网络安全防范教程：利用工具软件踩点

1.利用DOS命令收集信息

1）ping命令是用来判断目标主机是否活动的最常用、最简单的探测手段。利用ping收集信息的结果如图2-1所示。

Reply from 192.168.3.10：bytes=32time＜1ms TTL=32

“Reply from 192.168.3.10”表示回应ping的IP地址是192.168.3.10；“bytes=32”表示回应报文的大小，这里是32字节；“time＜1ms”表示回应所花费的时间，小于1毫秒；“TTL=32”，TTL是生存时间，报文经过一个路由器就减1，如果减到0就会被抛弃。

由于不同系统对ICMP做出的响应不同，因此TTL字段值可以帮助识别操作系统类型。TTL字段值和操作系统类型的关系如表2-1所示。

图2-1 利用ping收集信息

表2-1 TTL字段值和操作系统类型的关系

一般ping出来的TTL值往往只是以上数字的一个接近值。由于TTL值每经过一个路由器就减1，TTL=50的时候就是说发一个数据到ping的地址期间要通过14个路由器。如果TTL=126，就是中间要通过两个路由器。因此，如果TTL接近255的话就是UNIX系统，如果接近128的话就是Windows系统。

2）tracert：跟踪从本地开始到达某一目标地址所经过的路由设备，并显示出这些路由设备的IP、连接时间等信息。利用tracert跟踪路由的结果如图2-2所示。

图2-2 利用tracert跟踪路由

3）nbtstat：主要用于对NetBIOS系统（特别是Windows计算机）的侦测，可获知目标系统的信息和当前登录的用户，判断目标系统上的服务，读取和清除其Cache中的内容等。网络入侵者可以通过从nbtstat获得的输出信息开始收集有关对方机器的信息。

如果已知某台Windows主机的IP地址，输入命令“nbtstat-A 192.168.0.111”可以查看其名字列表，如图2-3所示。

通过检查nbtstat命令的结果，可以找到＜03＞;识别符。采用＜03＞;识别符的表目是用户名或机器名。如果有人从本地登录到该机器上，就会看到两个＜03＞;识别符。在一般情况下，第一个＜03＞;识别符是机器的NetBIOS名字，第二个＜03＞;识别符是本地登录用户的名字。

4）Nslookup：最简单的用法就是查询域名对应的IP地址，包括A记录和CNAME记录，如果查到的是CNAME记录还会返回别名记录的设置情况，如图2-4所示。其用法是：

图2-3 查看远程主机的名字列表

图2-4 利用Nslookup查询域名对应的IP地址

图2-5是使用Nslookup查询域名记录，获得子域名的结果。

图2-5 使用Nslookup查询域名记录

2.Google Hacking

黑客常常通过Internet搜索引擎来查找存在漏洞的主机。例如用Google、百度等搜索引擎搜索漏洞主机。例如，在图2-6中，这些主机的html文件泄漏了物理存储路径。

图2-6 主机的html文件泄漏了物理存储路径

Google Hacking在国外已经流行很久了，在国内得到广泛应用是最近几年的事，不少入侵者利用Google强大的搜索功能来搜索某些关键词，找到有系统漏洞和Web漏洞的服务器。

下面来看一下如何找到可能有漏洞的服务器。

（1）Google Hacking的常用语法

intitle：搜索网页标题中是否有所要找的字符。

cache：搜索Google里关于某些内容的缓存。

filetype：搜索指定类型的文件，例如filetype：mdb。

site：搜索域名为指定的某关键词，比如“site：com.cn”是搜索域名为com.cn的网站

利用上面提到的语法和关键词就可以对有漏洞的服务器进行搜索了，还有一些搜索方法，可以到“http：//www.google.com/intl/zh-CN/help.html”看一下。

（2）Google Hacking常用语法的综合利用

upload site：jp

upfile site：jp

filetype：mdb inurl：dvbbs

filetype：inc site：jp(www.xing528.com)

intitle：admin site：jp

上面的搜索关键词不用解释大家也会明白。还有很多种组合，读者可以发挥想象，套用一句广告词：没有做不到，只有想不到。下面这个网站列出了Google Hacking Database（ht-tp：//johnny.ihackstuff.com/index.php？module=prodreviews），感兴趣的读者可以去看一下。

此外，黑客常常利用专用的Google搜索引擎扫描工具，如Google Hack V2.0就是一款强大的黑客扫描工具，汇集了几乎所有常用的可利用漏洞的查询关键字，并可根据已知目标信息进行关键字查询。图2-7为Google Hack V2.0主界面。

图2-7 Google Hack V2.0主界面

在图2-7中，单击下拉选项，选择要搜索的存在某安全漏洞的关键字，如图2-8所示，选择“filetype：sql password”。然后在图2-9中，单击“Let’s go按钮”。

图2-8 选择或输入要查询的关键字

图2-9 搜索数据库连接的账户和密码

搜索结果如图2-10所示，在搜索结果中可得到某个Web主机的数据库连接的账户和密码。

图2-10 Google搜索到的结果

利用搜索到的信息，黑客就可以很方便地进行入侵并控制目标系统。

3.Whois查询

Whois协议是一种信息服务（RFC 954）。WhoIs服务器是一个基于“查询/响应”的TCP事务服务器，向用户提供Internet范围内的目录服务。客户端主机上的用户程序可以通过Internet与服务器的TCP端口43建立一个连接后，对输入的关键词以Web方式进行查询，服务器能够提供有关所有DNS域和负责各个域的系统管理员数据，其中记录着每个互联网站点的详细信息，其中包括域名、服务器地址、联络人、电话号码和地址。

假设要查询“www.google.com”的域名信息，可以到“http：//panda.www.net.cn”或者“http：//whois.webhosting.info”进行查询；也可以使用一些相关的软件，如Win-whois.exe进行查询。例如，利用“www.internic.net”的whois服务，输入“sina.com”得到如表2-2所列的信息。

表2-2 用whois服务得到sina.com的信息

利用www.apnic.net的whois服务，输入学校某主机的IP地址：202.196.53.188，得到如表2-3所列的结果（部分）。

表2-3 用whois服务得到学校某主机的信息（部分）

4.利用SNMP探测目标系统

简单网络管理协议（Simple Network Management Protocol）是目前在计算机网络中使用最广泛的网络管理协议，它可以用来集中管理网络上的设备，使网络设备彼此之间可以交换管理信息，网络管理员可以利用它管理网络的性能，定位和解决网络故障，进行网络规划。许多不同的管理软件和管理系统都使用这个协议。SNMP的安全问题是：别人可能控制并重新配置网络设备以达到危险的目的，比如取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。

对于开放SNMP服务的系统，黑客可以用SNMP管理或查询工具去探测目标系统。当探测目标系统时，需要猜解SNMP团体（community）名称。支持SNMP查询的工具有很多，snmputil.exe是一个简单的命令行工具，用snmputil.exe可以进行以下操作：

snmputil walk＜目标机ip＞;＜community_name＞;OID

假如已知一台计算机运行了SNMP服务，且团体名为“public”（注意名称对大小写敏感），用snmputil就可以查询到Windows NT/2000系统的用户列表。

用snmputil刺探目标系统192.168.0.111上的用户列表的结果如图2-11所示。此外，系统进程、共享等都可以用这种方法获得。

图2-11 用snmputil刺探目标系统上的用户列表

在使用一些扫描器对网络扫描时常会发现一些SNMP口令为“public”的计算机，通过这个黑客就有可能对SNMP中MIB（Management Information Base，管理信息库，常应用于SNMP和通用网络接口协议的数据库）进行访问，从而收集该计算机的一些信息。Resource Kit中的snmputil工具常用的命令格式有：

snmputil walk＜对方IP＞;public.1.3.6.1.4.1.77.1.2.25.1.1尝试获得对方机器系统用户列表

snmputil walk＜对方IP＞;public.1.3.6.1.2.1.25.4.2.1.2列出系统进程

snmputil walk＜对方IP＞;public.1.3.6.1.4.1.77.1.2.25.1.1列系统用户列表

snmputil get＜对方IP＞;public.1.3.6.1.4.1.77.1.4.1.0列出域名

snmputil walk＜对方IP＞;public.1.3.6.1.2.1.25.6.3.1.2列出安装的软件

snmputil walk＜对方IP＞;public.1.3.6.1.2.1.1列出系统信息

读者可以访问“http：//www.telecomm.uh.edu/stats/rfc/HOST-RESOURCES-MIB_.html”和“http：//www.intermapper.com/contrib/mibs/Host-Resources-MIB”获得更详细的资料。

5.查询虚拟主机以便使用旁注法入侵

不少网站被黑并不是因为自身的Web程序存在漏洞，而是黑客通过入侵在同一个虚拟主机的网站，而后黑掉这些网站的，这种攻击手法叫做旁注法。如果将一个虚拟主机比喻成一座大楼，每个房间代表一个网站空间，从大楼外面看每个房间都有一个窗口（表示Web浏览服务）。如果入侵者想通过A房间的窗口进入到A房间，可是A网站没有漏洞，无法入侵进去，所以只能靠别的没有关严的窗口（存在漏洞的网站）进入大楼内部，再想办法进入A房间。这种入侵方法自2005年起开始被国内的黑客广泛使用。关于虚拟主机站点查询的工具有很多，由明小子开发的旁注Web综合检测程序和桂林老兵开发的虚拟主机站点查询工具是其中比较不错的两款。