二层发现


title: 二层发现
date: 2016-04-10 10:45
tags: kali渗透测试 主动信息收集


0x00 琐碎

从上一章节,我们可以收集到大量的被动信息,但是因被动而收集的信息,并不与目标系统进行直接交互,所以很有可能所收集的并不是最新的信息,所以现在我们开始进行主动信息收集!

毫无疑问,主动信息收集,终极目标不过是为了获得目标大大量信息,比如高层管理账号密码,核心数据库,系统root权限,也因此我们不可避免的需要与目标主机进行直接接触而留下访问痕迹,为了避免留下痕迹,我们有必要使用受控的第三方电脑进行探测,并且做好被封杀的准备,或者我们可以使用噪音迷惑目标,淹没真实的探测流量。这些所有的主动信息收集过程我们称之为扫描!

过程是这样的,首先对目标进行IP层扫描,再对其进行端口扫描,然后是应用层的扫描,就是对其进行各种网络层面的扫描,根据发送不同探测返回的结果判断目标状态!

0x01 第一阶段 发现


  • 一层发现 IP层
    一层发现阶段的目的是为了识别网络里活着的主机,这些主机就会成为我们后续潜在的攻击目标,整理出一个IP地址列表!

  • 二层发现 基于数据链路层
    二层发现是基于数据链路层的,主要根据其arp协议,其有优点是扫描速度 ,探测出来的结果也非常可靠,缺点是不可路由,它只能发现本网段之内的主机,若是需要夸网段,进行下一跳的话是不可以的,因为路由器并不会转发arp协议包

0x02 基于二层发现的工具


arping 发现网卡所在网段的IP


  • 参数:airping ip -c <数字> 限定发送的探测包的数量
root@jack:~# arping 192.168.0.109 -c 2
ARPING 192.168.0.109
Timeout
Timeout
--- 192.168.0.109 statistics ---
2 packets transmitted, 0 packets received, 100% unanswered (0 extra)
  • __参数:arping ip -d __其作用是发现重复的相应,即是发现不同的mac地址拥有同一个IP,就是说明这是一个arp地址欺骗了!
    下面来尝试抓取本机网卡下的ip:

  • 使用grep管道对信息进行过滤
    首先抓取一个包,分析其特征信息

root@jack:~# arping 192.168.0.110 -c 2 -d
ARPING 192.168.0.110
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=0 time=6.563 msec
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=1 time=1.518 msec
--- 192.168.0.110 statistics ---
2 packets transmitted, 2 packets received,   0% unanswered (0 extra)
rtt min/avg/max/std-dev = 1.518/4.040/6.563/2.522 ms

如上可知得到的返回信息中还包含了统计信息,使用grep筛选出我们想要的"bytes from"字段:

root@jack:~# arping 192.168.0.110 -c 2 | grep "bytes from"
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=0 time=10.246 msec
60 bytes from 20:6a:8a:02:bf:19 (192.168.0.110): index=1 time=5.159 msec

在进一步筛选,只显示第五行IP字段信息:

root@jack:~# arping 192.168.0.110 -c 2 | grep "bytes from" | cut -d " "  -f 5
{cut -d " "忽略空格;-f 5意思是显示第五个字段的信息}
(192.168.0.110):
(192.168.0.110):

最后除去括号和冒号:

root@jack:~# arping 192.168.0.110 -c 2 | grep "bytes from" | cut -d " " -f 5 | cut -d "(" -f 2 | cut -d ")" -f 1
192.168.0.110
192.168.0.110
  • 但是arping只能一个一个的取ping并不能进行大量同时的ping,所以这便需要脚本来完成了!
    脚本代码如下:
#!/bin/bash
#===============================================================================
#
#          FILE: arping1.sh
# 
#         USAGE: ./arping1.sh 
# 
#   DESCRIPTION: 通过arping实现对整个网段或者网卡下连接的一个网络存活ip的扫描
# 
#       OPTIONS: ---
#  REQUIREMENTS: ---
#          BUGS: ---
#         NOTES: ---
#        AUTHOR: onejustone
#  ORGANIZATION: 
#       CREATED: 2016年04月29日 15:47
#      REVISION:  ---
#===============================================================================
if [ "$#" -ne 1 ]; then
#脚本携带的参数数量只能为1个参数
   echo "usage ../arping.sh [interface]"
   echo "Example ../arping.sh etho"
   echo "Example wil perfors an arp scanf of the local subnet to which eth0 is assigned"
fi
interface=$1
#获得第一参数
prefix=$(ifconfig $interface | grep 'inet addr'| cut -d":" -f 2 | cut -d' ' -f 1 | cut -d"." -f 1-3)
for addr in $(seq 1 254);do
   arping -c 1 $prefix.$addr | grep "bytes from" | cut -d" " -f 5 | cut -d"(" -f 2 | cut -d")" -f 1 >>addr.txt
done

运行脚本:

root@jack:~/scripts# sh arping1.sh  eth0 &
root@jack:~/scripts# cat addr.txt 
192.168.0.1
192.168.0.101
192.168.0.102
192.168.0.103
192.168.0.110
192.168.0.113

我们获得了6个相同局域网下活着的IP,但是多段时间以后我们如果要对这些ip重新进行检查是否依旧存活?

#!/bin/bash - 
#===============================================================================
#
#          FILE: arping2.sh
# 
#         USAGE: ./arping2.sh 
# 
#   DESCRIPTION: 定期对已收集到的IP进行存活检查
# 
#       OPTIONS: ---
#  REQUIREMENTS: ---
#          BUGS: ---
#         NOTES: ---
#        AUTHOR: YOUR NAME (), 
#  ORGANIZATION: 
#       CREATED: 2016年04月29日 17:06
#      REVISION:  ---
#===============================================================================
if [ "$#" -ne 1 ]; then
    echo "usage ../arping.sh [interface]"
    echo "Example ../arping.sh etho"
    echo "Example wil perfors an arp scanf of the local subnet to which eth0 is assigned"
fi
file=$1
for addr in $(cat $file); do
    arping -c 1 $addr | grep "bytes from" | cut -d" " -f 5 | cut -d"(" -f 2 | cut -d")" -f 1
done

运行脚本arping2.sh

root@jack:~/scripts# sh arping2.sh addr.txt
192.168.0.1
192.168.0.101
192.168.0.102
192.168.0.103
192.168.0.110
192.168.0.113
[1]+  已完成               sh arping1.sh eth0

nmap 神器


nmap是一个超级强大的工具,但是在这里我们不会细说,而只是基于nmap对于二层发现的作用,后面我们会单独介绍

  • 参数:nmap -sn

    不对端口进行扫描,只是二层发现,寻找存活IP

root@jack:~/scripts# nmap -sn 192.168.0.*
Starting Nmap 7.01 ( https://nmap.org ) at 2016-04-29 17:35 CST
Nmap scan report for 192.168.0.1
Host is up (0.00069s latency).
MAC Address: C8:3A:35:4E:4B:B0 (Tenda Technology)
Nmap scan report for bogon (192.168.0.102)
Host is up (0.52s latency).
MAC Address: F8:A4:5F:14:74:FB (Xiaomi Communications)
Nmap scan report for 192.168.0.103
Host is up (0.52s latency).
MAC Address: DC:6D:CD:D1:E4:FA (Guangdong Oppo Mobile Telecommunications)
Nmap scan report for bogon (192.168.0.110)
Host is up (0.00025s latency).
MAC Address: 20:6A:8A:02:BF:19 (Wistron InfoComm Manufacturing(Kunshan)Co.)
Nmap scan report for 192.168.0.113
Host is up (0.00026s latency).
MAC Address: 5C:F9:DD:6A:02:61 (Dell)
Nmap scan report for 192.168.0.109
Host is up.
Nmap done: 256 IP addresses (6 hosts up) scanned in 2.71 seconds

  我可以发现nmap的扫描速度明显快于arping,执行时间为5秒,并且扫描出来的的信息比arping详细很多!

   同样nmap也可以从文件中获得ip地址段并对其进行扫描探测

root@jack:~/scripts# nmap -iL addr.txt -sn
Nmap done: 7 IP addresses (7 hosts up) scanned in 0.43
seconds

运行时间缩短到了0.43秒!

#### Netdiscover 

----

Netdiscover可用于主动发现和被动发现,同样它采用arp协议,通过向目标发送arp包是否响应来判断目标是否存活,当然主动探测很有可能会触发目标的反侦查系统(如果目标有的话),所以Netdiscover也支持被动发送,Netdiscover对网卡启用混杂模式,收取非本网卡IP地址和非本网卡MAC地址的数据包,并且他的机制是基于广播的,Netdiscover会一直在网络中默默侦听着,等待截取目标发送的arp!这是一种被动的等待,所以比主动的探测或许响应稍慢!

* __主动探测__

root@jack:/tmp# netdiscover -i eth0 -r 192.168.0.109/24

-i指定在哪个网卡上进行发现

-r指定网络地址段

Currently scanning: Finished! | Screen View: Unique Hosts

1 Captured ARP Req/Rep packets, from 1 hosts. Total size: 60


IP At MAC Address Count Len MAC Vendor y scanni ----------------------------------------------------------------------------- dress 192.168.0.1 08:aa:45:6e:4b:10 01 060 Unknown vendor


* __被动扫描__

-p将网卡配置为混杂模式,将会抓取非本网卡即整个网络物理空间中所广播的数据包

root@jack:/# netdiscover -p
Currently scanning: (passive) | Screen View: Unique Hosts

0 Captured ARP Req/Rep packets, from 0 hosts. Total size: 0


IP At MAC Address Count Len MAC Vendor


### 0x03 Python Scapy

----

Scapy是Python的一个库文件,可以在脚本里进行调用,主要是为Python处理一些网络的处理,可以抓包,以可以单独的创建一个数据包,进行发送,也可以对收集到数据包进行修改然后重放,向网络里注入流量,用Scapy学习网络协议也是不错的选择!

初次使用Scapy需要安装python-gnuplot的一组件:

root@jack:~# apt-get install python-gnuplot

进入Scapy

root@jack:~# scapy
WARNING: No route found for IPv6 destination :: (no default route?)
Welcome to Scapy (2.2.0)


### 0x04 Python Scapy 脚本实现arp扫描

----

!/usr/bin/python

import logging
'''导入日志'''
import subprocess
'''实现一些系统命令的调用'''
logging.getLogger("scapy.routime").setLevel(logging.ERROR)
from scapy.all import *
'''导入scapy模块'''

if len(sys.argv)!= 2:
'''如果命令加脚本不等于2,这里不同于bash shell'''
print "Usage .. /arp.display [interface]"
print "Usage .. /arp.display.py eth0"
print "Example will perfors an ARP scanf of the local subnet to which etho is assigned"
sys.exit()

interface = str(sys.argv[1])
ip = subprocess.check_output("ifconfig "+interface +" | grep 'inet addr'| cut -d':' -f 2 | cut -d' ' -f 1", shell=True).strip()
prefix = ip.split('.')[0]+'.'+ip.split('.')[1]+'.'+ip.split('.')[2]+'.'

for addr in range(0, 254):
answer = sr1(ARP(pdst=prefix+str(addr)),timeout=0.1,verbose=0)
'''如果不添加timeout参数,那么scapy遇到不存在的p将会一直发包,
直到有响应为止,所以我们为其添加timeout参数,
超过1秒没响应将放弃,verbose=0表示不显示异常信息=1则会显示'''
if answer == None:
pass
else:
print prefix+str(addr)


### 0x05 何时用到二层发现
---

一般只有当渗透到内网以后才会使用基于二层的探测,一般服务器不会安装nmap,也可能没有arping,也有可能没有Netdiscover,也有可能运行不了Python的脚本,但是一般没有可能连以上一个可能都没有,这是不可能的。
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容