《计算机网络安全防护技术（第二版）》 课件 第6章 任务6.1-6.3 搭建实验拓扑和学习预备知识

第6章

网络安全渗透测试技术编著：

秦燊劳翠金

任务6.1-6.3搭建实验拓扑和学习预备知识

一直以来，小张都参与了A公司的网络安全建设，通过之前的一系列的建设，已取得了一定的成效。为了进一步查找和修补公司网络的漏洞、提升公司网络系统的安全性，A公司决定聘请网络安全专家为公司的网络进行安全渗透测试。

渗透测试起源于美国的军事演习。20世纪90年代，美国将其传统的军事演习引入到计算机网络及信息安全基础设施的攻防测试中，由安全专家组成的“红队”向接受测试的“蓝队”进行攻击，检验“蓝队”安全防御体系的有效性。这种通过实际攻击进行安全测试与评估的方法就是渗透测试（PenetrationTesting）。

本章将介绍使用KaliLinux进行渗透测试的方法，拓扑如图6-1-1所示。攻击者与被攻击者都位于公司的DMZ区域，通过NAT连接到Internet。攻击者使用KaliLinux系统，IP地址是1；被攻击者Linux服务器，IP地址是2；被攻击者win2003服务器，IP地址是3；被攻击者win2008服务器，IP地址是4。图6-1-1网络安全渗透测试实验拓扑

其基本配置如下：1.启动VMwareWorkstation。2.将KaliLinux连接到关联NAT的交换机Vmnet8。3.将KaliLinux的IP地址配置为1，网关指向。root@kali:~#vim/etc/network/interfacesautoeth0ifaceeth0inetstaticaddress1netmaskgatewaypre-upifconfigeth0hwether60:60:60:60:60:604.在KaliLinux上进行ping百度网站的测试，命令如下：root@kali:~#ping测试结果是能ping通，证明该KaliLinux电脑能正常解析域名并访问Internet上的服务器。5.三台服务器的IP地址按上面的规划配置，子网掩码为。6.1渗透测试的步骤渗透测试的主要步骤是：1.信息收集通过Internet、社会工程等手段，了解目标的相关信息。2.扫描通过扫描软件对目标进行扫描，获取开放的主机、端口、漏洞等信息。3.实施攻击、获取权限对目标主机实施拒绝服务等攻击，破坏其正常的运行。或利用目标主机的漏洞，直接或间接的获取控制权。4.消除痕迹、保持连接攻击者入侵获取控制权后，通过清除系统日志、更改系统设置，种植木马等方式，远程操控目标主机而又不被发现。5.生成评估报告对发现的安全问题及后果进行评估，给出技术解决方案，帮助被评估者修补和提升系统的安全性。6.2信息收集

常用的收集信息的方法有社会工程学法、谷歌黑客技术等。社会工程学法是利用人的弱点，如人的本能反应、好奇心、贪便宜等，进行欺骗，获取利益的方法。谷歌黑客技术是利用谷歌、百度等搜索引擎，收集有价值的信息的方法。一、谷歌黑客技术的基本语法and连接符同时对所有关键字进行搜索or连接符从几个关键字中，任一个匹配就可以intext:搜索正文部分，忽略标题、URL等文字intitle:搜索标题部分inurl:搜索网页URL部分allintext:搜索正文部分，配置条件是包含全部关键字allintitle:搜索标题部分，配置条件是包含全部关键字allinurl:搜索网页URL部分，配置条件是包含全部关键字site:限定域名link:包含指定链接filetype:指定文件后缀或扩展名*代表多个字母.代表一个字母“”精确匹配，可指定空格+加入关键字-送去关键字~同意词二、应用举例1.通过搜索引擎搜索管理后台如通过百度或谷歌搜索引擎搜索“inurl:phpintitle:管理员登陆”，可搜索到用php开发的管理员登录网站页面。2.通过搜索引擎搜索敏感文件如通过打开G分别输入以下搜索内容，能搜索到网站上扩展名是doc、xls的文件：site:filetype:docintext:passsite:filetype:xlsintext:pass3.通过邮箱挖掘器theHarvester可利用搜索引擎收集电子邮件地址。例如，在kaliLinux中，执行以下命令：root@kali:~#theharvester-d163.com-l300-bbaidu以上命令的作用是搜索域名为163.com的邮件地址，搜索来源是baidu。除了baidu，可选的搜索来源还有google、bing、pgp、linkedin等。6.3扫描

扫描相当于入侵之前的“踩点”，主要是为了收集被攻击者的信息。扫描可分为端口类扫描和漏洞类扫描。端口类扫描用于检测目标主机是否在线、开放了哪些端口、运行了哪些服务、运行的是什么操作系统、运行了哪些软件；漏洞类扫描主要用于扫描主机开放的端口、运行的服务、运行的操作系统和软件有什么漏洞。

ping扫描是最原始的主机存活扫描技术，但有些系统如win7系统由于安全的需要，默认就不允许别人ping自己，所以ping扫描成功率并不大。为提高成功率，直连的主机可用基于ARP的扫描；非直连的主机可采用基于TCP的扫描。6.3.1fping扫描fping扫描类似于ping命令，但ping命令一次只能ping一个地址，而fping一次可以ping多个地址，而且速度更快。（一）fping命令常用的参数：-a：在结果中显示出所有可ping通的目标。-q：安静模式，不显示每个目标ping的结果。-f：从用户事先定义好的指定文件中获取目标列表。-g：指定目标列表，有两种形式：形式1指定开始和结束地址，如-g55。形式2指定网段和子网掩码，如-g/24其中，-f与-g只能选择其一，不能同时使用。（二）举例说明1.通过定义目标列表文件的方式进行扫描1）编辑列表文件root@kali:~#vimHostList输入以下内容：2342）运行命令root@kali:~#fping-a-q-fHostList23以上三行是命令输出的内容，列出了所有可ping通的目标。@kali:~#fping-g54-a-q1233.将扫描结果输出到文件1）输入命令root@kali:~#fping-g54-a-q>Ahost2）查看结果root@kali:~#catAhost1236.3.2nping扫描

通过ping来扫描存活主机成功率不大，为提高成功率，直连的主机可用基于ARP的扫描；非直连的主机可采用基于TCP的扫描。nping扫描支持TCP、UDP、ICMP和ARP等多种协议。例如，它能通过tcp连接目标主机的某个端口，来测试目标主机是否存活。通过发送TCP的syn，根据是否有回复syn、ack或回复reset，来测试对方是否存活。

nping常用的参数有：-c数量：表示发送给目标主机的测试包的数量。-p端口号：表示目标主机的端口号，根据目标主机是否有回复以及回复的信息可获得目标主机是否存洛以及是否开启了相关服务。--tcp：表示发送tcp类型的数据包。例如，输入以下命令：root@kali:~#nping-c1-p802-15--tcp输出如下：StartingNping0.7.70(/nping)at2018-12-2623:12ESTSENT(0.0443s)TCP1:57744>2:80Sttl=64id=2420iplen=40seq=2050265291win=1480//上面一行表示1向2的80号端口发送了TCP的syn。RCVD(0.0453s)TCP2:80>1:57744SAttl=64id=0iplen=44seq=2409067941win=5840<mss1460>//上面一行说明2回复了syn和ack，表示它开发了http服务。SENT(1.0454s)TCP1:57744>3:80Sttl=64id=2420iplen=40seq=2050265291win=1480RCVD(1.0486s)TCP3:80>1:57744SAttl=128id=43708iplen=44seq=430410675win=64320<mss1460>SENT(2.0505s)TCP1:57744>4:80Sttl=64id=2420iplen=40seq=2050265291win=1480SENT(3.0525s)TCP1:57744>5:80Sttl=64id=2420iplen=40seq=2050265291win=1480//上面一行表示1向5的80号端口发送了TCP的syn。通过观察，之后并没有收到5的回复，因此判断5没有开放80端口。Statisticsforhost2:|ProbesSent:1|Rcvd:1|Lost:0(0.00%)|_Maxrtt:0.725ms|Minrtt:0.725ms|Avgrtt:0.725ms//上面一行表示向2发送了1个包，收到1个回复，丢包率是0。Statisticsforhost3:|ProbesSent:1|Rcvd:1|Lost:0(0.00%)|_Maxrtt:2.711ms|Minrtt:2.711ms|Avgrtt:2.711msStatisticsforhost4:|ProbesSent:1|Rcvd:0|Lost:1(100.00%)|_Maxrtt:N/A|Minrtt:N/A|Avgrtt:N/AStatisticsforhost5:|ProbesSent:1|Rcvd:0|Lost:1(100.00%)|_Maxrtt:N/A|Minrtt:N/A|Avgrtt:N/A//上面一行表示向5发送了1个包，收到0个回复，丢包率是100%。Rawpacketssent:4(160B)|Rcvd:2(92B)|Lost:2(50.00%)Npingdone:4IPaddressespingedin4.09seconds6.3.3NMAP扫描

Nmap是综合性的端口扫描工具，可用于主机发现、开放服务及版本检测、操作系统检测、网络追踪等。Nmap指定目标地址范围的形式举例如下：232-15/24-exclude2其中，exclude后面为排除的IP地址。还可以将地址范围以列表的形式存放在文件中，如将IP地址的列表存放在hosts.txt文件中，可以用以下形式引用地址范围：-iLhosts.txt-excludefilehosts.txt一、Nmap的ping扫描Nmap的Ping扫描迅速找出指定范围内，允许Ping的主机的IP地址、MAC地址。它的参数是-sn，举例如下：root@kali:~#nmap-sn/24StartingNmap7.70()at2018-12-3001:04ESTNmapscanreportforHostisup(0.00087slatency).MACAddress:00:50:56:E1:7E:5F(VMware)NmapscanreportforHostisup(0.00069slatency).MACAddress:00:50:56:C0:00:08(VMware)Nmapscanreportfor0Hostisup(0.00017slatency).MACAddress:00:0C:29:EE:A8:5A(VMware)Nmapscanreportfor2Hostisup(0.0027slatency).MACAddress:00:0C:29:AE:F7:74(VMware)Nmapscanreportfor3Hostisup(0.00014slatency).MACAddress:00:0C:29:09:18:C6(VMware)Nmapscanreportfor4Hostisup(0.00024slatency).MACAddress:00:0C:29:86:3A:9C(VMware)Nmapscanreportfor1Hostisup.Nmapdone:256IPaddresses(7hostsup)scannedin1.93seconds二、Nmap的TCP/UDP扫描1.TCPConnect扫描

TCPConnect扫描是通过操作系统提供的系统调用connect()来打开连接的，如果有成功返回，表示目标端口正在监听；否则表示目标端口不在监听。这种扫描是最基本的TCP扫描，但容易被检测到。root@kali:~#nmap-sT4StartingNmap7.70()at2018-12-3003:29ESTNmapscanreportfor4Hostisup(0.00097slatency).Notshown:990closedportsPORTSTATESERVICE80/tcpopenhttp135/tcpopenmsrpc139/tcpopennetbios-ssn445/tcpopenmicrosoft-ds3306/tcpopenmysql49152/tcpopenunknown49153/tcpopenunknown49154/tcpopenunknown49155/tcpopenunknown49156/tcpopenunknownMACAddress:00:0C:29:86:3A:9C(VMware)Nmapdone:1IPaddress(1hostup)scannedin1.82seconds2.TCPSYN扫描

TCPSYN扫描首先尝试向对方的某个端口发出一个SYN包，

若对方返回SYN-ACK包，表示对方端口正在监听，

如果对方返回RST包，表示对方端口不在监听。

针对对方返回的SYN-ACK包，攻击者主机会马上发出一个RST包断开与对方的连接，转入下一个端口的测试。

由于不必完全打开一个TCP连接，所以TCPSYN扫描也被称为半开扫描。Nmap的TCPSYN扫描命令如下：root@kali:~#nmap-sS4StartingNmap7.70()at2018-12-3003:27ESTNmapscanreportfor4Hostisup(0.00041slatency).Notshown:990closedportsPORTSTATESERVICE80/tcpopenhttp135/tcpopenmsrpc139/tcpopennetbios-ssn445/tcpopenmicrosoft-ds3306/tcpopenmysql49152/tcpopenunknown49153/tcpopenunknown49154/tcpopenunknown49155/tcpopenunknown49156/tcpopenunknownMACAddress:00:0C:29:86:3A:9C(VMware)Nmapdone:1IPaddress(1hostup)scannedin1.60seconds3.TCPFIN扫描

采用TCPSYN扫描某个端口时，若对方既不回复ACK包，也不回复RST包，则无法判断对方端口的状态。

这时，可采用TCPFIN扫描作进一步的判断。

若FIN包到达一个监听端口，会被丢弃；

相反的，若FIN包到达一个关闭的端口，则会回应RST。root@kali:~#nmap-sF2StartingNmap7.70()at2018-12-3003:32ESTNmapscanreportfor2Hostisup(0.00034slatency).Notshown:988closedportsPORTSTATESERVICE21/tcpopen|filtered ftp22/tcpopen|filtered ssh23/tcpopen|filtered telnet25/tcpopen|filtered smtp53/tcpopen|filtered domain80/tcpopen|filtered http139/tcpopen|filtered netbios-ssn445/tcpopen|filtered microsoft-ds3306/tcpopen|filtered mysql5432/tcpopen|filtered postgresql8009/tcpopen|filtered ajp138180/tcpopen|filtered unknownMACAddress:00:0C:29:AE:F7:74(VMware)Nmapdone:1IPaddress(1hostup)scannedin1.46seconds2.UDP扫描

UDP扫描用来确定对方主机的哪个UDP端口开放。

UDP扫描发送零字节的信息包给对方端口，若收到回复端口不可达，表示该端口的关闭的，

若无回复，则认为对方端口是开放的。

UDP扫描耗时较长，参数是-sU，例如：root@kali:~#nmap-sU2StartingNmap7.70()at2018-12-3003:34ESTNmapscanreportfor2Hostisup(0.00054slatency).Notshown:997closedportsPORTSTATESERVICE53/udpopendomain137/udpopennetbios-ns138/udpopen|filterednetbios-dgmMACAddress:00:0C:29:AE:F7:74(VMware)Nmapdone:1IPaddress(1hostup)scannedin2032.28seconds三、端口服务及版本扫描

Nmap能较准确的判断出目标主机开放的端口服务类型及版本，而不是简单的根据端口号对应到相应的服务，

如http服务被从默认的80号端口修改为其它端口号，也能判断出来。端口服务及版本扫描的参数是-sV，如：root@kali:~#nmap-sV4StartingNmap7.70()at2018-12-3007:55ESTNmapscanreportfor4Hostisup(0.00039slatency).Notshown:990closedportsPORTSTATESERVICEVERSION80/tcpopenhttpApachehttpd2.4.23((Win32)OpenSSL/1.0.2jPHP/5.4.45)135/tcpopenmsrpcMicrosoftWindowsRPC139/tcpopennetbios-ssnMicrosoftWindowsnetbios-ssn445/tcpopenmicrosoft-dsMicrosoftWindowsServer2008R2-2012microsoft-ds3306/tcpopenmysqlMySQL(unauthorized)49152/tcpopenmsrpcMicrosoftWindowsRPC49153/tcpopenmsrpcMicrosoftWindowsRPC49154/tcpopenmsrpcMicrosoftWindowsRPC49155/tcpopenmsrpcMicrosoftWindowsRPC49156/tcpopenmsrpcMicrosoftWindowsRPCMACAddress:00:0C:29:86:3A:9C(VMware)ServiceInfo:OSs:Windows,WindowsServer2008R2-2012;CPE:cpe:/o:microsoft:windowsServicedetectionperformed.Pleasereportanyincorrectresultsat/submit/.Nmapdone:1IPaddress(1hostup)scannedin60.56seconds四、综合扫描

综合扫描会同时打开OS指纹和版本探测。命令的参数是-A，如：root@kali:~#nmap-A4StartingNmap7.70()at2018-12-3008:00ESTNmapscanreportfor4Hostisup(0.00050slatency).Notshown:990closedportsPORTSTATESERVICEVERSION80/tcpopenhttpApachehttpd2.4.23((Win32)OpenSSL/1.0.2jPHP/5.4.45)|http-methods:|_Potentiallyriskymethods:TRACE|_http-server-header:Apache/2.4.23(Win32)OpenSSL/1.0.2jPHP/5.4.45|_http-title:403Forbidden135/tcpopenmsrpcMicrosoftWindowsRPC139/tcpopennetbios-ssnMicrosoftWindowsnetbios-ssn445/tcpopenmicrosoft-dsWindowsServer2008R2Enterprise7601ServicePack1microsoft-ds3306/tcpopenmysqlMySQL(unauthorized)49152/tcpopenmsrpcMicrosoftWindowsRPC49153/tcpopenmsrpcMicrosoftWindowsRPC49154/tcpopenmsrpcMicrosoftWindowsRPC49155/tcpopenmsrpcMicrosoftWindowsRPC49156/tcpopenmsrpcMicrosoftWindowsRPCMACAddress:00:0C:29:86:3A:9C(VMware)Devicetype:generalpurposeRunning:MicrosoftWindows7|2008|8.1OSCPE:cpe:/o:microsoft:windows_7::-cpe:/o:microsoft:windows_7::sp1cpe:/o:microsoft:windows_server_2008::sp1cpe:/o:microsoft:windows_server_2008:r2cpe:/o:microsoft:windows_8cpe:/o:microsoft:windows_8.1OSdetails:MicrosoftWindows7SP0-SP1,WindowsServer2008SP1,WindowsServer2008R2,Windows8,orWindows8.1Update1NetworkDistance:1hopServiceInfo:OSs:Windows,WindowsServer2008R2-2012;CPE:cpe:/o:microsoft:windowsHostscriptresults:|_clock-skew:mean:-2h40m00s,deviation:4h37m07s,median:0s|_nbstat:NetBIOSname:WIN-U8QM4SRH0MR,NetBIOSuser:<unknown>,NetBIOSMAC:00:0c:29:86:3a:9c(VMware)|smb-os-discovery:|OS:WindowsServer2008R2Enterprise7601ServicePack1(WindowsServer2008R2Enterprise6.1)|OSCPE:cpe:/o:microsoft:windows_server_2008::sp1|Computername:WIN-U8QM4SRH0MR|NetBIOScomputername:WIN-U8QM4SRH0MR\x00|Workgroup:WORKGROUP\x00|_Systemtime:2018-12-30T21:01:14+08:00|smb-security-mode:|account_used:guest|authentication_level:user|challenge_response:supported|_message_signing:disabled(dangerous,butdefault)|smb2-security-mode:|2.02:|_Messagesigningenabledbutnotrequired|smb2-time:|date:2018-12-3008:01:14|_start_date:2018-01-0109:35:49TRACEROUTEHOPRTTADDRESS10.50ms4OSandServicedetectionperformed.Pleasereportanyincorrectresultsat/submit/.Nmapdone:1IPaddress(1hostup)scannedin102.75seconds6.3.4全能工具Scapy

全能工具Scapy能让我们自行构造出各种数据包，实现端口扫描等功能。例如通过Scapy可以构造出一个SYN包，发送给目标主机某端口，若收到目标主机的SYN-ACK包，表示目标主机的相应端口是开放的。一、进入scapy界面构造包进入scapy界面，构造一个包，并查看构造的包，方法如下：root@kali:~#scapyWARNING:NoroutefoundforIPv6destination::(nodefaultroute?)INFO:Can'timportpythonecdsalib.DisabledcertificatemanipulationtoolsWelcometoScapy(2.3.3)>>>a=Ether()/IP()/TCP()//构造一个包>>>a.show()//查看这个包###[Ethernet]###dst=ff:ff:ff:ff:ff:ffsrc=00:00:00:00:00:00type=0x800###[IP]###version=4ihl=Nonetos=0x0len=Noneid=1flags=frag=0ttl=64proto=tcpchksum=Nonesrc=dst=\options\###[TCP]###sport=ftp_datadport=httpseq=0ack=0dataofs=Nonereserved=0flags=Swindow=8192chksum=Noneurgptr=0options={}二、ping测试1.构造包>>>b=IP(dst='4')/ICMP()/b'Helloworld'>>>b.show()###[IP]###version=4ihl=Nonetos=0x0len=Noneid=1flags=frag=0ttl=64proto=icmpchksum=Nonesrc=1dst=4\options\###[ICMP]###type=echo-requestcode=0chksum=Noneid=0x0seq=0x0###[Raw]###load='Helloworld'2.发送和接收一个三层的数据包，把接收到的结果赋值给reply01。

命令是sr1，含义是send并receive1个包。>>>reply01=sr1(b)Beginemission:.Finishedtosend1packets..*Received3packets,got1answers,remaining0packets>>>

常见发送和接收数据包的命令函数有：sr()表示发送三层的数据包，接收一个或多个响应包。sr1()表示发送和接收一个三层的数据包srp()表示发送二层数据包，并接收响应包send()表示只发送三层数据包，不接收sendp()表示只发送二层数据包，不接收3.查看接收到的响应包>>>reply01.show<boundmethodIP.showof<IPversion=4Lihl=5Ltos=0x0len=39id=6907flags=frag=0Lttl=128proto=icmpchksum=0xa70src=4dst=1options=[]|<ICMPtype=echo-replycode=0chksum=0x8e31id=0x0seq=0x0|<Rawload='Helloworld'|<Paddingload='\x00\x00\x00\x00\x00\x00\x00'|>>>>>

可以看到，响应包是由对方发起，自己是接收方，响应包的内容是自己发给对方的副本“Helloworld”。4.提取响应包的详细信息1）查看返回的字段与值>>>reply01.getlayer(IP).fields{'frag':0L,'src':'4','proto':1,'tos':0,'dst':'1','chksum':2672,'len':39,'options':[],'version':4L,'flags':0L,'ihl':5L,'ttl':128,'id':6907}>>>上面这条命令，查看到响应包的所有IP字段及对应的值>>>reply01.getlayer(IP).fields['src']'4'上面这条命令，查看到了响应包的源IP地址字段及值>>>reply01.getlayer(IP).fields['dst']'1'上面这条命令，查看到了响应包的目标IP地址字段及值>>>reply01.getlayer(ICMP).fields{'gw':None,'code':0,'ts_ori':None,'addr_mask':None,'seq':0,'nexthopmtu':None,'ptr':None,'unused':None,'ts_rx':None,'length':None,'chksum':36401,'reserved':None,'ts_tx':None,'type':0,'id':0}上面这条命令，查看到响应包的所有ICMP字段及对应的值>>>reply01.getlayer(ICMP).fields['type']0上面这条命令，查看到响应包中，ICMP的type字段对应的值是0。6.3.5Nessus扫描工具

Nessus是常用的漏洞类扫描工具，扫描到漏洞后，管理员可针对漏洞对系统进行加固，攻击者可针对漏洞实施入侵。漏洞扫描分为特征码探测和模拟攻击两种方式。特征码探测时，会向对方发送包含特征探测码的数据包，根据返回的数据包中是否包含相应特征码，来判断漏洞是否存在；模拟攻击测试时，通过模拟黑客行为攻击目标，若攻击成功，则表示漏洞存在。一、下载Nessus在KaliLinux中用浏览器打开“/downloads/nessus”，官网会根据KaliLinux的操作系统类型自动选择和推荐下载相应平台的Nessus安装包。也可先通过真机下载Nessus安装包（平台类型选“Dibian/KaliLinux”类型），再在真机上用WinSCP软件将已经下载的安装包复制到KaliLinux上。使用WinSCP软件前需在kaliLinux上