《黑客手工踩点技术详解》由会员分享,可在线阅读,更多相关《黑客手工踩点技术详解(5页珍藏版)》请在金锄头文库上搜索。
1、黑客手工踩点技术详解在进行一次渗透测试的时候,首先第一步是踩点,踩点即收集目标的信息方便后 面渗透到思路利用及综合分析。 本文描述不需要任何工具的踩点技术踩点思路。本文来源:http:/www. 面渗透到思路利用及综合分析。本文描述不需要任何工具的踩点技术踩点思路。1探测 web 架构(1)telnet 80 返回下:400 Bad Requestvbody bgcolor=”white”400 Bad Requestnginx/0.8.53得到了 nginx/0.8.53,虽然还没办法判断是什么系统,按照这个判断大致可以判断是Linux (偶尔有些奇特的管理员在windows搭建ngin
2、x)如果判断是Linux,尝试22,telnet 22可以连接说明打开,有时候会返回SSH版本。SSH-2.0-OpenSSH_5.2同理也要尝试 21 端口telnet 21 返回220- Welcome to Pure-FTPd privsep TLS -220-You are user number 1 of 30 allowed.220-Local time is now 05:28. Server port: 21.220-This is a private system 一 No anonymous login220-IPv6 connections are also welc
3、ome on this server.220 You will be disconnected after 15 minutes of inactivity.得知对方是Pure-FTPd搭建的ftp,并且可以进一步确认使用的是Linux系统。如果是window你可以尝试你关心的端口开放情况,比如3389, 8080,21, 445, 139等,当然端口开放情况可以应用所有平台。有时候端口被修 改,你就借助工具来扫描了。但是有一种情况比较难以判断,在tOOIs上看到端口有大于65535的。实例:telnet 80 然后输入 head 返回:HTTP/1.0 400 Bad RequestSer
4、ver: squid/2.7.STABLE8Date: Tue, 14 Jun 2011 05:17:08 GMTContent-Type: text/htmlContent-Length: 1213X-Squid-Error: ERR_INVALID_REQ 0X-Cache: MISS from WIN-S6AV24UOFUFX-Cache-Lookup: NONE from WIN-S6AV24UOFUF:80Via: 1.0 WIN-S6AV24UOFUF:80 (squid/2.7.STABLE8)Connection: closeVDOCTYPE HTML PUBLIC -/W3C
5、/DTD HTML 4.01 Transitional/EN” “http:/www.w3.or g/TR/html4/loose.dtd”ERROR: The requested URL could not be retrievedERRORThe requested URL could not be retrievedWhile trying to process the request:headerThe following error was encountered:Invalid RequestSome aspect of the HTTP Request is invalid. P
6、ossible problems:Missing or unknown request methodMissing URLMissing HTTP Identifier (HTTP/1.0)Request is too largeContent-Length missing for POST or PUT requestsIllegal character in hostname; underscores are not allowedYour cache administrator is webmaster.Generated Tue, 14 Jun 2011 05:17 :08 GMT b
7、y WIN-S6AV24UOFUF (squid/2.7.STABLE8) 遗失对主机的连接。分析:从返回信息,我们知道tOO使用squdi cache代理及web缓冲服务器(该软件普遍用于linux下,window下也有,可以参考 http:/ WIN-S6AV24UOFUF,从命名来看应该是 windows 系统搭建的。在不同 的情况下返回不同的结果,这个依赖于服务器的设置,但是有些没有返回内容。比如百度就没有返回信息了。说明做了安全设置(具体设置还望大家 分享)。2. 服务器备案及网站域名绑定(1)备案信息通过国家备案中心公共信息查询 http:/ 可以得到很多有用的信息可以看到网站备案
8、管理员的真实姓名和他备案号下所有的网站,为社工和渗透增加了很多思路。另外,我们不能忘记whois查询http:/ 个示例网站,有很多类似网站)从whois信息往往可以得到管理员注册电话和邮箱,还有注册机构另外可能还有管理员的真实地址和名称。(2)网站域名绑定情况域名绑定情况是查看目标服务器绑定多少个域名,这个很重要,因为如果是独立服务器那么渗透思路就比较单一(当然也可以C段嗅探,但是如果 对方antiarp 了,那就悲剧了)http:/ 拟主机相对难搞一点。3. nslookup 踩点很少用这个命令踩点,其实它很强大也很有用。当你面对一个大型的网络时,你可以知道内网中哪台是DNS服务器,而DN
9、S服务器管理员是很少 光顾的。为我们的潜伏提供了很有利的条件。下面看看如何利用这个命令探测:C:UsersLengFnslookup默认服务器: localhostAddress: 192.168.11.1 # 你现在的 DNS 服务器 ip ?命令: (标识符以大写表示, 表示可选)NAME -打印有关使用默认服务器的主机/域NAME的信息NAME1 NAME2 -同上,但将NAME2用作服务器help or ? - 打印有关常用命令的信息set OPTION - 设置选项all - 打印选项、当前服务器和主机nodebug - 打印调试信息nod2 - 打印详细的调试信息nodefname
10、 - 将域名附加到每个查询norecurse - 询问查询的递归应答nosearch - 使用域搜索列表novc - 始终使用虚拟电路domain=NAME - 将默认域名设置为 NAMEsrchlist=N1/N2/./N6将域设置为N1,并将搜索列表设置为N1、N2等root=NAME -将根服务器设置为NAMEretry=X -将重试次数设置为Xtimeout=X -将初始超时间隔设置为X秒type=X 一 设置查询类型(如 A、AAAA、A+AAAA、ANY、CNAME、MX、NS、 PTR、 SOA 和 SRV)querytype=X -与类型相同-设置查询类(如IN (Intern
11、et)和ANY)nomsxfr -使用MS快速区域传送ixfrver=X -用于IXFR传送请求的当前版本server NAME -将默认服务器设置为NAME,使用当前默认服务器lserver NAME -将默认服务器设置为NAME,使用初始服务器root -将当前默认服务器设置为根服务器ls opt DOMAIN FILE-列出DOMAIN中的地址(可选:输出到文件FILE)-a -列出规范名称和别名-d -列出所有记录-t TYPE 一列出给定RFC记录类型(例如A、CNAME、MX、NS和PTR等)的记录view FILE -对Is输出文件排序,并使用pg查看exit -退出程序看到上面
12、帮助信息了吧,我们尝试获取一个目标的邮件服务器: set type=mx target.gov.ph服务器: localhostAddress: 192.168.11.1非权威应答:target.gov.ph MX preference = 10, mail exchanger = mta.target.gov.ph得到了邮件服务器地址了。在得到 DNS 服务器: set type=ns target.gov.ph服务器: localhostAddress: 192.168.11.1非权威应答:target.gov.ph nameserver = ns2.target.gov.phtarget.gov.ph nameserver = ns.target.gov.ph如果你拿下了这两个服务器就可以潜伏在这里了。查看非顶级域名的分配情况:server ns2.target.gov.ph # 设置默认服务器ls target.gov.ph #可以列出域名对应的IP地址A记录另外在Linux下我们可
