day10、1 - 扫描和爆破

一、扫描爆破概述

1.windows与kali

• 在kali上有些扫描与爆破软件都是内置的，而且都是一些老牌软件，很稳定，以后会系统学习

• windows上也有相关的扫描与爆破软件，虽然稳定性不高，但是可以简单的使用。这篇主要讲述windows实现渗透

2.扫描与爆破技术基础知识

1）扫描的目的

• 主机探测与端口扫描：收集目标IP地址，有哪些主机存活在局域网中，寻找在线主机所开放的端口，并且在端口上所运行的服务。甚至可以进一步确定目标主机操作系统类型和更详细的信息

2）扫描和爆破王牌软件代表

• 王牌扫描软件：Nmap

  在kali系统是内置的稳定性好，windows的稳定性差一些

• 经典老牌爆破软件：Hydra（九头蛇）

  只要通过网络连接别人，弹框需要输入账号密码，就可以用这款软件爆破。在kali上也是内置的。windows上会出现闪退

3.实验环境搭建–攻击方和靶机

• 真实机与虚拟机接到同一虚拟交换机上

  • 以前学过将虚拟机桥接到Vmnet0，就相当于用某种技术连接了真实机所连接的网络上。但是现在我们要将真实机连接到虚拟网络中，比如连接到Vmnet1，那么就要启用我们真实机的虚拟网卡

    

  • 只要开启这两个网卡其中一个，那么真实机会开启一个虚拟网卡，连接到虚拟机交换机上Vmnet1或Vmnet8上，如果再将虚拟机也连接到Vmnet1或Vmnet8上，就实现了真实机和虚拟机在同一虚拟局域网中

    也可以重新配置其他的Vmnetxxx，但是很麻烦。1和8是安装VMware软件后自带的虚拟网卡，直接用就可以

  • 给连接到vmnet1的虚拟机配置IP，再给真实机的vmnet1网卡配置IP，IP地址需要在同一网段

    

  • 此时真实机的信息既可以从真实网卡出去传给真实交换机，与真实世界通信；也可以从虚拟网卡出去，与虚拟机通信

二、常见的服务端口号

三、Nmap-扫描器之王

1.常用的重要参数

2.具体说明命令使用

在windows上下载好nmap软件，打开cmd，输入下述命令即可扫描。注意：区分大小写

1）nmap -sP

nmap -sP 105.0.1.0/24      #表示扫描105.0.1.0这个网段的IP地址
nmap -sP 10.1.1.2/16       #表示扫描10.1.0.0这个网段的IP地址（/16表名了子网掩码，所以后面的数字没用）

2）nmap -O

nmap -O 10.1.1.1         #表示扫描10.1.1.1主机的操作系统版本以及开放的端口号

3）nmap -p

nmap -p 21,23-25,80 10.1.1.1         #扫描10.1.1.1主机上是否开放21,23到25,80端口号

4）nmap -p -sV

nmap -p 21,23 10.1.1.1 -sV       #扫描10.1.1.1主机上21,23端口是否开放，且如果开放，扫描端口对应服务是用什么公司的软件搭建的，比如21端口服务是微软的IIS软件提供的，还是linux的相关软件提供的

5）nmap -A

nmap -A 10.1.1.1       #全面扫描：

windows上这条指令执行非常慢，未得到结果

6）nmap … -oN

nmap -O 10.1.1.1 -oN d:\report.txt       #扫描10.1.1.1主机的操作系统版存到d盘下的名为report记事本中

四、Hydra-老牌经典爆破

一般爆破软件与扫描软件都是配套使用的，用扫描软件确定了目标主机的IP地址和开放端口，就可以对目标主机的指定服务进行暴力破解，得到用户名和密码。只要需要弹验证登录的窗口的服务，就可以进行爆破获取对方本地用户的密码。根据相应服务的操作，对对方主机进行攻击（比如简单的渗透测试流程笔记中的445漏洞攻击）

1.Hydra使用说明

• 下载好windows版的九头蛇，记住存放路径，打开cmd，进入到有Hydra.exe程序的目录下，再在cmd输入命令Hydra.exe，接着即可使用hydra命令开始爆破；

  

• 也可以下载好后将hydra添加到系统环境变量中，即可打开cmd，直接进入hydra.exe，接着用hydra命令进行爆破

• hydra爆破也需要密码字典的帮助，提前生成用户名和密码字典（用户名最好确认下来，不然难度翻倍）

  

• 前面学过一个爆破软件–NTscan10；那款软件是专门针对文件共享服务漏洞爆破的，原理是不断发送连接命令尝试连接，只要收到回应了则密码正确。这次的hydra软件可以针对所有需要弹验证登录的窗口的服务做爆破

2.Hydra命令使用说明

小写l和p后面跟指定确定的用户名和密码；大写L和P表示未知，即需要跟用户名字典和密码字典来爆破

后面跟的爆破的服务端口，一定是对方电脑上开启的端口，所以爆破前要先扫描

1）hydra -l -p

hydra -l a -p 123 10.1.1.1 telnet  #小写-l表示指定用户名;小写-p表示指定密码（已知用户名和密码）爆破10.1.1.1主机上23号端口远程控制服务，以a用户远程控制

这条命令没有什么意义，因为都知道对方的账号密码了，还需要爆破？？？

2）hydra -l -P

hydra -l administrator -P e:\pass.txt 10.1.1.1 rdp  #指定用户名，使用pass.txt密码字典对远程桌面进行爆破，以管理员的身份操控远程桌面

3）hydra -L -p

hydra -L d:\login.txt -p 123.com 10.1.1.1 smb   #已知密码，使用login.txt用户名字典对445文件共享爆破

4）hydra -L -P

hydra -L e:\login.txt -P e:\pass.txt 10.1.1.1 mysql   #通过用户名和密码字典对目标主机上mysql数据库进行爆破

五、本地爆破

上面介绍的爆破方法可以通过远程爆破，即不用接近对方的电脑；前面已经说过利用五次shift漏洞和PE破解windows开机密码，这两个方法的前提是必须要接近对方的主机，这次再介绍两种近身对方主机爆破本地密码的方法：对方开机时提取内存中的开机输入的密码；提取sam文件中密码的HASH值，对HASH值爆破。

1.从内存中提取密码

win7及以前版本的漏洞，内存中会保存开机输入的密码。win10已经修补

• 操作步骤：

  1. 下载getpass程序，想办法使用对方开机的电脑，将getpass程序植入到对方电脑，记住程序保存路径

     

  2. 用管理员身份打开对方cmd，进入getpass所在目录中，运行getpassword_x64.exe程序

  3. cmd窗口中就会显示出对方目前登录的用户名和密码，且是以明文的方式的呈现的

     

2.提取Sam中HASH值进行爆破

每个人的用户名、用户标识、和对应密码都保存在本地c盘下的SAM文件中，但是通过HASH值的形式存储的

• 使用pwdump和saminside软件合作对hash值进行爆破

  • pwdump提取本地sam文件中的hash值
  • saminside软件用于爆破提取出来的hash值（爆破hash值的办法有很多，还可以在网上找爆破hash值的网站等）

• 操作步骤

  1. 通过管理员身份运行cmd，再运行quarkspwdump.exe程序（因为sam文件只有system系统用户才能操作，其他用户没有权限，用管理员身份运行即表示使用system用户操作）

     

  2. 使用命令quarkspwdump.exe -dhl，得到sam文件中存储的hash值，再将NT-hash值复制到一个文本文件中

     

     

     Sam文件中存有两个hash值：LM-哈希值和NT-哈希值

     • LM哈希值：不安全已被微软弃用，且仅支持14位内的密码

     • NT哈希值：微软最新的hash算法，目前正在使用

  3. 打开saminside.exe图形化界面窗口，将NT-hash值文本文件导入，再使用密码字典生成工具将密码字典中的密码复制粘贴到saminside文件夹下的dic文件中，再点击开始暴力破解。

     

     对NT哈希值进行暴力破解：因为hash算法是不可逆的，无法根据hash值得出原文密码，但是可以不断对各种明文密码使用hash算法得出hash值后，再域sum文件中的hash值进行匹配。所以还需要使用密码字典

这篇好文章是转载于：学新通技术网