kail linux

二层发现

2016-04-10  本文已影响247人  曼路x_x

title: 二层发现
date: 2016-04-10 10:45
tags: kali渗透测试 主动信息收集


0x00 琐碎

从上一章节,我们可以收集到大量的被动信息,但是因被动而收集的信息,并不与目标系统进行直接交互,所以很有可能所收集的并不是最新的信息,所以现在我们开始进行主动信息收集!

毫无疑问,主动信息收集,终极目标不过是为了获得目标大大量信息,比如高层管理账号密码,核心数据库,系统root权限,也因此我们不可避免的需要与目标主机进行直接接触而留下访问痕迹,为了避免留下痕迹,我们有必要使用受控的第三方电脑进行探测,并且做好被封杀的准备,或者我们可以使用噪音迷惑目标,淹没真实的探测流量。这些所有的主动信息收集过程我们称之为扫描!

过程是这样的,首先对目标进行IP层扫描,再对其进行端口扫描,然后是应用层的扫描,就是对其进行各种网络层面的扫描,根据发送不同探测返回的结果判断目标状态!

0x01 第一阶段 发现


0x02 基于二层发现的工具


arping 发现网卡所在网段的IP


root@jack:~# arping 192.168.0.109 -c 2
ARPING 192.168.0.109
Timeout
Timeout
--- 192.168.0.109 statistics ---
2 packets transmitted, 0 packets received, 100% unanswered (0 extra)
root@jack:~# arping 192.168.0.110 -c 2 -d
ARPING 192.168.0.110
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=0 time=6.563 msec
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=1 time=1.518 msec
--- 192.168.0.110 statistics ---
2 packets transmitted, 2 packets received,   0% unanswered (0 extra)
rtt min/avg/max/std-dev = 1.518/4.040/6.563/2.522 ms

如上可知得到的返回信息中还包含了统计信息,使用grep筛选出我们想要的"bytes from"字段:

root@jack:~# arping 192.168.0.110 -c 2 | grep "bytes from"
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=0 time=10.246 msec
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=1 time=5.159 msec

在进一步筛选,只显示第五行IP字段信息:

root@jack:~# arping 192.168.0.110 -c 2 | grep "bytes from" | cut -d " "  -f 5
{cut -d " "忽略空格;-f 5意思是显示第五个字段的信息}
(192.168.0.110):
(192.168.0.110):

最后除去括号和冒号:

root@jack:~# arping 192.168.0.110 -c 2 | grep "bytes from" | cut -d " " -f 5 | cut -d "(" -f 2 | cut -d ")" -f 1
192.168.0.110
192.168.0.110
#!/bin/bash
#===============================================================================
#
#          FILE: arping1.sh
# 
#         USAGE: ./arping1.sh 
# 
#   DESCRIPTION: 通过arping实现对整个网段或者网卡下连接的一个网络存活ip的扫描
# 
#       OPTIONS: ---
#  REQUIREMENTS: ---
#          BUGS: ---
#         NOTES: ---
#        AUTHOR: onejustone
#  ORGANIZATION: 
#       CREATED: 2016年04月29日 15:47
#      REVISION:  ---
#===============================================================================
if [ "$#" -ne 1 ]; then
#脚本携带的参数数量只能为1个参数
   echo "usage ../arping.sh [interface]"
   echo "Example ../arping.sh etho"
   echo "Example wil perfors an arp scanf of the local subnet to which eth0 is assigned"
fi
interface=$1
#获得第一参数
prefix=$(ifconfig $interface | grep 'inet addr'| cut -d":" -f 2 | cut -d' ' -f 1 | cut -d"." -f 1-3)
for addr in $(seq 1 254);do
   arping -c 1 $prefix.$addr | grep "bytes from" | cut -d" " -f 5 | cut -d"(" -f 2 | cut -d")" -f 1 >>addr.txt
done

运行脚本:

root@jack:~/scripts# sh arping1.sh  eth0 &
root@jack:~/scripts# cat addr.txt 
192.168.0.1
192.168.0.101
192.168.0.102
192.168.0.103
192.168.0.110
192.168.0.113

我们获得了6个相同局域网下活着的IP,但是多段时间以后我们如果要对这些ip重新进行检查是否依旧存活?

#!/bin/bash - 
#===============================================================================
#
#          FILE: arping2.sh
# 
#         USAGE: ./arping2.sh 
# 
#   DESCRIPTION: 定期对已收集到的IP进行存活检查
# 
#       OPTIONS: ---
#  REQUIREMENTS: ---
#          BUGS: ---
#         NOTES: ---
#        AUTHOR: YOUR NAME (), 
#  ORGANIZATION: 
#       CREATED: 2016年04月29日 17:06
#      REVISION:  ---
#===============================================================================
if [ "$#" -ne 1 ]; then
    echo "usage ../arping.sh [interface]"
    echo "Example ../arping.sh etho"
    echo "Example wil perfors an arp scanf of the local subnet to which eth0 is assigned"
fi
file=$1
for addr in $(cat $file); do
    arping -c 1 $addr | grep "bytes from" | cut -d" " -f 5 | cut -d"(" -f 2 | cut -d")" -f 1
done

运行脚本arping2.sh

root@jack:~/scripts# sh arping2.sh addr.txt
192.168.0.1
192.168.0.101
192.168.0.102
192.168.0.103
192.168.0.110
192.168.0.113
[1]+  已完成               sh arping1.sh eth0

nmap 神器


nmap是一个超级强大的工具,但是在这里我们不会细说,而只是基于nmap对于二层发现的作用,后面我们会单独介绍

root@jack:~/scripts# nmap -sn 192.168.0.*
Starting Nmap 7.01 ( https://nmap.org ) at 2016-04-29 17:35 CST
Nmap scan report for 192.168.0.1
Host is up (0.00069s latency).
MAC Address: C8:3A:35:4E:4B:B0 (Tenda Technology)
Nmap scan report for bogon (192.168.0.102)
Host is up (0.52s latency).
MAC Address: F8:A4:5F:14:74:FB (Xiaomi Communications)
Nmap scan report for 192.168.0.103
Host is up (0.52s latency).
MAC Address: DC:6D:CD:D1:E4:FA (Guangdong Oppo Mobile Telecommunications)
Nmap scan report for bogon (192.168.0.110)
Host is up (0.00025s latency).
MAC Address: 20:6A:8A:02:BF:19 (Wistron InfoComm Manufacturing(Kunshan)Co.)
Nmap scan report for 192.168.0.113
Host is up (0.00026s latency).
MAC Address: 5C:F9:DD:6A:02:61 (Dell)
Nmap scan report for 192.168.0.109
Host is up.
Nmap done: 256 IP addresses (6 hosts up) scanned in 2.71 seconds

  我可以发现nmap的扫描速度明显快于arping,执行时间为5秒,并且扫描出来的的信息比arping详细很多!

   同样nmap也可以从文件中获得ip地址段并对其进行扫描探测

root@jack:~/scripts# nmap -iL addr.txt -sn
Nmap done: 7 IP addresses (7 hosts up) scanned in 0.43
seconds

运行时间缩短到了0.43秒!

#### Netdiscover 

----

Netdiscover可用于主动发现和被动发现,同样它采用arp协议,通过向目标发送arp包是否响应来判断目标是否存活,当然主动探测很有可能会触发目标的反侦查系统(如果目标有的话),所以Netdiscover也支持被动发送,Netdiscover对网卡启用混杂模式,收取非本网卡IP地址和非本网卡MAC地址的数据包,并且他的机制是基于广播的,Netdiscover会一直在网络中默默侦听着,等待截取目标发送的arp!这是一种被动的等待,所以比主动的探测或许响应稍慢!

* __主动探测__

root@jack:/tmp# netdiscover -i eth0 -r 192.168.0.109/24

-i指定在哪个网卡上进行发现

-r指定网络地址段

Currently scanning: Finished! | Screen View: Unique Hosts

1 Captured ARP Req/Rep packets, from 1 hosts. Total size: 60


IP At MAC Address Count Len MAC Vendor y scanni ----------------------------------------------------------------------------- dress 192.168.0.1 08:aa:45:6e:4b:10 01 060 Unknown vendor


* __被动扫描__

-p将网卡配置为混杂模式,将会抓取非本网卡即整个网络物理空间中所广播的数据包

root@jack:/# netdiscover -p
Currently scanning: (passive) | Screen View: Unique Hosts

0 Captured ARP Req/Rep packets, from 0 hosts. Total size: 0


IP At MAC Address Count Len MAC Vendor


### 0x03 Python Scapy

----

Scapy是Python的一个库文件,可以在脚本里进行调用,主要是为Python处理一些网络的处理,可以抓包,以可以单独的创建一个数据包,进行发送,也可以对收集到数据包进行修改然后重放,向网络里注入流量,用Scapy学习网络协议也是不错的选择!

初次使用Scapy需要安装python-gnuplot的一组件:

root@jack:~# apt-get install python-gnuplot

进入Scapy

root@jack:~# scapy
WARNING: No route found for IPv6 destination :: (no default route?)
Welcome to Scapy (2.2.0)


### 0x04 Python Scapy 脚本实现arp扫描

----

!/usr/bin/python

import logging
'''导入日志'''
import subprocess
'''实现一些系统命令的调用'''
logging.getLogger("scapy.routime").setLevel(logging.ERROR)
from scapy.all import *
'''导入scapy模块'''

if len(sys.argv)!= 2:
'''如果命令加脚本不等于2,这里不同于bash shell'''
print "Usage .. /arp.display [interface]"
print "Usage .. /arp.display.py eth0"
print "Example will perfors an ARP scanf of the local subnet to which etho is assigned"
sys.exit()

interface = str(sys.argv[1])
ip = subprocess.check_output("ifconfig "+interface +" | grep 'inet addr'| cut -d':' -f 2 | cut -d' ' -f 1", shell=True).strip()
prefix = ip.split('.')[0]+'.'+ip.split('.')[1]+'.'+ip.split('.')[2]+'.'

for addr in range(0, 254):
answer = sr1(ARP(pdst=prefix+str(addr)),timeout=0.1,verbose=0)
'''如果不添加timeout参数,那么scapy遇到不存在的p将会一直发包,
直到有响应为止,所以我们为其添加timeout参数,
超过1秒没响应将放弃,verbose=0表示不显示异常信息=1则会显示'''
if answer == None:
pass
else:
print prefix+str(addr)


### 0x05 何时用到二层发现
---

一般只有当渗透到内网以后才会使用基于二层的探测,一般服务器不会安装nmap,也可能没有arping,也有可能没有Netdiscover,也有可能运行不了Python的脚本,但是一般没有可能连以上一个可能都没有,这是不可能的。
上一篇 下一篇

猜你喜欢

热点阅读