- 浏览: 2203698 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (1240)
- mac/IOS (287)
- flutter (1)
- J2EE (115)
- android基础知识 (582)
- android中级知识 (55)
- android组件(Widget)开发 (18)
- android 错误 (21)
- javascript (18)
- linux (70)
- 树莓派 (18)
- gwt/gxt (1)
- 工具(IDE)/包(jar) (18)
- web前端 (17)
- java 算法 (8)
- 其它 (5)
- chrome (7)
- 数据库 (8)
- 经济/金融 (0)
- english (2)
- HTML5 (7)
- 网络安全 (14)
- 设计欣赏/设计窗 (8)
- 汇编/C (8)
- 工具类 (4)
- 游戏 (5)
- 开发频道 (5)
- Android OpenGL (1)
- 科学 (4)
- 运维 (0)
- 好东西 (6)
- 美食 (1)
最新评论
-
liangzai_cool:
请教一下,文中,shell、C、Python三种方式控制led ...
树莓派 - MAX7219 -
jiazimo:
...
Kafka源码分析-序列5 -Producer -RecordAccumulator队列分析 -
hp321:
Windows该命令是不是需要安装什么软件才可以?我试过不行( ...
ImageIO读jpg的时候出现javax.imageio.IIOException: Unsupported Image Type -
hp321:
Chenzh_758 写道其实直接用一下代码就可以解决了:JP ...
ImageIO读jpg的时候出现javax.imageio.IIOException: Unsupported Image Type -
huanghonhpeng:
大哥你真强什么都会,研究研究。。。。小弟在这里学到了很多知识。 ...
android 浏览器
IVRE简介
IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计。
网上已有部分文章对IVRE的使用做介绍,由于文章时间较早,IVRE的安装、命令执行等均有所改变,本文使用最新版IVRE做讲解,并增加部分其它文章未提及的Nmap模板参数设置、Web界面搜索使用等内容。
IVRE官方网站:https://ivre.rocks
GitHub:https://github.com/cea-sec/ivre
IVRE安装
使用Docker方式安装
安装脚本会在ivre目录中创建几个新的文件夹,这些文件夹用于挂载到Docker容器中存放数据库等信息。ivre-share会挂载容器ivreclient的根目录下,之后的扫描操作我们也在这个目录下执行,方便主机和容器间的文件交互。
数据库初始化
第一次使用时,对4个数据库进行初始化操作(使用过程中,如需完全重新导入数据,也要对相应数据库做初始化设置):
获取IP位置数据
ipdata数据包含了IP对应的地理位置信息。
安装缺失Python模块
执行ivre命令后,提示部分Python模块缺失,下面进行这部分模块的安装:
IVRE使用
被动侦查
IVRE可以使用Bro和p0f对流量分析,并将结果导入到数据库中。
个人感觉网络流量分析这部分,IVRE所能提供的功能并不实用,略过,感兴趣的同学,请参考官方文档。
需对流量实时或回放分析,Windows平台下推荐使用成都本土科技公司科来的科来网络分析系统,技术交流版免费使用。
Flow analysis
网络数据流的图形展示,这个比较炫酷,简单介绍下。先在主机上使用Wireshark抓一段时间包,数据包保存为pcap格式,命名为test.pcap,放入IVRE的共享文件夹ivre-share中,执行命令处理数据包:
打开浏览器,输入http://your-host-ip/flow.html 查看网络流量动画。
主动侦查
主动侦查部分是重点介绍的内容,通常环境下,企业内网环境的网络流量不可能完全经过安全测试服务器,需要了解内网全部服务器的端口、服务情况,需要使用Nmap、Masscan等工具进行主动探测扫描。
使用Nmap扫描
随机扫描1000个IP
进入Docker – ivreclient shell后,执行:
这条命令会执行一个随机扫描,扫描1000个中国地区的IP,默认开启30个Nmap并行进程。使用ivre help runscans查看扫描相关的详细帮助内容。扫描后在/ivre-share目录下生成扫描结果文件,包含端口开放、服务信息、网页截图等。
扫描后清理缓存文件:
导**入扫描结果**
扫描完成后,将扫描结果导入数据库:
这里 ROUTABLE-CN-001 是这次扫描结果的分类名称,MySource是扫描来源名称,方便指挥对扫描结果的分类搜索。
除了在本地执行扫描工作外,IVRE还可以设置多个扫描在代理服务器,在主服务器上执行ivre {runscansagent|runscansagentdb}命令进行代理服务器的扫描任务下发和结果导入。
命令执行后提示xxx results imported,则导入成功。
指定扫描IP目标
通过ivre help runscans命令查看IVRE的帮助文档,找到两个指定扫描IP的参数,--range和--network,--range指定扫描IP的起止范围,--network参数可指定一个网段。例:
使用--output=CommandLine 参数来看下当前执行的完整命令:
使用Nmap模板扫描
--nmap-template参数可指定Nmap扫描模板,在/etc/ivre.conf中添加模板。
Nmap模板参考:
添加模板参数后后再看看扫描命令:
相比之前的命令,增加了-p 1-65535参数,执行全端口扫描。
模板中可以设置的其它参数,我在网上没找到详细的官方介绍文档,可以在IVRE的python文件中查找:/usr/local/lib/python2.7/dist-packages/ivre/nmapopt.py通过模板,你可以定制你的特定扫描需求。
扫描结果使用
执行扫描并导入数据库后,有三种方式使用这些内容:
CLI: ivre scancli
例:使用命令行查看所有开放了22端口的主机:
使用ivre help scancli查看详细的帮助信息。
Python 模块
例:
在Python shell执行help(db.nmap)查看模块的帮助信息。
Web界面
浏览器输入 http://your-host-ip 访问IVRE Web界面,
结语
在复杂的企业内网,定期使用IVRE对内网的端口扫描探测并保存结果,便于安全工作人员及时掌握内网的服务开放、是否存在弱口令等情况。
日常的渗透测试工作中,小规模的IP扫描,建议使用另一款工具——斯巴达(SPARTA,Kali自带,Github链接),输入IP,自动进行Nmap扫描,根据服务探测结果调用相关工具(如Hydra、Dibuster等)进行下一步的测试。
IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计。
网上已有部分文章对IVRE的使用做介绍,由于文章时间较早,IVRE的安装、命令执行等均有所改变,本文使用最新版IVRE做讲解,并增加部分其它文章未提及的Nmap模板参数设置、Web界面搜索使用等内容。
IVRE官方网站:https://ivre.rocks
GitHub:https://github.com/cea-sec/ivre
IVRE安装
使用Docker方式安装
$ mkdir ivre $ cd ivre //拉取Docker镜像 $ mkdir -m 1777 var_{lib,log}_{mongodb,neo4j} ivre-share $ wget -q https://ivre.rocks/Vagrantfile //启动Docker $ vagrant up --no-parallel //进入Docker - ivreclient shell $ docker exec -it ivreclient bash root@e809cb41cb9a:/# //查看ivre命令帮助 root@e809cb41cb9a:/#ivre --help
安装脚本会在ivre目录中创建几个新的文件夹,这些文件夹用于挂载到Docker容器中存放数据库等信息。ivre-share会挂载容器ivreclient的根目录下,之后的扫描操作我们也在这个目录下执行,方便主机和容器间的文件交互。
数据库初始化
第一次使用时,对4个数据库进行初始化操作(使用过程中,如需完全重新导入数据,也要对相应数据库做初始化设置):
$ ivre scancli --init $ ivre ipinfo --init $ ivre ipdata --init $ ivre runscansagentdb --init
获取IP位置数据
ipdata数据包含了IP对应的地理位置信息。
$ ivre ipdata --download $ ivre ipdata --import-all --no-update-passive-db
安装缺失Python模块
执行ivre命令后,提示部分Python模块缺失,下面进行这部分模块的安装:
apt-get update apt-get install python-pip //Python module PIL: 4.3.0: missing pip install Pillow //Python module krbV: missing apt-get install libkrb5-dev pip install python-krbv //Python module MySQLdb: missing apt-get install python-mysqldb //安装VIM,方便编辑文件 apt-get install vim
IVRE使用
被动侦查
IVRE可以使用Bro和p0f对流量分析,并将结果导入到数据库中。
个人感觉网络流量分析这部分,IVRE所能提供的功能并不实用,略过,感兴趣的同学,请参考官方文档。
需对流量实时或回放分析,Windows平台下推荐使用成都本土科技公司科来的科来网络分析系统,技术交流版免费使用。
Flow analysis
网络数据流的图形展示,这个比较炫酷,简单介绍下。先在主机上使用Wireshark抓一段时间包,数据包保存为pcap格式,命名为test.pcap,放入IVRE的共享文件夹ivre-share中,执行命令处理数据包:
$ cd /ivre-share //使用Bro对数据包进行处理,完成后再当前文件夹生成.log文件 $ bro -r test.cap //初始化flowcli数据库 $ ivre flowcli --init //将.log文件导入数据库 $ ivre bro2db *.log 查看导入的流量统计数据 $ ivre flowcli --count 585 clients 1259 servers 3629 flows
打开浏览器,输入http://your-host-ip/flow.html 查看网络流量动画。
主动侦查
主动侦查部分是重点介绍的内容,通常环境下,企业内网环境的网络流量不可能完全经过安全测试服务器,需要了解内网全部服务器的端口、服务情况,需要使用Nmap、Masscan等工具进行主动探测扫描。
使用Nmap扫描
随机扫描1000个IP
进入Docker – ivreclient shell后,执行:
$ cd /ivre-share $ ivre runscans --routable --limit 1000 --country CN --output=XMLFork
这条命令会执行一个随机扫描,扫描1000个中国地区的IP,默认开启30个Nmap并行进程。使用ivre help runscans查看扫描相关的详细帮助内容。扫描后在/ivre-share目录下生成扫描结果文件,包含端口开放、服务信息、网页截图等。
扫描后清理缓存文件:
rm -fr /ivre-share/scans/COUNTRY-CN/ current/
导**入扫描结果**
扫描完成后,将扫描结果导入数据库:
$ cd /ivre-share $ ivre scan2db -c ROUTABLE-CN-001 -s Parrot -r /ivre-share/scans/COUNTRY-CN/up/
这里 ROUTABLE-CN-001 是这次扫描结果的分类名称,MySource是扫描来源名称,方便指挥对扫描结果的分类搜索。
除了在本地执行扫描工作外,IVRE还可以设置多个扫描在代理服务器,在主服务器上执行ivre {runscansagent|runscansagentdb}命令进行代理服务器的扫描任务下发和结果导入。
命令执行后提示xxx results imported,则导入成功。
指定扫描IP目标
通过ivre help runscans命令查看IVRE的帮助文档,找到两个指定扫描IP的参数,--range和--network,--range指定扫描IP的起止范围,--network参数可指定一个网段。例:
$ ivre runscans --network 45.32.14.0/24 --output=XMLFork
使用--output=CommandLine 参数来看下当前执行的完整命令:
root@67d2aa11797f:/ivre-share# ivre runscans --network 45.32.14.0/24 --output CommandLine Command line to run a scan with template default nmap -A -PS -PE -sS -vv --host-timeout 15m --script-timeout 2m --script '(default or discovery or auth) and not (broadcast or brute or dos or exploit or external or fuzzer or intrusive)'
使用Nmap模板扫描
--nmap-template参数可指定Nmap扫描模板,在/etc/ivre.conf中添加模板。
Nmap模板参考:
vi /etc/ivre.conf //创建一个扫描1-65535端口,名称为`full-port`的Nmap扫描模板,在文件中添加以下内容(复制default模板并修改部分参数) NMAP_SCAN_TEMPLATES["full-ports"] = NMAP_SCAN_TEMPLATES["default"].copy() NMAP_SCAN_TEMPLATES["full-ports"]["ports"] = "1-65535" NMAP_SCAN_TEMPLATES["full-ports"]["scripts_categories"] = ['(default or discovery or auth) and not (broadcast or brute or dos or exploit or external or fuzzer or intrusive)'] NMAP_SCAN_TEMPLATES["full-ports"]["scripts_exclude"] = []
添加模板参数后后再看看扫描命令:
root@67d2aa11797f:/ivre-share# ivre runscans --network 45.32.14.0/24 --output CommandLine --nmap-template full-port Command line to run a scan with template full-port nmap -A -PS -PE -sS -vv -p 1-65535 --host-timeout 15m --script-timeout 2m --script '(default or discovery or auth) and not (broadcast or brute or dos or exploit or external or fuzzer or intrusive)'
相比之前的命令,增加了-p 1-65535参数,执行全端口扫描。
模板中可以设置的其它参数,我在网上没找到详细的官方介绍文档,可以在IVRE的python文件中查找:/usr/local/lib/python2.7/dist-packages/ivre/nmapopt.py通过模板,你可以定制你的特定扫描需求。
扫描结果使用
执行扫描并导入数据库后,有三种方式使用这些内容:
- ivre scancli命令行工具
- Python模块ivre.db
- IVRE Web界面
CLI: ivre scancli
例:使用命令行查看所有开放了22端口的主机:
$ ivre scancli --port 22 See the output of .
使用ivre help scancli查看详细的帮助信息。
Python 模块
例:
$ python >>> from ivre.db import db >>> db.nmap.get(db.nmap.flt_empty)[0]
在Python shell执行help(db.nmap)查看模块的帮助信息。
Web界面
浏览器输入 http://your-host-ip 访问IVRE Web界面,
结语
在复杂的企业内网,定期使用IVRE对内网的端口扫描探测并保存结果,便于安全工作人员及时掌握内网的服务开放、是否存在弱口令等情况。
日常的渗透测试工作中,小规模的IP扫描,建议使用另一款工具——斯巴达(SPARTA,Kali自带,Github链接),输入IP,自动进行Nmap扫描,根据服务探测结果调用相关工具(如Hydra、Dibuster等)进行下一步的测试。
发表评论
-
Nginx+Https自己敲命令生成证书
2020-05-18 09:35 955一、准备 环境:centos6.8 ... -
CentOS 7 SSH使用证书登录(git更新免密)
2020-05-09 15:46 770本地生成证书: ssh-keygen -t rsa 会提示输 ... -
centos7单机安装kafka,进行生产者消费者测试
2020-04-29 11:39 755kafka安装与测试 1、配置JDK环境 安装jdk就不 ... -
https证书生成环境搭建配置(基于Tomcat和Nginx)
2020-04-24 11:06 828一、基于Tomcat、JDK内置密钥工具: 1、生成服务端证 ... -
Centos7连接wifi 静态IP
2020-04-24 09:14 741输入ip addr命令查看联网信息: 上面看不到IP地址,说 ... -
Linux学习笔记 --- Centos7下查看CPU个数以及核数
2019-11-19 14:02 643# 总核数 = 物理CPU个数 X 每颗物理CPU的核数 # ... -
centos7下每天自动备份mysql数据库
2019-11-09 11:18 432centos7下每天自动备份mysql数据库 1、新建备份脚 ... -
k8s安装
2019-11-08 13:47 0安装docker: sudo yum install -y d ... -
史上最强Tomcat8性能优化
2019-11-01 21:41 911授人以鱼不如授人以渔 ... -
CentOS下配置Nginx的https时报错:缺少ngx_http_ssl_module
2019-09-19 12:08 10841.首先,找到Nginx安装包的位置。比如,我的是:/usr/ ... -
centos下安装docker,kubelet kubeadm kubectl
2019-09-06 22:32 416安装docker yum install docker -y ... -
CentOS7下Redis的安装与使用
2019-08-17 11:45 614一、手动安装过程 1、准备工作(安装gcc依赖) yum ... -
Nginx与tomcat组合的简单使用
2019-08-17 10:05 445配置tomcat跳转 请求http出现400的时候在这里配置 ... -
Centos7安装Nginx步骤
2019-08-17 09:16 443一、安装 准备工作:开始前,请确认gcc g++开发类库是否装 ... -
centos 7 mariadb安装
2019-08-07 14:24 427安装MariaDB yum -y install mariad ... -
centos 解决"不在 sudoers 文件中。此事将被报告"的问题
2019-08-07 14:19 794在使用sudo命令时收到centos如下的警告: 不在 su ... -
在Linux下打包tar文件时添加密码的方法
2019-07-03 19:27 851在当前目录下有一个pma目录的文件夹: 1、使用tar对文件 ... -
使用Docker搭建Tomcat运行环境
2019-02-08 21:32 4951 准备宿主系统 准备一 ... -
黑客寻找网站真实IP手段大揭秘!
2018-11-03 09:20 752一、什么是CDN 首先,我们来认识下最寻常的真实ip隐藏的方 ... -
aircrack-ng/airport for mac
2018-08-12 10:42 960mac电脑上使用aircrack-ng/airport 安装 ...
相关推荐
IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计。
IVRE(外部仪器)或DRUNK(未知网络的动态侦察)是一个网络侦察框架,包括用于被动侦察的工具(流分析依赖 , , 和主动侦察(IVRE使用来运行)扫描; IVRE也可以从Nmap和导入XML输出,从和导入JSON输出。 广告...
IVRE (Instrument de veille sur les réseaux extérieurs) 或 DRUNK (Dynamic Recon of UNKnownnetworks) 是一个网络侦察框架,包括被动侦察工具(流量分析依赖于 、 、 和主动侦察(IVRE 使用Nmap运行)扫描;...
包括用于被动侦察的工具(基于Bro,Argus,Nfdump的流分析工具,手指IVRE IVRE(外部侦查仪器) lesréseauxextérieurs或DRUNK(未知网络的动态侦察)是一个网络侦察框架,包括用于被动侦察的工具(流分析依赖Zeek...
网络空间工控系统的威胁情报是指针对工业控制系统(ICS)和工控...这要求安全专家和组织机构不仅要有强大的信息收集和分析能力,更要有对工控系统深刻的理解和针对特定威胁的防护措施,以应对日益严峻的网络安全挑战。
这是一个用 Java 脚本编写的布朗运动(“Déplacement de l'hommé ivre”)的非常简单的示例。 如何 只需克隆这个 repo,然后使用您最喜欢的网络浏览器(首选 Chrome)打开 index.html。 去做 添加碰撞检测系统 ...