渗透检测-踩点

什么是踩点

攻击者可以通过对某个组织进行有计划、有步骤的踩点,收集整理出一份关于该组织信息安防现状的完整剖析图。结合使用各种工具和技巧,加上一些有益的耐心和思维组织,攻击者完全可以从对某个组织(比如XYZ公司)毫无所知变成知之甚详,他们可以从公开渠道查出该组织具体使用的域名、网络地址块、与因特网直接相联的各有关系统的IP地址以及信息安防现状有关的其他细节。有很多种技术可以用来踩点,但它们的主要目的不外乎发现和收集与以下几种与网络环境相关的信息:

书中列表如下:

网络环境 需要确认的信息
因特网 Domain
网络地址块和子网
可以直接从因特网进行访问的各个系统的具体
IP地址
已被发现的各个系统上运行TCP和UDP服务
系统体系结构(例如SPARC或X86)
访问控制机制和ACL
IDS
 各有关系统的细节信息(如用户名和用户组名、
SNMP)
DNS主机名
内联网 组织协议(IP、IPX、DecNET等等)
内部域名
网络地址块
可以直接从内联网进行发昂问的各个系统的具体
IP地址
已被发现的各个系统上运行的TCP和UDP服务
已被发现的各个系统的体系结构(例如,SPARC
还是X86)
访问控制机制和ACL
IDS
各有关系统的细节信息(用户名和用户组
SNMP信息等)
远程访问 模拟/数字电话号码
远程系统的类型
身份验证机制
VPN和相关的协议(IPSec和PPTP)
外联网 连接的源地址和目标地址
连接的类型
 访问控制机制

为什么说踩点是必须的

黑客们非常善于一件事:在你完全不知情的情况下,洞悉你的想法。他们系统地、有计划地搜集你环境用到技术的点滴信息。如果没有一套完整的方法来进行这类情报搜集工作,你们很可能会和与技术组织有关的关键信息失之交臂。但是,相信我,黑客不会。
尽管预先得到了警告,但是,在试图确定某个祖师的安全防御体系的时候,踩点仍然是最辛苦的任务之一;同时,对于试图进行黑客尝试的初学者来说,它也是最枯燥的但它同时也是最为重要的任务之一。踩点必须精确地进行,而且必须在受控状态下完成。

STEP 1  确定踩点活动的范围

这段的中心我提炼出来,意义便是接单的时候看好目标,并尽量找出安全防御体系中最薄弱的环节可能出现的地方。

STEP 2  获得必要的授权

呃…这个跟我没多大关系,因为我们都是”友情路过”,你懂的‵‵‵‵值得一提的是,作者在书中提到:如果你曾向渗透测试专家询问过”免罪金牌”的事,我敢肯定你会看到他们高深莫测的微笑。

STEP 3 可以从公开的渠道获得的信息

1.公司的WEB网页

有很多公司把安全配置细节以及详细的资产清单列在他们的因特网WEB服务器上。
此外,HTML源代码里的注释语句也是一个收集情报的好去处。以脱机的方式阅读比在线来得要快,可以用wget(linux)或者Teleport Pro(windows)把网页下载下来。
除”http://www”和”https://www之外,还可以随手敲敲www1、www2、web、web1、test、test1等的主机名。这样的选择还有很多。
很多组织都建有专门的站点来处理通过web浏览器来访问本单位内部资源的请求。Micosoft公司的Outlook Web Access就是一个十分常见的例子,它的作用相当于用户从因特网访问某组织内部的Microsoft Exchange的代理服务器。这类资源的URL地址以”http://owa.company.com”或”http: //outlook.company.com”这两种格式最为多见。类似地,拥有大型主机、System/3b或AS/400机器的组织往往会通过诸如 OpenConnect的WebConnect之类的服务向用户提供一个通过WEB浏览器远程访问该组织内部的方法;其作用相当于一个基于JAVA的 3270或5250仿真设备,它使得远程用户可以在客户端使用一个WEB浏览器去远程访问某组织内部的大型主机或中型服务器,如AS/400。
此外,不少组织都有VPN,试着访问一下”http://vpn.company.com”、”https: //vpn.company.com”、”http://www.company.com/vpn”之类的站点。在这类网站上,你们通常可以查到VPN软件的供应商和版本信息以及下载和配置VPN客户端软件的具体步骤。这类网站甚至会提供一个电话号码,黑客—对不起,我的意思是员工—在连接VPN 网遇到麻烦时可以拨打这个电话号码请求帮助。

2.相关组织

目标中对其他组织的引用或连接也特别值得注意。例如,许多目标的WEB开发和设计是外包的。在WEB主页的某个文件中找到来自作者的注释是很平常的事。

3.地理位置及细节

这个社工利用得比较大,书中提到了翻垃圾、盯梢、进行社交工程或者展开其他非技术性攻击。或者非法入侵办公大楼,接入有线或者无线。
对这方面进行刺探的WEB服务:http://earth.google.com/  http://terrserver.microsoft.com/

4.近期重大事件

如果最近公司收益不高,那么员工整天思考的是自己的工资而不是信息安全泄漏的可能性。而大公司的各种各样的报告似乎是不难找到的。

5.员工:电话号码、联系人名单、电子邮件地址和详细的个人资料

也是社工方面的利用,不解释了。

6.可以表明现有信息安防机制的隐私/安全策略和技术细节

基于一个非常明显的理由,任何有助于深入了解目标组织隐私/安全策略和有助于深入了解目标组织用以保护自己的硬件和软件的信息和技术细节,都是黑客们眼里的无价之宝。对一位有经验的黑客来说,只要能收集到足够多的这类信息,就不难发现侵入目标组织的机会。

7.心怀不满的员工

心怀不满的员工的作用大家都是有目共睹的了。Google搜索引擎的高级搜索功能”link:www.company.com”可以在其所知范围内将与目标组织有链接的网站查找出来,而在那些网站当中,我们经常可以发现一些故意泄漏目标组织秘密或是针对目标组织的恶意网站。
另外说一点个人看法,想找心怀不满的员工也可以去组织专有的BBS上去搜索相关言论。

8.搜索引擎、Usenet、个人简历

搜索引擎:其实就是GOOGLE HACKING,比较知名的工具:Athena,SiteDigger,Wikto
个人简历:网上的招聘启事和求职简历也是一个收集信息的好资源。比如,如果你在某家公司的招聘启事里看到它正在寻找以为在CheckPoint防火墙和 Snort IDS方面有5年以上跟噢能做经验的安全专业人员,你说这个组织所使用的防火墙和IDS会是什么?他们很可能是想登请以为入侵检测方面的专家来组建和领导其IR团队。如果真是如此,他们目前的入侵检测和响应能力又会是怎样的?是否正遇上了某种麻烦?他们目前是否有一位这方面的领军人物?如果招聘启事没能提供这些细节,打个电话过去说不定就能有所收获。对求职简历感兴趣也可以按照其类似的办法来处理–假扮成猎头公司去问问题就可以了。

STEP 4  WHOIS和DNS查点

机制 资源 适用平台
Web界面 http://whois.inana.org
http://www.arin.net
http://www.allwhois.com
安装有WEB客户程序
的任何平台
whois客户端程序 大多数UNIX版本自带的whois查询工具 UNIX
fwhois http://linux.maruhn.com/sec/fwhois.html UNIX
WS_Ping ProPack http://www.ipswitch.com/ Windows95/NT/2000/XP
Sam Spade http://www.samspade.org/ssw Windows95/NT/2000/XP
Web界面的
Sam Spade工具
http://www.samspade.org 安装有WEB客户程序
的任何平台
Net Scan工具 http://www.netscantools.com/nspromain.html Windows95/NT/2000/XP
Xwhois http://c64.org/<126>nr/xwhois/ 安装有X和GTK+GUI
开发工具包的UNIX系统
Jwhois http://www.gnu.org/software/jwhois/jwhois.html UNIX

STEP  5   DNS查询

windows下书中介绍了nslookup,sam spadeUNIX下嘛那就多了,nslookup,host,dig,axfr(http://packetstormsecurity.nl /groups/ADM/axfr-0.5.2.tar.gz)

STEP 6  网络侦查

这一步骤书中只介绍了一种工具tracetoute(ftp://ftp.ee.lbl.gov/traceroute.tar.gz),其实同类工具还有很多,BackTrack 4 R2下的Information Gathering目录中可以全部找到。
本文摘自PortWatcher博客网络安全攻防研究室(www.91ri.org) 网络信息安全小组收集整理.