环境介绍
NAT模式:
- kali攻击方
- win7受害者
- Metasploitable受害者
扫描类参数:
工具用法参考:Kali Linux信息收集之enum4linux
这里选用以下参数,并抓包
enum4linux -a ip #做所有简单枚举(-U -S -G -P -r -o -n -i),如果您没有提供任何其他选项,则启用此选项
enum4linux -l ip #通过LDAP 389 / TCP获取一些(有限的)信息(仅适用于DN)
enum4linux -o ip #获取操作系统信息
enum4linux -r ip #通过RID循环枚举用户
数据包
观察不同参数的数据包,发现enum4linux在扫描的时候会先发送下面红框内的数据,追踪流发现数据格式几乎完全一致,非常好,规则直接写
双向规则
alert udp any any -> any any (msg:"enum4linux 扫描"; content:"CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|00 00 21 00 01|"; flowbits:set,enum4linux_scan; metadata:service nbns, service udp, service check-ports; sid:1; rev:1;)
alert udp any any -> any any (msg:"enum4linux 响应"; content:"CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|00 00 21 00 01|"; content:"WORKGROUP"; flowbits:isset,enum4linux_scan; metadata:service nbns, service udp, service check-ports; sid:2; rev:1;)
使用入侵检测解决Breaking Point System(BPS)自动化一条龙介绍到的脚本,批量跑snort,全部告警
补充
如果非要细究的话,如下图,其实不同参数之间还是略有不同的,但是这种细化实际意义不大,用上面的规则全部匹配即可
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134330.html
