Web 信息收集之目标扫描_2 | 学习笔记

开发者学堂课程【网络安全攻防 - Web渗透测试：Web 信息收集之目标扫描_2】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/630/detail/9917

Web 信息收集之目标扫描_2

内容介绍

一、主机发现

二、端口扫描  

三、系统扫描

四、版本扫描

五、综合扫描

六、脚本扫描

七、Zenmap

一、主机发现

nmap -sn 192. 168.106/24

二、端口扫描

nmap -sS -p1-1000 192.168.106.134

sS 是最常见的对 tcp 的一个扫描行为，刚才给它一个范围从1到1024，为什么只扫这一段呢？因为像常见的端口以及协议的端口和服务，但是现在很多人都不说协议，说服务，比如网站服务是80和43，远程桌面 windows3389，fdb2021这样一个端口，很常见，这一些端口都称之为著名端口，扫描一个1024端口，速度还是很快的，如果全端口扫描，会花费很长时间，所以扫描低端口，这个端口一般是服务常用的，但是也给安全人员带来了一个建议把22端口改到1124以上，在某种程度上避免别人扫描。

三、系统扫描

nmap -0 192.168. 106.134

-0一般是结合起来用的。Tcp ip 是20个字节，udp icmp 是8个字节。

目标主机的系统，linux2.6.17-2.6.36

很少用大 A，因为系统会很慢。

四、版本扫描

nmap -sV 192.168. 106.134

-sV 是版本，可以看一下帮助，去侦测它的相应端口的7.70，版本信息是非常有用的。

root@kali:~# nmap ·SV 192. 168.106.134 -p1- 1024

去侦测它服务版本的信息。比之前要缓慢，因为加了一个版本的侦测的机制。

Starting Nmap 7.70 ( https://nmap.org ) at 2018-11-19 20:53EST

Nmap scan report for 192.168.106.134

Host is up (0.00028s latency) .

Not shown: 1018 closed ports

PORT  STATE SERVICE  VERSION

22/tcp  open  ssh OpenSSH 5.3p1 Debian 3ubuntu4 (Ubuntu Linux; protocol 2.0)

22号端口

80/tcp   open  http Apache httpd 2.2.14 ( (Ubuntu) mod_ mono/2.4.3PHP/5.3.21ubuntu4.30with Suhos

in-Patch proxy_html/3.0.1 mod_python/3.3.1 Python/2.6.5 mod_ ssl/2.2.14 0penSSL...)

139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workg roup: WORKGROUP )

143/tcp open imap Courier Imapd ( released 2008)

443/tcp open ssl/http Apache httpd 2.2.14 ( (Ubuntu) mod_ mono/2.4.3 PHP/5.3.2-1ubuntu4.30 with Suhos

in-Patch proxy_html/3.0.1 mod_python/3.3.1 Python/2.6.5 mod_ ssl/2.2.14 OpenSSL.. .)

445/tcp open netbios-ssn Samba smbd 3.X - 4.X (wo rkgroup: WORKGROUP )

MAC Address: 00:0C:29:23:8F:D6 ( VMware )

Service Info: OS: Linux; CPE: cpe: /o:linux: linux_ kernel

Service detection performed. Please report any incorrect resultsathttps://nmap.org/submit/

Nmap done: 1 IP address (1 host up) scanned in 13.21 seconds

这是获取版本信息，版本信息是非常有用的，就可以知道这个服务器是哪个版本。

五、综合扫描

nmap -A 192.168. 106.134

综合扫描就是既有-A又有-V，又有-N的选项。

六、脚本扫描

root@kali:/usr/share/nmap/scripts#

可 nmap 以结合一些脚本对服务进行攻击，这是脚本的存放路径。

有很多 nse 格式的脚本。

nmap --script=default 192. 168.106.134

nmap --script=auth 192 .168.106.214

nmap --script=brute 192. 168. 106.134

nmap --script=vuln 192.168.106.134

nmap --script=broadcast 192.168. 106.134

nmap--script=smb-brute.nse 192. 168.106.134

http-vuln-cve2017-5638.nse  unusual-port.nse

http-vuln-cve2017-5689.nse  upnp-info.nse

http-vuln-cve2017-8917.nse  url-snarf .nse

http-vuln-mis fortune-cookie.nse  ventrilo- info.nse

http-vuln-wnr1000-creds.nse  versant-info.nse

http-waf-detect.nse vmauthd-brute.nse

http-waf-fingerprint.nse  vmware-version.nse

http-webdav-scan.nse  vnc-brute.nse

http-wordpress-brute.nse  vnc-info.nse

http-wo rdpress-enum.nse  vnc- title .nse

http-wordpress-users.nse  voldemort- info.nse

http-xssed.nse  vtam- enum.nse

iax2-brute.nse  vuze-dht- info.nse

iax2-version.nse wdb-version.nse

icap-info.nse  weblogic-t3-info.nse

iec- identify.nse whois-domain.nse

ike-version.nse whois- ip.nse

imap-brute.nse  wsdd-discover.nse

imap-capabilities.nse x11-access.nse

imap-ntlm-info.nse xdmcp-discover.nse

impress- remote-discover .nse  xmlrpc - methods .nse

informix-brute.nse xmpp-brute.nse

informix-query.nse xmpp- info.nse

informix-tables.nse

七、zenmap

1、Intense scan：

target 输入192.168.106.134能很快的给一个语句，更直观的显示结果，profile 就是使用哪种方式去扫，可以很快速的去选，command 输入 nmap -T4 -A -V 192. 168.106.1中 T 是设置速度等级1-5，数字越大速度越大，-A 是综合扫描，-V 是可以输出一个扫描的过程。

扫描完的服务有 http、inmap、java-rmi、netbios-ssn、ssh。

还可以显示 nmap output、ports/hosts、topology、host details、scans。地址，端口使用情况等，比较详细，是扫描的命令。

profile 有10个扫描的方式，不同的方式，参数也不一样，就是不同的 profile，就相当于预设了不同的方式。

2、Intense scan plus UDP：

nmap -sS -sU -T4-A-v 192. 168.106.134

可以看帮助，即扫了 tcp 又扫了 udp，因为默认情况下 ss 只发 syn，那只是针对 tcp 的扫描，-sS 是 tcp 端口的扫描，-sU 是 UDP 端口扫描，-T4等级是4，-A 综合扫描（超系统政策，版本的政策，路由追踪），-v 详细输出。

3、Intense scan，all TCP ports：

nmap -p1 -65535 -T4-A-v 192. 168.106.134

-p 指定端口范围，默认扫描1000个端口，-T4等级是4，-A 综合扫描（超系统政策，版本的政策，路由追踪），-v 详细输出。

4、Intense scan，no ping：

nmap -T4-A-v -Pn 192. 168.106.134

-Pn 是超过主机发现，不做 ping 扫描，例如针对防火墙等安全产品。

5、ping scan：

nmap -sn 192. 168.106.134

-sn 是主机发现，只做 ping 扫描，不做端口扫描。

6、Quick scan：

nmap -T4-[192. 168.106.134

-F 是快速扫描，fast 模式，只扫描常见服务端口，比默认端口（1000个）还少。

7、Quick scan plus：

nmap -sv-T4-O-F--version-light 192. 168.106.134

-sv 是政策版本，扫描系统和服务版本，-F 快速模式，-O 扫描操作系统版本。如果查看后两行，输入root@kali:~#nmap --help | grep-A2 '\-F’，查看前两行 root@kali:~#nmap --help | grep-B2 '\-F’，查看前后两行root@kali:~#nmap --help | grep-C2 '\-F’，-version 对大多数可能探头的限制。

8、Quick traceroute：

nmap -sn--traceroute 192. 168.106.134

路由追踪。

可以尝试以下，扫描结果是一跳。

可以追踪 scanme.nmap.org，结果是两跳。

也可以追踪 www.baidu.com，追踪是两跳。但是不只两条，可能是转发了，但是这边看不到，从网关 获取以后，再通过nit也看不到。

9、regular scan：

nmapwww.baidu.com

标准的扫描。

10、slow comprehensive scan：

nmap -sS -sU-T4-A -V -PE -PP -PS80,443 -PA3389 -PU40125 -PY -q 53 --script "default or （discovery and safe）“www.qfedu.com

11、回顾：

这就是 nmap，只不是 nmap 的通信版，第一个是常规的扫描，第二个是 ss tcp 的扫描，su udp 的扫描，-p 指定端口范围，默认1000个端口，-pn 不做 ping，-sn 只做 ping，只是探测主机是否在线，快速扫描，-f fast 模式，只扫描常见的服务，比默认的1000个还少，默认是1000个，不加就是1000个，加了就比那个还少。这是关于 web 信息收集目标扫描里面的nmap工具。

12、强调：

扫的时候可以这样做，root@kali：～# nmap -sn 主机发现，扫描 www.baidu.com 百度的时候机器是开着的，root@kali：～# nmap -sn www.baidu.com/24就是 c 段扫描，扫描它所在网段，百度 IP 所在的 c 段，115.239.210.227段。黑客扫描的时候不是一个段一个段的扫描，就扫描 c 段，c 段就是主机所在的那个网段加个24就可以，c 段攻击或者 c 段扫描。