freebuf原创: 合天网安实验室 合天智汇
之前有跟大家分享msf5 auxiliary(gather/enum_dns) > info //查看模块信息 2、设置需要查询的域名,设置线程数量,然后运行它 从输出信息中可以看到获取的 CorpWatch 公司名称信息收集 收集公司信息也是必不可少的,我们可以使用 Tip:此网站被Q,需要配置代理才能使用这个服务。 搜索引擎子域名搜集器 收集子域名是寻找新目标的好办法,我们可以使用搜索引擎子域名收集模块。 模块名: 从 切换到这个模块,设置好要要查询的域名,然后运行 通过这个模块,我们收集到了一些新的目标。 我们已经学习了一些基础模块的使用,让我们来学习使用一些更强大的工具吧。 Censys 搜索 我们可以使用 Tip:如果需要使用 收集到了非常多的IP信息和端口信息 Shodan 搜索引擎 Tip:同样要使用 通过 Shodan 蜜罐检查 邮箱信息收集 收集邮箱信息是渗透测试中常见的部分,它可以让我们了解互联网上目标的痕迹,以便用于后续的暴力攻击以及网络钓鱼等活动。 从输出信息来看,可以看到该模块利用 2、使用Metasploit进行主动信息收集 通常来说,通过扫描进行主动信息收集,从这一步开始,我们将直接与目标进行逻辑连接。 端口扫描是一个有趣的信息收集过程,它涉及对目标系统更深入的搜索,但是由于主动端口扫描涉及对目标系统直接访问,可能会被防火墙和入侵检测系统检测到。 怎么做 在 TCP 端口扫描 让我们从 我们要使用的模块是 Tip:扫描器模块一般使用 TCP SYN 扫描 相对普通的 使用的模块是 3、端口扫描:Nmap 方式 准备工作 你可以直接在 怎么做 1、启动 2、进行 Tip:当未指定端口范围的时候, 大多数情况下, 4、 TIp:不指定端口范围的情况下,默认扫描常见的1000个 它是如何工作的 我们分析了三种不同类型的 在渗透测试中,扫描过程可以提供很多有用的结果。扫描中收集的信息构成了后续渗透测试的基础,因此强烈建议你掌握扫描类型的相关知识,让我们更深入了解下我们刚刚学习的这些扫描技术。 更多 让我们进一步探索 操作系统和版本检测 除了端口扫描之外, 以下是操作系统识别扫描结果: 如你所见, 另外一种广泛使用的高级选项是对开放端口服务的版本检测,参数是 隐蔽扫描 有时候必须以隐蔽方式进行扫描,默认情况下,防火墙和IDS日志会记录你的IP, 此选项并不能阻止防火墙和IDS记录你的 这个例子中 4、端口扫描:db_nmap 方式 使用 在第一章中,我们已经学习了 输出结果如下: Nmap 脚本引擎 它的用法如下: 在 从输出结果看到,目标主机的 基于ARP的主机发现 通过 准备工作 当攻击者和目标机器处于同一个局域网时,可以通过执行 怎么做 1、使用 6、UDP 服务识别 怎么做 选择 7、SMB扫描和枚举 多年来, 怎么做 使用无需身份验证的 模块名: 3、 4、用户枚举模块可以通过 5、 6、 7、其他的模块,都在 8、SSH 版本扫描和检测 准备工作 在之前的扫描中,我们发现目标机器开放了 1、模块名称: 当然这里的 获取版本信息之后,我们就可以搜索该版本的漏洞。 2、测试常用口令登录 3、如果登录成功了,可以用 9、FTP扫描 使用 准备工作 怎么做 1、使用 2、与之前的扫描一样,扫描结果会保存到数据库中,可以使用 10、SMTP枚举 准备工作 怎么做 默认情况下, 输出结果中显示了目标 11、SNMP枚举 简单网络管理协议( 准备工作 Tip:如果目标系统为Windows且配置了SNMP(通常是RO/RW团体字符串),我们可以提取系统重启时间,系统上的用户名,系统网络信息,运行的服务等各种有价值的信息。 当通过 怎么做 1、通过 2、通过 12、HTTP扫描 超文本传输协议( 准备工作 如果服务端允许未授权的 怎么做 1、检测目标的 2、检测 3、 4、 13、WinRM扫描和爆破 准备工作 通过 怎么做 1、 2、使用 可以看到,我们成功在目标机上执行了命令。 到目前为止,我们已经了解了端口扫描的基础知识,以及学会了Nmap的使用。通过其他一些工具的许欸,进一步提高了扫描和信息收集的技术。在接下来的小节中,我们将介绍其他几种扫描目标可用服务和端口的工具,这些工具还可以帮助我们确定特定服务和端口可能存在的漏洞类型。 剩下的三小节,关于三种漏洞扫描器与 14、与`Nessus`结合使用/ 15、与`NeXpose`结合使用 16、与`OpenVAS`结合使用 说明 本文由合天网安实验室编译,转载请注明来源。 关于合天网安实验室 合天网安实验室(www.hetianlab.com)-国内领先的实操型网络安全在线教育平台 真实环境,在线实操学网络安全 ; 实验内容涵盖:系统安全,软件安全,网络安全,Web安全,移动安全,CTF,取证分析,渗透测试,网安意识教育等。 实验推荐 nmap网络扫描: http://www.hetianlab.com/expc.do?ec=ECIDee9320adea6e062017110717273100001 使用nmap扫描电脑开放的网络连接端,确定服务运行的连接端,推断计算机运行的操作系统
Name: DNS Record Scanner and Enumerator
Module: auxiliary/gather/enum_dns
License: Metasploit Framework License (BSD)
Rank: Normal
Provided by:
Carlos Perez carlos_perez@darkoperator.com>
Nixawk
Check supported:
No
Basic options:
Name Current Setting Required Description
---- --------------- -------- -----------
DOMAIN yes The target domain
ENUM_A true yes Enumerate DNS A record
ENUM_AXFR true yes Initiate a zone transfer against each NS record
ENUM_BRT false yes Brute force subdomains and hostnames via the supplied wordlist
ENUM_CNAME true yes Enumerate DNS CNAME record
ENUM_MX true yes Enumerate DNS MX record
ENUM_NS true yes Enumerate DNS NS record
ENUM_RVL false yes Reverse lookup a range of IP addresses
ENUM_SOA true yes Enumerate DNS SOA record
ENUM_SRV true yes Enumerate the most common SRV records
ENUM_TLD false yes Perform a TLD expansion by replacing the TLD with the IANA TLD list
ENUM_TXT true yes Enumerate DNS TXT record
IPRANGE no The target address range or CIDR identifier
NS no Specify the nameserver to use for queries (default is system DNS)
STOP_WLDCRD false yes Stops bruteforce enumeration if wildcard resolution is detected
THREADS 1 no Threads for ENUM_BRT
WORDLIST /usr/share/metasploit-framework/data/wordlists/namelist.txt no Wordlist of subdomains
Description:
This module can be used to gather information about a domain from a
given DNS server by performing various DNS queries such as zone
transfers, reverse lookups, SRV record brute forcing, and other
techniques.
References:
https://cvedetails.com/cve/CVE-1999-0532/
OSVDB (492)
msf5 auxiliary(gather/enum_dns) >
DNS记录
更多
dns扫描和枚举模块也可以用于主动信息收集,通过爆破的方式,设置ENUM_BRT为true,可以通过字典暴力枚举子域名和主机名。WORDLIST选项可以设置字典文件。CorpWatch公司名称信息搜索模块:auxiliary/gather/corpwatch_lookup_name,通过该模块可以收集公司的名称,地址,部门和行业信息。该模块与CorpWatch API连接,以获取给定公司名称的公开可用信息。API申请:http://api.corpwatch.org
auxiliary/gather/searchengine_subdomains_collectorYahoo和Bing收集域名的子域信息
Censys是一个互联网设备搜索引擎,Censys每日通过ZMap和ZGrab扫描互联网上的主机和网站,持续监控互联网上所有可访问的服务器和设备。Censys搜索模块,通过Censys REST API进行信息查询。可以检索超过100W的网站和设备信息。Censys搜索模块,需要去https://censys.io注册获得API和密钥
Shodan搜索引擎是一个付费的互联网设备搜索引擎,Shodan运行你搜索网站的Banners信息,设备的元数据,比如设备的位置,主机名,操作系统等。Shodan搜索模块,需要先去Shodan官网( https://www.shodan.io)注册获取API Key。
Shodan搜索模块可以找到更多目标的信息,比如 IP 地址,开放的端口,位置信息等。
Google、Bing和Yohoo搜索目标有关的电子邮件地址。Metasploit框架中,有各种各样的端口扫描模块可供我们使用,从而允许我们准确的对目标系统进行探测。我们可以通过search portscan 命令查看这些模块。
TCP端口扫描模块开始,看看我们能获取目标的哪些信息?use auxiliary/scanner/portscan/tcp
RHOSTS,表示扫描整个网络,而不是RHOST(单机)
TCP扫描来说,SYN扫描速度更快,因为它不会完成TCP三次握手,而且可以在一定程度上躲避防火墙和入侵检测系统的检测。auxiliary/scanner/portscan/syn,使用该模块,需要指定端口范围。
Nmap是安全人员首选的强大网络扫描工具,我们将从初级到高级,详细分析Nmap的各种扫描技术。msfconsole中运行Nmap,但是如果要将结果导入到Metasploit数据库中,需要使用-oX选项导出XML格式的报告文件,然后使用db_import命令将结果导入进来。msfconsole,然后输入nmap
TCP扫描,使用-sT 参数,这是默认和最基本的扫描方式,它会完成TCP三次握手来检测目标机器上的端口。
nmap默认扫描常见的1000个端口。
TCP连接扫描和SYN扫描输出结果是相似的,唯一的区别是,SYN更难被防火墙和IDS检测到。当然现代的防火墙几乎都能捕获SYN扫描,-p参数设置我们想要扫描的端口范围。UDP扫描使用-sU参数,用于识别目标机器上开放的UDP端口扫描技术,UDP扫描会发送空的(没有数据)UDP报头到目标端口,仅通过ICMP消息来判断目标端口是否开放。
UDP端口nmap扫描,它们在渗透测试中非常有用。Nmap提供了许多种不同的扫描方是,这里我们只重点讨论这三种,即TCP连接扫描、SYN隐蔽扫描和UDP扫描。可以将Nmap的不同扫描选项组合到一起使用,已便对目标进行更高级和更复杂的扫描。TCP连接扫描是最基本的扫描技术,此扫描过程会与目标建立完整的TCP连接。它使用操作系统网络功能建立连接,扫描程序向目标发送SYN数据包,如果端口开放,目标会返回ACK消息。然后扫描程序向目标发送ACK报文,成功建立连接,这就是所谓的三次握手过程。连接打开后立即终止,这种技术有它的优点,但很容易被防火墙和IDS检测到。SYN扫描是另一种类型的TCP扫描,但它不会与目标建立完整的连接。 它不使用操作系统的网络功能,而上生成原始IP包并监视响应报文。如果目标端口是开放的,目标会响应ACK消息,然后扫描程序会发送RST结束连接。因此又称为半开扫描。这也被认为是一种隐蔽扫描技术,可以避免被一些防火墙和IDS检测到。UDP扫描是一种无连接扫描技术,因此,无论目标是否收到数据包,都不会返回信息给扫描程序。如果目标端口关闭,则扫描程序会收到ICMP端口不可达的消息。如果没有消息,扫描器会认为端口是开放的。由于防火墙会阻止数据包,此方法会返回错误结果,因此不会生成响应消息,扫描器会报告端口为打开状态。Nmap扫描,学习如何将不同扫描类型组合到一起Nmap还提供一些高级的选项,这些选项可以帮助我们获取目标的更多信息。其他使用最广泛的选项之一是操作系统识别选项:-O。可以帮助我们识别目标计算机的操作系统类型。msf5 > nmap -O 192.168.177.144
[*] exec: nmap -O 192.168.177.144
Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-12 13:12 CST
Nmap scan report for 192.168.177.144
Host is up (0.00035s latency).
Not shown: 990 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
4848/tcp open appserv-http
8022/tcp open oa-system
8080/tcp open http-proxy
8383/tcp open m2mservices
9200/tcp open wap-wsp
49153/tcp open unknown
49154/tcp open unknown
MAC Address: 00:0C:29:D7:02:F6 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|specialized|phone
Running: Microsoft Windows 2008|8.1|7|Phone|Vista
OS CPE: cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_7::-:professional cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1
OS details: Microsoft Windows Server 2008 R2 or Windows 8.1, Microsoft Windows 7 Professional or Windows 8, Microsoft Windows Embedded Standard 7, Microsoft Windows Phone 7.5 or 8.0, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.51 secondsNmap成功识别了目标机器的操作系统类型。-sV。它可以与之前的扫描参数结合使用。
nmap中提供了-D选项来增加迷惑性。IP,只是增加迷惑性,它会通过添加其他IP地址,让目标以为是多个IP在攻击。比如,你添加了两个诱导IP,防火墙或IDS日志会显示数据包是从三个不同的IP地址发送的,一个是你的,其他两个是你添加的虚假地址。msf5 > nmap -sT 192.168.177.144 -D 192.168.177.34,192.168.177.56-D后面的IP地址是虚假的IP地址,它会和原始IP地址一同出现在目标机器的网络日志文件中,这会迷惑对方的网络管理员,让他们以为这三个IP都是伪造的。但不能添加太多虚假IP地址,不然会影响扫描结果。因此,只要使用一定数量的地址就行。db_nmap的好处在于可以将结果直接存储到Metasploit数据库中,而不再需要db_import进行导入。准备工作
db_nmap命令是msfconsole中的一部分,所以只需要启动msfconsole并使用就好了。参数就和在命令行中单独使用nmap一样。怎么做
db_nmap的一些基本用法,所以现在我们将了解一些更高级的特性。在下面的例子中,你将学习如何使用其中的一些特性。msf5 > db_nmap -Pn -sTV -T4 --open --min-parallelism 64 --version-all 192.168.177.144 -p --Pn:跳过主机发现过程-sTV:TCP扫描和检测开放端口服务版本信息-T4:设置时间模板,加速扫描--open:只显示开放端口--min-parallelism:探测报文的并发数--version-all:尝试每个探测,保证对每个端口尝试每个探测报文,获取服务更具体的版本-p -:表示扫描所有的端口(1-65535)
Nmap脚本引擎(NSE)是Nmap最强大和最灵活的特性之一,它可以将Nmap转为漏洞扫描器使用。NSE有超过600个脚本,分为好几类,有非侵入式的,也有侵入式的,比如暴力破解,漏洞利用和拒绝服务攻击。你可以在Kali的/user/share/nmap/scripts目录中找到这些脚本。或者用locate搜索*.nse也可以找到。
nmap --script scriptname> host ip>db_nmap中同样可以使用,我们试试用NSE脚本来查找目标的HTTP/HTTPS漏洞msf5 > db_nmap --open -sTV -Pn -p 80,8020,8022,8080,8282,8383,8484,8585,9200 --script=http-vhosts,http-userdir-enum,http-apache-negotiation,http-backup-
finder,http-config-backup,http-default-accounts,http-methods,http-method-tamper,http-passwd,http-robots.txt,ssl-poodle,ssl-heartbleed,http-webdav-scan,h
ttp-iis-webdav-vuln 192.168.177.144
[*] Nmap: Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-12 14:03 CST
[*] Nmap: Nmap scan report for 192.168.177.144
[*] Nmap: Host is up (0.00052s latency).
[*] Nmap: PORT STATE SERVICE VERSION
[*] Nmap: 80/tcp open http Microsoft IIS httpd 7.5
[*] Nmap: | http-methods:
[*] Nmap: | Supported Methods: OPTIONS TRACE GET HEAD POST [*] Nmap: |_ Potentially risky methods: TRACE [*] Nmap: |_http-server-header: Microsoft-IIS/7.5 [*] Nmap: | http-vhosts: [*] Nmap: |_127 names had status 200 [*] Nmap: 8020/tcp open http Apache httpd
[*] Nmap: |_http-iis-webdav-vuln: WebDAV is DISABLED. Server is not currently vulnerable.
[*] Nmap: | http-methods: [*] Nmap: | Supported Methods: GET HEAD POST PUT DELETE OPTIONS
[*] Nmap: |_ Potentially risky methods: PUT DELETE
[*] Nmap: |_http-server-header: Apache
[*] Nmap: | http-vhosts: HTTP/HTTPS服务启用了一些危险的方法,比如DELETE/PUT等。ARP请求可以枚举本地网络中的存活主机,为我们提供了一种简单而快速识别目标方法。ARP扫描发现主机ARP扫描模块(auxiliary/scanner/discovery/arp_sweep),设置目标地址范围和并发线程,然后运行。
UDP服务扫描模块运行我们检测模板系统的UDP服务。由于UDP是一个无连接协议(不面向连接),所以探测比TCP困难。使用UDP服务探测模块可以帮助我们找到一些有用的信息。auxiliary/scanner/discovery/udp_sweep模块,设置目标范围,然后运行扫描即可msf5 > use auxiliary/scanner/discovery/udp_sweep
msf5 auxiliary(scanner/discovery/udp_sweep) > set RHOSTS 192.168.177.0/24
RHOSTS => 192.168.177.144/24
msf5 auxiliary(scanner/discovery/udp_sweep) > run
[*] Sending 13 probes to 192.168.177.0->192.168.177.255 (256 hosts)
[*] Discovered NetBIOS on 192.168.177.144:137 (METASPLOITABLE3:20>:U :METASPLOITABLE3:00>:U :WORKGROUP:00>:G :00:0c:29:d7:02:f6)
[*] Discovered SNMP on 192.168.177.144:161 (Hardware: Intel64 Family 6 Model 94 Stepping 3 AT/AT COMPATIBLE - Software: Windows Version 6.1 (Build 7601 Multiprocessor Free))
[*] Scanned 256 of 256 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/discovery/udp_sweep) >SMB协议(一种在 Microsoft Windows系统中使用网络文件共享的协议)已被证明是最容易被攻击的协议之一,它允许攻击者枚举目标文件和用户,甚至远程代码执行。SMB共享枚举模块,可以帮助我们收集一些有价值的信息,比如共享名称,操作系统版本等。auxiliary/scanner/smb/smb_enumshares
SMB共享枚举模块在后续的攻击阶段也非常有用,通过提供凭据,可以轻松的枚举共享和文件列表
Metasploit还提供其他的一些SMB扫描模块,让我们看看其他模块的用法。SMB版本检测模块可以检测SMB的版本
SAM RPC服务枚举哪些用户存在
SMB登录检测模块可以测试SMB登录msf5 > use auxiliary/scanner/smb/smb_login
msf5 auxiliary(scanner/smb/smb_login) > set RHOSTS 192.168.177.144
RHOSTS => 192.168.177.144
msf5 auxiliary(scanner/smb/smb_login) > set SMBUSER vagrant
SMBUSER => vagrant
msf5 auxiliary(scanner/smb/smb_login) > set PASS_FILE /root/password.lst
PASS_FILE => /root/password.lst
msf5 auxiliary(scanner/smb/smb_login) > run
[*] 192.168.177.144:445 - 192.168.177.144:445 - Starting SMB login bruteforce
[-] 192.168.177.144:445 - 192.168.177.144:445 - Failed: '.\vagrant:admin',
[-] 192.168.177.144:445 - 192.168.177.144:445 - Failed: '.\vagrant:admin123',
[+] 192.168.177.144:445 - 192.168.177.144:445 - Success: '.\vagrant:vagrant' Administrator
[*] 192.168.177.144:445 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/smb/smb_login) >MS17-0101永恒之蓝漏洞检测模块
auxiliary/scanner/smb/中,可以敲 TAB键查看,你可以一个个学习,这里就不一一举例讲解。
SSH是一个广泛使用的远程登录程序。它使用强大的加密提供身份认证和保证机密性。在本节中,我们将通过SSH版本扫描模块,确定目标使用的SSH版本,确定是否为易受攻击的SSH版本,如果是,我们可以利用它。TCP 22端口,这也是SSH的默认端口,我们用SSH版本探测模块来获取目标系统上运行的SSH版本信息。怎么
auxiliary/scanner/ssh/ssh_versionmsf5 > use auxiliary/scanner/ssh/ssh_version
msf5 auxiliary(scanner/ssh/ssh_version) > set RHOSTS 192.168.177.144
RHOSTS => 192.168.177.144
msf5 auxiliary(scanner/ssh/ssh_version) > run
[+] 192.168.177.144:22 - SSH server version: SSH-2.0-OpenSSH_7.1 ( service.version=7.1 service.vendor=OpenBSD service.family=OpenSSH service.product=OpenSSH service.cpe23=cpe:/a:openbsd:openssh:7.1 service.protocol=ssh fingerprint_db=ssh.banner )
[*] 192.168.177.144:22 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/ssh/ssh_version) >RHOSTS 选项也可以指定为网络地址,从而扫描整个网段。SSH,可以使用SSH登录测试模块msf5 > use auxiliary/scanner/ssh/ssh_login
msf5 auxiliary(scanner/ssh/ssh_login) > set RHOSTS 192.168.177.144
RHOSTS => 192.168.177.144
msf5 auxiliary(scanner/ssh/ssh_login) > set USERNAME user
USERNAME => user
msf5 auxiliary(scanner/ssh/ssh_login) > set PASS_FILE /root/password.lst
PASS_FILE => /root/password.lst
msf5 auxiliary(scanner/ssh/ssh_login) > run
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completedsessions 查看会话和与目标进行会话交互
FTP扫描模块对网络中所有的FTP服务进行版本扫描FTP版本扫描模块运行我们检测正在运行的FTP版本auxiliary/scanner/ftp/ftp_version模块,设置好扫描范围和线程,就可以运行扫描了。
services命令查看已经检测的服务信息。
SMTP服务偶两个允许枚举用户的内部命令:VRFY(确认有效用户名)和EXPN(显示用户的实际地址,别名和邮件列表)SMTP用户枚举模块通过实现这些SMTP命令从而枚举有效的用户列表SMTP枚举模块使用unix_users.txt(文件位于: /usr/share/metasploit-
framework/data/wordlists/)文件作为字典,你也可以指定自己的字典文件。切换到auxiliary/scanner/smtp/smtp_enum模块,设置好目标和线程,然后开始。
Metasploitable 2中有效的SMTP用户SNMP)是用于管理网络设备的协议,比如监控设备的状态信息,接口信息,网络接口的数据吞吐量等。通过SNMP扫描器可以找到特定系统的大量信息。本节中,我们将学习如何使用它。Metasploit有一个专门用于扫描 SNMP 设备的内置辅助模块。在进行攻击之前必须先了解它。首先,团体字符串(只读/读写)在可以在设备本身上挖掘或修改的信息类型中起着重要作用。管理信息库 (MIB) 接口允许我们查询设备和提取信息。SNMP查询时候,可以通过MIB API进行设备信息提取。Metasploit在其数据库中加载默认MIB列表,它们用于查询设备获取更多信息。SNMP登录模块可以通过公共团体名登录到目标系统。
SNMP扫描模块收集信息,比如端口,服务,主机名,进程等信息。msf5 > use auxiliary/scanner/snmp/snmp_enum
msf5 auxiliary(scanner/snmp/snmp_enum) > set RHOSTS 192.168.177.144
RHOSTS => 192.168.177.144
msf5 auxiliary(scanner/snmp/snmp_enum) > run
[+] 192.168.177.144, Connected.
[*] System information:
Host IP : 192.168.177.144
Hostname : metasploitable3
Description : Hardware: Intel64 Family 6 Model 94 Stepping 3 AT/AT COMPATIBLE - Software: Windows Version 6.1 (Build 7601 Multiprocess
r Free)
Contact : -
Location : -
Uptime snmp : 01:18:04.40
Uptime system : 01:16:09.69
System date : 2019-4-12 16:44:05.7
[*] User accounts:
["sshd"]
["Guest"]
["greedo"]
["vagrant"]
["han_solo"]
["kylo_ren"]
["boba_fett"]
["chewbacca"]
["ben_kenobi"] .....
[*] Network information:
IP forwarding enabled : no
Default TTL : 128
TCP segments received : 70121
TCP segments sent : 70024
TCP segments retrans : 23
Input datagrams : 634
Delivered datagrams : 825
....
[*] Network interfaces:
Interface : [ up ] Software Loopback Interface 1
Id : 1
Mac Address : :::::
....HTTP)是一个应用层协议,它是万维网通信的基础。它被众多的应用程序使用,从物联网(IoT)设备到移动应用程序。它也是搜索漏洞的好地方。HTTP SSL证书检测模块可以检测Web服务器的证书。Robots.txt内容检测模块可以搜索robots.txt文件并分析里面的内容。PUT请求方法,则可以将任意的Web页面插入到网站目录中,从而导致执行破坏性的代码或者往服务器填充垃圾数据,从而造成拒绝服务攻击。Jenkins-CI HTTP扫描模块可以枚举未授权的Jenkins-CI服务。HTTP SSL证书msf5 > use auxiliary/scanner/http/cert
msf5 auxiliary(scanner/http/cert) > set RHOSTS 192.168.177.144
RHOSTS => 192.168.177.144
msf5 auxiliary(scanner/http/cert) > set RPORT 8383
RPORT => 8383
msf5 auxiliary(scanner/http/cert) > run
[*] 192.168.177.144:8383 - 192.168.177.144 - 'Desktop Central' : '2010-09-08 12:24:44 UTC' - '2020-09-05 12:24:44 UTC'
[*] 192.168.177.144:8383 - Scanned 1 of 1 hosts (100% complete)robots.txt文件
HTTP可写路径 PUT/DELETE 文件访问模块可以通过PUT和DELETE请求上传和删除Web服务器上的内容。
Jenkins-CI扫描模块
Windows远程管理(WinRM)是WS-Management协议的Microsoft实现。该协议是基于简单对象访问协议(SOAP)的、防火墙友好的标准协议,使来自不同供应商的硬件和操作系统能够互相交互。WinRM身份认证方法检测模块通过向目标发现HTTP/HTTPS请求,检测是否为WinRM服务,如果是,将会检测支持的身份认证方法。SMB_login模块可以检索目标的登录凭证。我们可以用WinRM命令运行模块测试是否可以通过WinRM服务运行Windows命令。WinRM身份认证检测
WinRM命令运行模块
Metasploit结合使用的技术和方法将在下一篇文章中讲解,敬请期待
转载请注明来自网盾网络安全培训,本文标题:《Metasploit快速入门(二)》
标签:合天智汇
