1.实验内容
本周学习内容为web安全。在课程中我学习到了web的基本知识,如前后端和使用的编程语言。此外还有web安全中的sql注入,如何通过在网址中加入SQL语言攻击网站数据库,对网站进行破坏或信息获取。
实验要求:
1.1从www.besti.edu.cn、baidu.com、sina.com.cn中选择一个DNS域名进行查询,获取如下信息:
DNS注册人及联系方式
该域名对应IP地址
IP地址注册人及联系方式
IP地址所在国家、城市和具体地理位置
PS:使用whois、dig、nslookup、traceroute、以及各类在线和离线工具进行搜集信息(要求必须用WHOIS、dig、nslookup、traceroute、tracert以及在线工具)
1.2尝试获取BBS、论坛、QQ、MSN中某一好友的IP地址,并查询获取该好友所在的具体地理位置。
1.3使用nmap开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。
靶机IP地址是否活跃
靶机开放了哪些TCP和UDP端口
靶机安装了什么操作系统,版本是多少
靶机上安装了哪些服务
1.4使用Nessus开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。
靶机上开放了哪些端口
靶机各个端口上网络服务存在哪些安全漏洞
你认为如何攻陷靶机环境,以获得系统访问权
1.5①通过搜索引擎搜索自己在网上的足迹,并确认自己是否有隐私和信息泄漏问题。
②并练习使用Google hack搜集技能完成搜索(至少10种搜索方法)
2.实验过程
2.1对baidu.comDNS域名进行查询,获取如下信息:
2.1.1DNS注册人及联系方式
找到域名注册人MarkMonitor Inc和联系邮箱、电话
2.1.2该域名对应IP地址
①通过在线工具查询:https://tool.lu/ip/
②nslookup,找到39.156.66.10和110.242.68.66
③dig
④ping
2.1.3IP地址注册人及联系方式
①使用whois
找到注册人
2.1.4IP地址所在国家、城市和具体地理位置
①在线工具
②tranceroute,结果全为*
2.2尝试获取BBS、论坛、QQ、MSN中某一好友的IP地址,并查询获取该好友所在的具体地理位置。
①打开任务管理器、选择性能、打开资源监视器
②给QQ好友打语音通话,观察资源监视器中QQ.exe占用资源最多的进程9428
③使用在线工具查找好友ip
2.3使用nmap开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。
靶机ip地址:192.168.29.130
kali ip地址:192.168.29.128
2.3.1靶机IP地址是否活跃
对192.168.29.0网段进行主机发现扫描,发现靶机ip地址,很活跃
2.3.2靶机开放了哪些TCP和UDP端口
①UDP端口,53、111、139、2049端口开放
②TCP端口,以下端口开放
2.3.3靶机安装了什么操作系统,版本是多少
对靶机进行操作系统扫描
靶机安装了Linux系统,版本是2.6.9-33中的某一版本
2.3.4靶机上安装了哪些服务
扫描服务结果如下
2.4使用Nessus开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。
2.4.1靶机上开放了哪些端口
2.4.2靶机各个端口上网络服务存在哪些安全漏洞
查看靶机扫描结果
以下为部分高危漏洞:
2.4.3你认为如何攻陷靶机环境,以获得系统访问权
使用msf,对照漏洞扫描结果针对某一漏洞选择模块,并设置适用于靶机的payload,设置目标ip和攻击方ip后输入run运行,从而获得系统访问权。
2.5.1通过搜索引擎搜索自己在网上的足迹,并确认自己是否有隐私和信息泄漏问题。
没有个人隐私泄露,只在教育局文件中找到个人姓名和就读初中
2.5.2并练习使用Google hack搜集技能完成搜索(至少10种搜索方法)
①filetype:针对文档搜索,可以限定文档类型
②intext:返回正文包含***的页面
③inurl:表示搜索结果中URL必须包含某路径
④site:只能将搜索结果过滤到该网站
⑤link:搜索包含某网站超链接的网站
⑥intitle:页面标题关键字搜索
⑦related:与某网站类似的网站
⑧info:某个特定网站的收录信息
⑨cache:上一次搜索引擎收录某个特定网站的情况
⑩define:搜索指定关键词的定义
3.问题及解决方案
- 问题:Nessus下载过程中,scan插件已经下载,但仍然提示需要下载scan插件才能进行扫描。
- 问题解决方案:重启服务并再次进行更新和注册后可正常使用。
4.学习感悟、思考等
在本次实验中,我对于网络扫描和浏览器信息搜集有了更深入的理解,能够使用nmap和Nessus工具对网段内的主机进行发现和扫描,学会了如何使用whois等命令查看网站的相关信息和利用工具和ip地址对网络用户进行具体定位。这次实验让我感受到网络信息收集功能的强大,也提醒我要保护好个人隐私,注意上网安全。
参考资料
kali安装Nessus图文教程:https://blog.csdn.net/weixin_48886225/article/details/140269127
标签:ip,20222413,端口,扫描,2024,2025,搜索,IP地址,靶机 From: https://www.cnblogs.com/hhshhs/p/18578609