4.2.2　被动侦察

被动侦查是一种在不主动接触系统的情况下收集有关目标信息的方法。我们将使用间接方法，例如Shodan和Censys来收集有关目标的信息。

Metasploit有很多辅助模块，可以帮助我们进行被动侦察。在本节中，我们将介绍一些使用Metasploit辅助模块执行被动侦察的方法。

4.2.2.1　归档的域URL

归档的域URL是执行被动侦察的最佳方法之一，因为它们会告诉我们有关网站及其URL的历史。有时，虽然网站已更改，但服务器上保留了一些旧文件和文件夹。这些可能包含漏洞，并允许我们获得访问权限。Archived.org和Google Cache是我们用来搜索归档的域URL的两个途径。

Metasploit为此还专门内置了一个辅助工具：

1）我们可以在Search Modules页面中使用enum_wayback关键字来找到所需的辅助工具，如图4-23所示。

图　4-23

2）单击该模块，我们将被重定向到选项页面，你可以输入网站域名。然后，单击Run Module，如图4-24所示。

这将创建一个新任务，模块成功运行后，将在任务窗口中打印找到的输出，如图4-25所示。

4.2.2.2　Censys

Censys是用于搜索连接到Internet的设备的搜索引擎。Censys是由开发ZMap的安全研究人员于2015年在密歇根大学创建的。

Censys持续扫描和记录Internet上的设备：

1）Metasploit具有内置的辅助模块，使我们能够进行Censys扫描。我们可以在模块搜索中使用censys关键字来找到脚本，如图4-26所示。

图　4-24

图　4-25

图　4-26

2）单击该模块将导航至选项页面，但在执行此操作之前，我们需要登录到censys.io并获取将在模块中使用的API ID和Secret，如图4-27所示。

图　4-27

3）我们在模块选项中输入API ID和Secret，然后将域名指定为目标地址，此处以packtpub.com为例，如图4-28所示。

4）单击Run Module将创建一个新任务。辅助模块将搜索不同的主机及其端口。结果如图4-29所示。

Metasploit还具有用于搜索Shodan和Zoomeye数据库的模块，如图4-30所示。

图4-31显示了shodan_search模块的输出。

图　4-28

图　4-29

5）要运行Zoomeye模块，我们可以像搜索Shodan一样搜索zoomeye关键字并运行该模块，如图4-32所示。

图　4-30

图　4-31

图　4-32

4.2.2.3　SSL侦察

组织使用安全套接层（Secure Socket Layer，SSL）协议来确保服务器与客户端之间的通信是加密的。在本节中，我们将研究Metasploit的一个SSL相关的模块，这个模块使用SSL Labs的API收集相关主机上运行的SSL服务的信息：

1）我们可以在模块搜索栏中搜索ssllabs关键字以找到该模块，如图4-33所示。

图　4-33

2）单击模块名称会将我们重定向到选项页面。在这里，我们设置目标并单击Run Module，如图4-34所示。

图　4-34

这将创建一个新任务，并将显示扫描结果和输出，如图4-35所示。

图　4-35

SSL可以透露很多内容，例如证书颁发机构、组织名称、主机和内部IP。我们可以使用同一模块来了解服务器上运行的SSL版本、检查服务器允许的密码，还可以检查目标站点是否启用了HTTP严格传输安全性（HTTP Strict Transport Security，HSTS）机制。