开发者学堂课程【网络安全攻防 - Web渗透测试:Web 信息收集之目标扫描_2】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/630/detail/9917
Web 信息收集之目标扫描_2
内容介绍
一、主机发现
二、端口扫描
三、系统扫描
四、版本扫描
五、综合扫描
六、脚本扫描
七、Zenmap
一、主机发现
nmap -sn 192. 168.106/24
二、端口扫描
nmap -sS -p1-1000 192.168.106.134
sS 是最常见的对 tcp 的一个扫描行为,刚才给它一个范围从1到1024,为什么只扫这一段呢?因为像常见的端口以及协议的端口和服务,但是现在很多人都不说协议,说服务,比如网站服务是80和43,远程桌面 windows3389,fdb2021这样一个端口,很常见,这一些端口都称之为著名端口,扫描一个1024端口,速度还是很快的,如果全端口扫描,会花费很长时间,所以扫描低端口,这个端口一般是服务常用的,但是也给安全人员带来了一个建议把22端口改到1124以上,在某种程度上避免别人扫描。
三、系统扫描
nmap -0 192.168. 106.134
-0一般是结合起来用的。Tcp ip 是20个字节,udp icmp 是8个字节。
目标主机的系统,linux2.6.17-2.6.36
很少用大 A,因为系统会很慢。
四、版本扫描
nmap -sV 192.168. 106.134
-sV 是版本,可以看一下帮助,去侦测它的相应端口的7.70,版本信息是非常有用的。
root@kali:~# nmap ·SV 192. 168.106.134 -p1- 1024
去侦测它服务版本的信息。比之前要缓慢,因为加了一个版本的侦测的机制。
Starting Nmap 7.70 ( https://nmap.org ) at 2018-11-19 20:53EST
Nmap scan report for 192.168.106.134
Host is up (0.00028s latency) .
Not shown: 1018 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu4 (Ubuntu Linux; protocol 2.0)
22号端口
80/tcp open http Apache httpd 2.2.14 ( (Ubuntu) mod_ mono/2.4.3PHP/5.3.21ubuntu4.30with Suhos
in-Patch proxy_html/3.0.1 mod_python/3.3.1 Python/2.6.5 mod_ ssl/2.2.14 0penSSL...)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workg roup: WORKGROUP )
143/tcp open imap Courier Imapd ( released 2008)
443/tcp open ssl/http Apache httpd 2.2.14 ( (Ubuntu) mod_ mono/2.4.3 PHP/5.3.2-1ubuntu4.30 with Suhos
in-Patch proxy_html/3.0.1 mod_python/3.3.1 Python/2.6.5 mod_ ssl/2.2.14 OpenSSL.. .)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (wo rkgroup: WORKGROUP )
MAC Address: 00:0C:29:23:8F:D6 ( VMware )
Service Info: OS: Linux; CPE: cpe: /o:linux: linux_ kernel
Service detection performed. Please report any incorrect resultsathttps://nmap.org/submit/
Nmap done: 1 IP address (1 host up) scanned in 13.21 seconds
这是获取版本信息,版本信息是非常有用的,就可以知道这个服务器是哪个版本。
五、综合扫描
nmap -A 192.168. 106.134
综合扫描就是既有-A又有-V,又有-N的选项。
六、脚本扫描
root@kali:/usr/share/nmap/scripts#
可 nmap 以结合一些脚本对服务进行攻击,这是脚本的存放路径。
有很多 nse 格式的脚本。
nmap --script=default 192. 168.106.134
nmap --script=auth 192 .168.106.214
nmap --script=brute 192. 168. 106.134
nmap --script=vuln 192.168.106.134
nmap --script=broadcast 192.168. 106.134
nmap--script=smb-brute.nse 192. 168.106.134
http-vuln-cve2017-5638.nse unusual-port.nse
http-vuln-cve2017-5689.nse upnp-info.nse
http-vuln-cve2017-8917.nse url-snarf .nse
http-vuln-mis fortune-cookie.nse ventrilo- info.nse
http-vuln-wnr1000-creds.nse versant-info.nse
http-waf-detect.nse vmauthd-brute.nse
http-waf-fingerprint.nse vmware-version.nse
http-webdav-scan.nse vnc-brute.nse
http-wordpress-brute.nse vnc-info.nse
http-wo rdpress-enum.nse vnc- title .nse
http-wordpress-users.nse voldemort- info.nse
http-xssed.nse vtam- enum.nse
iax2-brute.nse vuze-dht- info.nse
iax2-version.nse wdb-version.nse
icap-info.nse weblogic-t3-info.nse
iec- identify.nse whois-domain.nse
ike-version.nse whois- ip.nse
imap-brute.nse wsdd-discover.nse
imap-capabilities.nse x11-access.nse
imap-ntlm-info.nse xdmcp-discover.nse
impress- remote-discover .nse xmlrpc - methods .nse
informix-brute.nse xmpp-brute.nse
informix-query.nse xmpp- info.nse
informix-tables.nse
七、zenmap
1、Intense scan:
target 输入192.168.106.134能很快的给一个语句,更直观的显示结果,profile 就是使用哪种方式去扫,可以很快速的去选,command 输入 nmap -T4 -A -V 192. 168.106.1中 T 是设置速度等级1-5,数字越大速度越大,-A 是综合扫描,-V 是可以输出一个扫描的过程。
扫描完的服务有 http、inmap、java-rmi、netbios-ssn、ssh。
还可以显示 nmap output、ports/hosts、topology、host details、scans。地址,端口使用情况等,比较详细,是扫描的命令。
profile 有10个扫描的方式,不同的方式,参数也不一样,就是不同的 profile,就相当于预设了不同的方式。
2、Intense scan plus UDP:
nmap -sS -sU -T4-A-v 192. 168.106.134
可以看帮助,即扫了 tcp 又扫了 udp,因为默认情况下 ss 只发 syn,那只是针对 tcp 的扫描,-sS 是 tcp 端口的扫描,-sU 是 UDP 端口扫描,-T4等级是4,-A 综合扫描(超系统政策,版本的政策,路由追踪),-v 详细输出。
3、Intense scan,all TCP ports:
nmap -p1 -65535 -T4-A-v 192. 168.106.134
-p 指定端口范围,默认扫描1000个端口,-T4等级是4,-A 综合扫描(超系统政策,版本的政策,路由追踪),-v 详细输出。
4、Intense scan,no ping:
nmap -T4-A-v -Pn 192. 168.106.134
-Pn 是超过主机发现,不做 ping 扫描,例如针对防火墙等安全产品。
5、ping scan:
nmap -sn 192. 168.106.134
-sn 是主机发现,只做 ping 扫描,不做端口扫描。
6、Quick scan:
nmap -T4-[192. 168.106.134
-F 是快速扫描,fast 模式,只扫描常见服务端口,比默认端口(1000个)还少。
7、Quick scan plus:
nmap -sv-T4-O-F--version-light 192. 168.106.134
-sv 是政策版本,扫描系统和服务版本,-F 快速模式,-O 扫描操作系统版本。如果查看后两行,输入root@kali:~#nmap --help | grep-A2 '\-F’,查看前两行 root@kali:~#nmap --help | grep-B2 '\-F’,查看前后两行root@kali:~#nmap --help | grep-C2 '\-F’,-version 对大多数可能探头的限制。
8、Quick traceroute:
nmap -sn--traceroute 192. 168.106.134
路由追踪。
可以尝试以下,扫描结果是一跳。
可以追踪 scanme.nmap.org,结果是两跳。
也可以追踪 www.baidu.com,追踪是两跳。但是不只两条,可能是转发了,但是这边看不到,从网关 获取以后,再通过nit也看不到。
9、regular scan:
nmapwww.baidu.com
标准的扫描。
10、slow comprehensive scan:
nmap -sS -sU-T4-A -V -PE -PP -PS80,443 -PA3389 -PU40125 -PY -q 53 --script "default or (discovery and safe)“www.qfedu.com
11、回顾:
这就是 nmap,只不是 nmap 的通信版,第一个是常规的扫描,第二个是 ss tcp 的扫描,su udp 的扫描,-p 指定端口范围,默认1000个端口,-pn 不做 ping,-sn 只做 ping,只是探测主机是否在线,快速扫描,-f fast 模式,只扫描常见的服务,比默认的1000个还少,默认是1000个,不加就是1000个,加了就比那个还少。这是关于 web 信息收集目标扫描里面的nmap工具。
12、强调:
扫的时候可以这样做,root@kali:~# nmap -sn 主机发现,扫描 www.baidu.com 百度的时候机器是开着的,root@kali:~# nmap -sn www.baidu.com/24就是 c 段扫描,扫描它所在网段,百度 IP 所在的 c 段,115.239.210.227段。黑客扫描的时候不是一个段一个段的扫描,就扫描 c 段,c 段就是主机所在的那个网段加个24就可以,c 段攻击或者 c 段扫描。
