數(shù)據(jù)來(lái)源

????????本文僅用于信息安全的學(xué)習(xí)，請(qǐng)遵守相關(guān)法律法規(guī)，嚴(yán)禁用于非法途徑。若觀眾因此作出任何危害網(wǎng)絡(luò)安全的行為，后果自負(fù)，與本人無(wú)關(guān)。??

????????????????????????????????????????????????掃描技術(shù)?

背景

????????在滲透測(cè)試過(guò)程中，為了節(jié)省人力和時(shí)間，通常采用手工和工具相結(jié)合的方式。使用工具，就是將一些機(jī)械性的操作自動(dòng)化實(shí)現(xiàn)，用來(lái)提高滲透測(cè)試的效率。例如，尋找內(nèi)網(wǎng)網(wǎng)段[10.10.10,20/24]所有在線主機(jī)，如果一個(gè)一個(gè)去ping測(cè)試主機(jī)是否存活，顯然是不合適的。?

主機(jī)測(cè)探與端口掃描

????????主機(jī)測(cè)探是指確定目標(biāo)主機(jī)是否存活。

????????端口掃描就是尋找在線主機(jī)所開(kāi)放的端口，并且在端口上所運(yùn)行的服務(wù)。甚至可以進(jìn)步確定目標(biāo)主機(jī)操作系統(tǒng)類型和更詳細(xì)的信息。?

- 基礎(chǔ)知識(shí)?

?????????@ 常見(jiàn)的端口號(hào)

- Nmap-掃描器之王

????????nmap被譽(yù)為“掃描器之王”，nmap為開(kāi)源工具，并且是跨平臺(tái)的。官方網(wǎng)站

????????我們可以使用kali虛擬機(jī)中的nmap（kali自帶的）?

Nmap通過(guò)探測(cè)將端口劃分為6個(gè)狀態(tài)：

1. open：端口是開(kāi)放的
2. closed：口是關(guān)閉的
3. filtered:端口被防火墻IDs/IPs屏蔽，無(wú)法確定其狀態(tài)
4. unfiltered：第口沒(méi)有屏蔽,但是否開(kāi)放需要進(jìn)一步確定
5. open | filtered：端口是開(kāi)放的或被屏蔽。
6. closed | filtered：端口是關(guān)閉的或被屏蔽?

- 重要常用參數(shù)

使用示例：?

準(zhǔn)備：

開(kāi)啟虛擬機(jī)并配置IP

????????我這里開(kāi)了一臺(tái)Kali、一臺(tái)windowsXP、一臺(tái)windows2003，并都把虛擬網(wǎng)絡(luò)橋接到vm2網(wǎng)絡(luò)內(nèi)（除了Kali，其他虛擬機(jī)開(kāi)啟啥都行，最后讓他們處于同一局域網(wǎng)就好）

給虛擬機(jī)配IP就按上面的括補(bǔ)圖來(lái)配置

?給kali系統(tǒng)配置IP

命令：

????????ifconfig eth0 10.1.1.2/24? ? #?eth0的“0”是網(wǎng)卡命令，“0”表示第一塊網(wǎng)卡，“/24”是表示子網(wǎng)掩碼轉(zhuǎn)換成二進(jìn)制就是24個(gè)1，8位為一組= 11111111，11111111，11111111，轉(zhuǎn)換成十進(jìn)制：255，255，255，寫成子網(wǎng)掩碼的形式：255.255.255.0。如果沒(méi)有權(quán)限，在命令前面加：sudo? 空格

????ifconfig eth0? # 查看IP有沒(méi)有配置成功

然后可以ping一下其他兩臺(tái)PC，測(cè)試這些虛擬機(jī)能不能互相通信了

?????????ping? 目標(biāo)ip? ?#? ctrl + c 停止ping

掃描示例：

? ? ? ? nmap -sP 10.1.1.1-100? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? # 掃描10.1.1.1 到10.1.1.100網(wǎng)段的存活地址

????????nmap -sP 10.1.1.0/24? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??# 掃描10.1.1.0整個(gè)網(wǎng)段的存活地址（包括10.1.1.1 - 10.1.1.254）

? ? ? ? nmap -p 21,23-25,3389 10.1.1.3? ? ? ? ? ? ? ? ? # 掃描10.1.1.3指定的端口是否開(kāi)放

????????nmap??10.1.1.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?# 簡(jiǎn)單掃描啥都不寫，會(huì)先掃描在線狀態(tài)再掃描所有端口號(hào)

????????@TCP 連接掃描??-sT 是會(huì)完成TCP完整的三次握手

?? ? ? ? nmap -sT 10.1.1.3 -p 3389? ? ? ? # 掃描10.1.1.3這臺(tái)主機(jī)，測(cè)試3389端口是否可以被連接上

三次握手抓包圖解

簡(jiǎn)單理解：我向目標(biāo)發(fā)送一個(gè)SYN，他回我一個(gè)SYN，最后我再向他發(fā)送一個(gè)ACK完成三次握手。最終我向目標(biāo)發(fā)送一個(gè)RST強(qiáng)制斷開(kāi)連接，使用的傳輸協(xié)議都是TCP。

端口關(guān)閉的情況?

三次握手（源文）

????????所謂三次握手（Three-Way Handshake）即建立TCP連接，就是指建立一個(gè)TCP連接時(shí)，需要客戶端和服務(wù)端總共發(fā)送3個(gè)包以確認(rèn)連接的建立

????????目的：是建立可靠的通信通道，說(shuō)到通信，簡(jiǎn)單來(lái)說(shuō)就是數(shù)據(jù)的發(fā)生與接收，而三次握手最主要的目的就是雙方確認(rèn)自己與對(duì)方的發(fā)送與接收是否正常

• 第一次握手：Client（客戶端）什么都不能確認(rèn)，Server（服務(wù)器）確認(rèn)了對(duì)方發(fā)送正常，自己接收正常
• 第二次握手：Client確認(rèn)了：自己發(fā)送、接收正常，對(duì)方發(fā)送正常、接收正常；Server確認(rèn)了：對(duì)方發(fā)送正常，自己接收正常
• 第三次握手：Client確認(rèn)了：自己發(fā)送、接收正常，對(duì)方發(fā)送正常接收正常；Server 確認(rèn)了：對(duì)方發(fā)送正常，接收正常，自己發(fā)送正常，接收正常。

????????@ 目標(biāo)主機(jī)版本?

????????nmap -p 21,23,455 10.1.1.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?# 掃描指定的端口

????????nmap -p 21,23,455 10.1.1.3? -sV? ? ? ? ? ? ? ? ? ? ? ? ?# 掃描指定的端口的服務(wù)器版本

? ? ? ? nmap -O??10.1.1.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? # 掃描目標(biāo)系統(tǒng)版本及端口（不同的操作系統(tǒng)攻擊方式就會(huì)不同）

? ? ? ? nmap -A? 10.1.1.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?# 全面掃描（IP、端口、端口的服務(wù)版本）

????????@ 保存掃描報(bào)告

????????- oN保存成txt純文本格式

? ? ? ? nmap -sT?21,23? 10.1.1.3 -sV?-oN? result.txt? ? ? ? # 掃描指定的端口并打印掃描結(jié)果

? ? ? ? - oX保存成xml表格格式

? ? ? ? nmap -p 21,23? 10.1.1.3?-oX?result.xml? ? ? ? ? ? ? ? # 掃描指定的端口并打印掃描結(jié)果

????????????????????????????????????????????????口令破解

????????口令安全威脅概述現(xiàn)在很多地方都以用戶名(賬號(hào))和口令(密碼)作為鑒權(quán)的方式，口令(密碼)就意味著訪問(wèn)權(quán)限?？诹?密碼)就相當(dāng)于進(jìn)入家門的鑰匙，當(dāng)他人有一把可以進(jìn)入你家的鑰匙，想想你的安全、你的財(cái)務(wù)、你的隱私、害怕了吧。例如網(wǎng)站后臺(tái)、數(shù)據(jù)庫(kù)、服務(wù)器、個(gè)人電腦、QQ、郵箱等等

????????- 口令安全現(xiàn)狀

????????@ 弱口令。

????????類似于123456、654321、 admin123等這樣常見(jiàn)的弱密碼。

????????@ 默認(rèn)口令

????????很多應(yīng)用或者系統(tǒng)都存在默認(rèn)口令。比如 phpstudy的 mysql數(shù)據(jù)庫(kù)默認(rèn)賬密[ root/root ]，?Tomcat? ?管理控制臺(tái)默認(rèn)賬密[?tomcat/ tomcat ]等。

????????@ 明文傳輸

????????比如http、ftp、telnet等服務(wù)，在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)流都是明文的，包括口令認(rèn)證信息等。這樣的服務(wù)，就有被嗅探的風(fēng)險(xiǎn) 。

破解方式

- 暴力破解

????????暴力破解就是利用所有可能的字符組成密碼，去嘗試破解。這是最原始，粗暴的破解方法，根據(jù)運(yùn)算能力，如果能夠承受的起時(shí)間成本的話，最終一定會(huì)爆破出密碼。下表是不同字符集合不同位數(shù)密碼的數(shù)量。

????????下圖為用真空密碼字典生成器，生成的1到8位數(shù)的小寫字母和數(shù)字字典，約占用空間

- 字典破解

????????如果能通過(guò)比較合理的條件，篩選或者過(guò)濾掉一些全字符組合的內(nèi)容，就會(huì)大幅降低爆破的成本。我們把篩選出的密碼組合成特定的字典。在用字典爆破密碼也是可以的，但是這樣做有可能會(huì)漏掉真正的密碼。密碼字典大致分為以下幾類。

????????@弱口令字典

????????比如123456，dmin等這樣的默認(rèn)口令或弱口令。

????????@ 社工字典（社會(huì)工程學(xué)）

????????人們?cè)谠O(shè)置密碼的時(shí)候，往往為了便于記憶，密碼的內(nèi)容和組合會(huì)與個(gè)人信息有關(guān)，比如常見(jiàn)的密碼組合“名字+生日”。社工字典更具針對(duì)性，準(zhǔn)確率也比較高。

????????下圖為，根據(jù)提供的用戶信息，使用亦思社會(huì)工程學(xué)字典生成器生成的用戶可能使用的密碼，通過(guò)此字典進(jìn)行密碼破解。

?- 字符集字典

????????如果能確定密碼的字符集合,也將大大降低爆破的成本

windows口令破解

????????- windows口令遠(yuǎn)程爆破

????????我們可以通過(guò)Ntscan工具遠(yuǎn)程爆破 windows口令

????????如何防止 Ntscan掃描?

????????????????本地策略-->安全選項(xiàng)-->網(wǎng)絡(luò)訪問(wèn)：本地賬戶的共享和安全模式屬性-->僅來(lái)賓模式?

例：?準(zhǔn)備兩臺(tái)虛擬機(jī)如：windowsXP -- 模擬黑客攻擊機(jī) ? ? ? ? windows server2003 -- 模擬肉雞

????????1）讓兩臺(tái)虛擬機(jī)能互相通信（可以使用ping命令測(cè)試）如：windows server2003的IP配置成：10.1.1.1/24，windowsXP的IP配置成：10.1.1.2/24，然后把兩臺(tái)虛擬就橋接到同一個(gè)虛擬網(wǎng)絡(luò)就行了。

????????2）在windowsXP使用軟件進(jìn)行破解密碼

????????????

?????????

- windows賬戶 本地 hash 值破解

????????除了可以從遠(yuǎn)程爆破 windows密碼，我們還可以在本地破解 windows 密碼。本地indows賬戶破解主要有兩種方式。

? ? ? ? @ 從內(nèi)存中讀取 windows密碼

????????我們可以是用gtpase直接從 windows 系統(tǒng)內(nèi)存中讀取莊戶密碼。?（針對(duì)win2003系統(tǒng)，win10不起效）

????????

@ windows hash值破解（不是win2003系統(tǒng)，就可以用這種方式）

????????windows Hash 值破解一共需要兩步操作。首先我們使用Quarks Pwdump工具讀取(導(dǎo)出) windows賬戶密碼hash值，然后再使用 Saminside工具破解 hash 值。?

提取本機(jī)的哈希值

? ? ? ? 輸入：QuarksPwDump.exe? ?# 進(jìn)入藍(lán)色的命令行窗口

????????

??????????????????QuarksPwDump.exe -dhl? ?# 提取哈希值

暴力破解哈希?

1）把你認(rèn)為可能是密碼的字符串，使用密碼本生成復(fù)制粘貼到上圖軟件的密碼本文件中（密碼本文件是運(yùn)行程序才會(huì)自動(dòng)生成）

2）選擇要破解的哈希值文件（剛才創(chuàng)建的hash.txt文件 ）?

linux口令破解（linux里kali內(nèi)的工具進(jìn)行遠(yuǎn)程連接破解）

????????linux 口令破解，也分遠(yuǎn)程破解與本地破解。遠(yuǎn)程破解主要是爆破ssh服務(wù)，屬于在線密碼攻擊。本地破解需要拿到linux的 shadow 文件，進(jìn)行hash值破解，屬于離線密碼攻擊。

在kali命令行輸入 hydra? 出現(xiàn)以下內(nèi)容?

- 破解SSH服務(wù)

? ? ? ? ? ???-L 賬戶字典

? ? ? ? ? ? ?-l 單個(gè)賬戶名

? ? ? ? ? ? ?-p 單個(gè)密碼

? ? ? ? ? ? ?-P 密碼字典

? ? ? ? ? ? ?-vV 顯示破解過(guò)程

????????我們使用 hydra 攻擊破解ssh服務(wù)（22端口）, hydra攻擊己經(jīng)自動(dòng)集成在kali虛擬機(jī)中。命令如下

????????hydra -l administrator -P /root/dic/test_pwd.dic 10.1.1.3?ssh -vV? #??administrator（用戶名）?? /root/dic/test_pwd.dic（密碼本路徑）

????????注意：要目標(biāo)主機(jī)開(kāi)啟了相應(yīng)的服務(wù)端口，才能暴力破解

?????????測(cè)試21、23、445端口是否開(kāi)啟

?????????準(zhǔn)備好一個(gè)密碼本（如果無(wú)法確定賬號(hào)，可以再準(zhǔn)備一個(gè)賬號(hào)本）

????????hydra爆破telnet（23端口）：-p # 使用密碼 ? -P # 使用密碼字典??-vV # 顯示破解過(guò)程

? ????????? ? ? hydra -l administrator -P /home/kali/桌面/test_pwd.txt 10.1.1.3 telnet???#? 通過(guò)23端口進(jìn)行破解密碼?

????????hydra爆破FTP（21端口）

????????????????hydra -l administrator -P /home/kali/桌面/test_pwd.txt 10.1.1.3 ftp?#? 通過(guò)21端口進(jìn)行破解密碼?

????????hydra爆破smb（445）:

????????????????hydra -l administrator -P /home/kali/桌面/test_pwd.txt 10.1.1.3 smb?#? 通過(guò)445端口進(jìn)行破解密碼?

?????????總結(jié)：先掃描對(duì)方那個(gè)端口打開(kāi)了，就使用那個(gè)端口進(jìn)行破解

?- 本地 shadow文件破解

????????我們可以使用john工具，破解 shadow 密碼文件。

????????john有 windows版和linux版本。jhn也是自動(dòng)集成在kali中。john破解的時(shí)候也需要準(zhǔn)備一個(gè)字典。

????????john的具體命令如下

????????john --wordlist=/home/kali/桌面/test_pwd.txt /etc/shadow? ?# 指定要使用的字典

????????john --show /etc/shadow? ? ? ? ? ?# 開(kāi)始破解文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-655953.html

到了這里，關(guān)于網(wǎng)絡(luò)安全必備：Kali 中掃描器和爆破工具的選用與實(shí)踐的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！