  Clipboard Image.png

  当Web服务器存在跨站脚本漏洞,又启用了TRACE方法,这样就可以获取启用了HttpOnly的Cookie。如下命令检测是否启用TRACE。

  Clipboard Image.png

  跨站脚本漏洞允许攻击者执行任意js代码。检测命令如下:

  Clipboard Image.png

  该脚本http-unsafe-output-escaping是由Martin Holst Swende编写,它会检测基于用户输入的输出可能出现的问题,该脚本发送以下内容到它发现的所有参数:ghz%3Ehzx%22zxc%27xcv

  更多详情,查阅:

  http://nmap.org/nsedoc/scripts/http-phpself-xss.html

  http://nmap.org/nsedoc/scripts/http-unsafe-output-escaping.html

  使用如下命令:

  Clipboard Image.png

  可以设置httpspider.maxpagecount来加快扫描的速度。

  一个有趣的参数是httpspider.withinhost,它限制nmap只能爬取给定的主机。默认情况下是启用的,如果为了爬行相关的站点可以禁用。

  可以找到的官方文档库。

  同样可以设置User Agent和HTTP管道的数目:

  *参考来源:resources.infosecinstitute,FB小编东二门陈冠希编译,转载请注明来自宝洁信息网黑客与极客(宝洁信息网.COM)

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句