喜歡滲透,今年8月纔開始接觸bt5。看到論壇上有很多帖子,但主要都是講pj的。如果單單是pj,對於bt5真的是大才小用了。所以決定開個帖子講講bt5在滲透方面的應用。這個帖子的主要是根據教主的視頻教程,《LiNUX--BT4hei客手冊》整理,加以網上資料,也算是我個人的學習筆記了吧,有興趣的童鞋可以和我一起走進bt5。
(ps:教主的視頻教程地址:http://v.ku6.com/playlist/index_6560628.html)
一、BT5的u盤安裝
由於bt5本來就是一個封裝好的linux系統(基於Ubuntu),所以安裝起來相對簡單,主要需要如下工具:
1、4g u盤一枚(當然可以更大的,但是不推薦更小的了,原因是官方的bt5iso包就有2.60G大,再加上你的配置文件,太小的u盤安裝後剩餘的空間較小,會影響讀取速度,直接的後果就是系統會卡。)
2、bt5安裝包種子
下載地址如下:http://www.backtrack-linux.org/downloads/
根據自己的需要可以選擇32/64位,KDE/GNOME版本進行下載。
3、unetbootin-windows-578
用於安裝系統。下載地址:http://www.onlinedown.net/soft/88566.htm
ok,準備工作完成,下面開始安裝。
首先,將你的u盤格式化爲FAT32格式。然後解壓下載的unetbootin-windows-578 ,運行其中的unetbootin-windows-578 .exe,界面如下:
單擊界面右下部的 ... 選擇你下載好的bt5-iso鏡像。
下面的輸入框是你想設置的保存配置文件大小,根據個人需要和u盤大小填寫。比如我的u盤是4g的,我就填了800,2.6g的鏡像+800M的配置文件,全部裝載後約爲3.7g,u盤還剩約300M容量,對讀寫速度不會有太大的影響。當然如果你的u盤足夠大,也可以填的更大些,但一定要使u盤剩餘幾百兆空間,否則可能會影響讀寫的速度。
ps:講一下這種做法的好處,有很多童鞋安裝好bt5啓動u盤後,反映不能保存配置,這種安裝方法安裝後,就不再需要去savefiles了,直接就可以保存配置。
ok,然後驅動器一項選擇你的u盤,點擊確定就開始製作了。
安裝過程中,會停在第9個文件一段時間,
注意此時並沒有卡死,而是因爲那個文件太大,寫入需要一段時間,童鞋們不要急着關閉窗口結束進程,耐心等待幾分鐘就好。安裝完成,
重啓電腦,選擇u盤啓動,就可以進入bt5了。----------------------------------------------------------------------------------------------------------------------------------
二、信息收集
1、DNS信息收集
1)dnsenum
dnsenum的目的是儘可能收集一個域的信息,它能夠通過谷歌或者字典文件猜測可能存在的域名,以及對一個網段進行反向查詢。它可以查詢網站的主機地址信息、域名服務器、MX record(函件交換記錄),在域名服務器上執行axfr請求,通過谷歌腳本得到擴展域名信息(google hacking),提取自域名並查詢,計算C類地址並執行whois查詢,執行反向查詢,把地址段寫入文件。
命令行:root@bt:/pentest/enumeration/dns/dnsenum#
圖形界面 :Applications --> BackTrack --> Information Gathering --> Network Analysis --> Dnsanalysis --> Dnsenum
常用命令參數舉例:./dnsenum.pl -f dns.txt -dnsserver 8.8.8.8 baidu.com -o output.txt
解釋一下這些參數:
-f dns.txt 指定字典文件,可以換成dns-big.txt或者是自己的字典 - dnsserver 8.8.8.8 指定dns服務器,一般可以直接使用目標服務器,其中8.8.8.8可以爲ip或域名。 baidu.com 目標域名。
-o output.txt 輸出結果到output.txt。
如圖收集百度的dns信息:
首先輸入 ./dnsenum.pl baidu.com來檢測百度的默認dns服務器的ip,即圖中的dns.baidu.com,202.108.22.220,記下來,接下來會用到。
然後以dns.baidu.com的ip爲指定的dns服務器執行dnsenum:./dnsenum.pl -f dns.txt dnsserver 202.108.22.220 baidu.com -o output.txt
等待結束後,便可以到dnsenum目錄下查看output.txt。
2)dnsmap
dnsmap和dnsenum一樣是用戶獲得子域名的強有力工具,與dnsenum的不同點是,它把結果輸出爲csv格式,並且運行時不需要root權限。
命令行:root@bt:/pentest/enumeration/dns/dnsmap
圖形界面:Applications --> BackTrack --> Information Gathering --> Network Analysis --> Dnsanalysis --> Dmsmap
常用命令參數舉例:./dnsmap baidu.com -w wordlist_TLAs.txt -c output.csv
參數: baidu.com 目標域名。
-w wordlist_TLAs.txt 指定字典文件。
-c output.csv 輸出結果到output.csv。 bt5中可以用於dns信息掃描的工具還有其他的,例如dnswalk和dnstracer等,功能大多有所重複,以此兩個工具便可以完成大部分的dns信息掃描工作。 2、路由信息收集
1)tcptranceroute
由於防火牆的使用,傳統路由跟蹤工具發出的ICMP應答或者udp數據包都被過濾掉了,導致無法進行完整的路由追蹤。但是很多情況下,防火牆會允許發送TCP數據包通過防火牆到達指定端口,而這些端口是主機內防火牆背後的一些程序與外界進行連接用的。通過TCP SYN數據包代替ICMP應答或udp數據包,tcptranceroute可以穿透大多數的防火牆。
使用方法:直接在命令行下:tcptranceroute baidu.com
發兩張bt5下的tcptranceroute於傳統的tranceroute的對比圖:
差距顯而易見吧。教主的教程中還講解了tctrace,個人感覺兩個工具在原理,用法上的差別都不大,所以不再進行講解。下面講解0trace。
2)0trace 與tcptraceroute的主動發包不同,0trace通過建立一條tcp連接(可以是http或者smtp等)來列舉出這條連接上每一跳的情況。這樣便可以通過幾乎所有的狀態型防火牆,從而避免了tcptraceroute的丟包狀況。
圖形界面:Applications --> BackTrack --> Information Gathering --> Network Analysis --> Identify Live Hosts--> 0Trace
基本使用方法如下:①telnet 目標地址 +端口,建立一條tcp連接。
例:telnet baidu.com 80 返回結果如下,表示tcp連接已建立,ok。
②運行0trace,等待數據流。
直接在0trace下輸入如下命令:./0trace.sh eth0 baidu.com 80
參數解釋:eth0 網卡名稱,也可以是eth1、eth2。。。但必須是能夠上網的網卡 、、、、、、、baidu.com 目標域名,也可以是ip地址。
80 端口。由於是採用http建立的tcp連接,所以用80端口。如果你採用其他方式(smtp等),就改其他端口。
回車後進入等待狀態,如圖:
說明工具已經啓動,這時需要通過http(或smtp等)激活tcp連接,觸發數據包。
③通過http等方式激活tcp連接,出發數據包,讓工具抓包。
通過wget命令訪問頁面,命令如下:wget baidu.com如圖:
多敲幾次命令,保證數據流足夠用於分析。
④觀察0trace界面,同時繼續激活http連接,直到路徑測試完成。
由於我是以百度進行的測試,所以結果是rejected,大家可以自行用其他網站測試。畢竟是工具,可能會出現失敗,我們可以多進行幾次,成功率還是很高的。
3、All-in-one 智能收集
Maltego
講信息收集就不得不說Maltego。Maltego應用於收集包括:域名、DNS名whios信息、ip地址等網絡數據及通過公司或組織名稱、郵件地址、網站、社區網絡(facebook等)、電話號碼收集關於個人的信息。可謂是社工利器。Maltego與之前講過的命令不同,它具有圖形界面,所以使用起來也比較簡單,只可惜是英文界面的。
軟件路徑:Applications --> BackTrack --> Information Gathering --> Network Analysis --> Dnsanalysis --> Maltego
在使用之前我們需要先去註冊一個賬號,註冊地址:https://www.paterva.com/web5/community/index.php#Register
簡單的輸入註冊信息,確認下郵件即可。ok,用你剛剛註冊好的賬號登陸。隨後我們可以看到軟件的界面如下:
我們首先更新下數據。切換到Manage選項卡(在軟件的頂部),點擊Discover Transform(Advanced)即可。更新完成後,我們點擊軟件左上角的“+”,添加一項任務。點擊軟件左側的Palette(沒有的童鞋可以通過軟件上方的zoom選項卡調出來),我們可以看到Maltego可以收集的信息非常多,這裏我就以通過人名搜索信息爲例給大家講解一下。
我們在Palette中選中Person拖入主窗體(Main View),點擊Entity List選項更改,雙擊數值框,更改Full Name爲李開復(百度ceo)。當然也可以通過調出Property View的方式更改。
然後再切回Main View,右鍵選擇All transforms。期間可能會要求確認相關協議或信息,我們根據要求輸入空格、選擇accept即可,然後點擊Run,軟件就開始工作了。
這裏我們可以通過軟件下方的進度條查看任務的進度。 立刻我們就可以看到,軟件收集到了非常多的信息包括主機,甚至郵件地址,這對於我們的社工無疑是非常重要的。
在收集到的信息中,我們還可以點擊單個信息繼續右鍵進行搜索,層層深入,獲得更多有效的信息。好了,只是簡單的通過人名搜索講一下Maltego的大致用法,其他類型大家可以自行去摸索。 ---------------------------------------------------------------------------------------------------------------------------------- 三、掃描工具
1、主機發現
1)Arping
由於防火牆的使用等原因,部分主機會出現ping不通的狀況。Arping通過發送Arp request的方式進行測試(直連網絡),確定一個特定的ip在線。
直接在終端中輸入命令使用。
基本命令格式:arping -c 3 192.168.1.1
參數解釋:-c 3 發送的Arp請求包的數量
192.168.1.1 目標地址
如果主機在線,則返回相應的包,反之則提示丟包。
2)Fping
fping可以說是ping功能的增強版,它可以通過輪轉方式並行的發出大量ping請求,高效快速的同時ping多臺主機。
圖形界面:Applications --> BackTrack --> Information Gathering --> Network Analysis --> Identify Live Hosts--> Fping
也可以直接在終端中輸入fping。
fping有以下兩種用法:
①ping文件中的ip地址。
我們首先在根目錄下建立一個ip列表,ip.txt,並把ip地址按每行一個的格式寫入。如圖:
ok,然後是具體的命令:fping -a -s -f ip.txt
參數解釋: -a 顯示存活主機
-s 顯示最終掃描結果
-f ip.txt 讀取文件
②掃描ip段
具體命令:fping -a -s -r 1 -g 192.168.1.1 192.168.1.255
參數解釋: -r 1 嘗試次數
-g 192.168.1.1 192.168.1.255 ip段
結果:
3)Genlist
genlist可以快速的掃描ip段內的存活主機,而且結果呈列表式,因此與fping相比,更簡潔明瞭。
通過直接在終端內運行命令使用。
基本命令:genlist -s 192.168.1.\*
參數解釋:-s 192.168.1.\* 目標ip段
4)Nbtscan nbtscan是一個掃描網段內微軟主機netbios信息的工具,只適用於局域網,可以顯示ip,主機名,用戶名及mac地址等。速度較快。通過直接在終端內運行命令使用。
基本命令:nbtscan 192.168.1.1-255
這個參數就不用我解釋了吧。。。
由於我沒有架設windows系統,所以顯示爲空。 5)Protos
Protos是一個ip協議的掃描工具,特別適用於路由。不過它的速度,個人感覺有點慢。
圖形界面:Applications --> BackTrack --> Information Gathering --> Network Analysis -->Route Analysis-->Protos
基本命令格式:./protos -i eth0 -d 192.168.1.1 -v
參數解釋: -i eth0 指定網卡
-d 192.168.1.1 目標地址
-v 詳細顯示
敲完命令後需要耐心等一會。。。
hping3、Nping和onesixtyone這三個軟件雖說功能很強大,但都有各自的不足。就hping3而言,功能的確很強大,可以自定義來ping,可是單單-h說明文件就有80多行,足見其複雜程度。而Nping與其類似,都需要有一定的tcp,udp基礎。onesixtyone掃描速度很快,但其字典過小(當然可以自己添加字典文件),效果一般。這裏就不再深入講解。
2、操作系統指紋 先科普下什麼是操作系統指紋:不同的網絡操作系統在處理網絡信息時是不完全相同的,存在着各自的特點,這些特點就稱爲系統的“指紋”。通過識別這些指紋就可以實現網絡系統的識別。說簡單點,就是用來識別是什麼操作系統。1)p0f p0f是一款被動式的系統判別工具(就是指不向目標系統發送數據,單純的通過分析來自目標系統的數據)。可惜它的年代有點久遠,判別效果不是好,經常會出現UNKNOWN。不過它對舊一點的操作系統識別的還是不錯的。
使用方法:通過在終端內直接輸入p0f進行監聽,一旦接收到報文就會顯示相關信息,並且不斷刷新。
如圖,我們現在終端內輸入p0f進行監聽,然後瀏覽器打開baidu.com即可。(當然你也可以通過其他方式。。)
看,結果是unknown吧。 2)Xprobe2
與p0f的被動不同,Xprobe2是一個主動的系統探測工具。
圖形界面:
Applications --> BackTrack -->Network Mapping--> OSFingerprinting-->Xprobe2
也可以直接在終端內輸入命令直接調用(還是這個簡單些)。
基本命令格式:xprobe2 baidu.com
從圖中我們可以看出,它先是進行一系列的連接,最後綜合起來進行猜測。
這個是結果,可以看到,它的後面還跟了一個可能性的百分率,是不是要比p0f好一些。
3、端口掃描
1)AutoScan
AutoScan的功能比較簡單,主要是用來掃描目標開放的端口,具有圖形化界面。
圖形界面:BackTrack -> Information Gathering -> Network Analysis -> Network Scanners -> autoscan
打開軟件後我們首先需要配置一下AutoScan。
點擊Forward,下一步。
配置要掃描的網絡,Options,點擊Add添加你的網段IP地址。
選擇相應的網卡。
最後進行確認後掃描就開始了。
結果如下。
2)Nmap
先說一下對Nmap的定位,Nmap是一個綜合性好的,並且特性豐富的端口掃描工具,是一個滲透測試者的必備工具。
過幾天我會專門開個帖子講解Nmap,現在簡單講解下Nmap的兩個重要功能,主機發現和端口掃描。
圖形界面:BackTrack -> Information Gathering -> Network Analysis -> Network Scanners ->nmap
主機發現:
命令:namp -v -n -sP 192.168.1.0/24 參數解釋:-v 顯示掃描結果
-n 不作DNS解析
-sP 通過發送ICMP報文判斷主機信息
192.168.1.0/24 網段
我們可以看到nmap處理的很快,而且結果很清楚。主機存在,便回顯host up,反之則回顯host down。
結尾還會給出一個綜合性的report。
端口與操作系統掃描: 命令:nmap -v -n -A 10.1.1.1
參數解釋:-A 進行綜合性掃描
最後也會給出一個report,其中包括主機各個方面的信息。
主要用於服務探查、banner識別等。
發送請求,獲取banner,由主機的響應判斷服務。
命令格式:amap -bq IP Port
基本格式應該都能看懂吧,直接上效果圖。
很清楚,http。
2、httsquash
圖形界面:BackTrack -> Information Gathering -> Network Analysis ->Service Fingerprinting->httsquash
命令格式:./httsquash -r IP
上圖:
5、VPN探測 這方面比較簡單,而且我本機沒有搭設vpn,所以就不介紹了,大家有什麼不瞭解的自行百度,ok。
---------------------------------------------------------------------------------------------------------------------四、漏洞發現
第一部分:Cisco工具
1、Cisco Auditing Tool
一個很小的安全審計工具,它掃描Cisco路由器的一般性漏洞,例如默認密碼,SNMP community字符串和一些老的IOS bug。
圖形界面:BackTrack -> Information Gathering ->Vulnerability Assessment->Network Assessment->Cisco Tools->cisco-auditing-tool
命令格式:./CAT -h 192.168.1.1 -w list/community -a lists/passwords -i
參數解釋:-h 地址
-w community字典文件
-a 密碼字典文件
-i 查看有沒有歷史性的bug
2、Cisco Password Scanner用於掃描網段中擁有默認telnet密碼“cisco”的Cisco設備,非常快並且有效。
圖形界面:BackTrack -> Information Gathering ->Vulnerability Assessment->Network Assessment->Cisco Tools->Cisco Password Scanner
命令格式:./ciscos 192.168.1 3 -t 4 -C 10
參數解釋:192.168.1 3 表示192.168.1.0 255.255.255.0這個網段
-t 4 每個連接的超時時間
-C 10 最大的同時掃描連接數
第二部分:SNMP工具1、ADMsnmp
ADMsnmp用於暴力PJSNMP community字串,使用一個預先定義的“wordlist”。
命令格式:./ADMsnmp 192.168.1.1 -wordfile snmp.password
2、Snmp Enum
在獲取community後,可以使用snmp enum獲取大量關於Cisco,windows和linux的信息。速度較快。
./snmpenum.pl 192.168.1.1 private cisco.txt
第三部分:HTTP工具
1、Burp Suite
Burp Suite是套用於Web滲透測試的集成套件,它包含了spider,scanner(付費版本),intruder,repeater,sequencer,decoder,comparer等模塊,每個模塊都有其獨特的用途。這裏主要來講講其proxy代理功能,畢竟這個帖子是教主教程的學習筆記,其他的功能有時間我會另開帖子詳細講解下。
目錄:/pentest/web/burpsuite
由於該程序使用Java編寫,所以我們使用如下命令執行:
java -jar burpsuite_v1.4.jar
會出現一個openjdk的warning,不用管他,ok就可以。
首次啓動會出現一個協議,點擊I accept接受即可。
首先我們點擊proxy標籤下的option項設置代理端口號,基本上默認的8080就可以。
然後切回intercept項,點擊使intercept is on。
設置瀏覽器的代理服務器:
打開火狐瀏覽器,依次點擊:Edit——>Preference——>Advanced——>Network——>Connection Settings
如圖設置即可。
這樣設置後Burp Suite就會截獲到瀏覽器發出的請求,並可方便地進行修改之後再向原網站發出,以達到篡改cookie、URL、form等目的。
簡單進行下演示:
瀏覽器打開www.baidu.com,可以觀察到瀏覽器會一直顯示爲connecting,卻打不開頁面。這時我們切回到Burp Suite,點擊Forward按鈕可以把瀏覽器的請求發出去,或者點擊Drop按鈕丟棄該請求。
我們Forward。
然後輸入backtrack,點擊百度一下進行搜索。
依舊切回Burp Suite,我們可以切換到params更改其value值,我們可以把它的backtrack值改爲chu,接着Forward。
然後你就可以看到雖然你搜索的是backtrack可實際上搜索的卻是chu。
同理我們還可以修改cookie、url、form等。
ok,就簡單說這些吧,關於Burp Suite的其他用法過幾天我會另開一個帖子講解。
還有些不成熟,敬請批評指正哈~
微博求收聽,呵呵,http://t.qq.com/chu-jq,
未
完
待
續
。
。