NMAP信息收集

1 信息收集上篇

1.1主機發現

• nmap 1.1.1.1-254 –sn

• nmap -iL iplist.txt -sn

1.2端口掃描

    1.2.1 UDP

• nmap -sU 1.1.1.1

•         默任1000

•         ICMP host-unreachable

• nmap 1.1.1.1 -sU -p 53

• nmap -iL iplist.txt -sU -p 1-200

    1.2.2 TCP

隱蔽性掃描

• nmap -sS 1.1.1.1 -p 80,21,25,110,443

• nmap -sS 1.1.1.1 -p 1-65535 --open

• nmap -sS -iL iplist.txt -p 80,21,22,23

全連接端口掃描

• nmap -sT 1.1.1.1 -p 80

• nmap -sT 1.1.1.1 -p 80,21,25

• nmap -sT 1.1.1.1 -p 80-2000

• nmap -sT -iL iplist.txt -p 80

默認1000

殭屍掃描

發現殭屍機

• nmap -p445 192.168.1.133 --script=ipidseq.nse

掃描目標

• nmap 172.16.36.135 -sI 172.16.36.134 -Pn -p 0-100

1.3 服務掃描

• nmap -sT 1.1.1.1 -p 22 --script=banner

• nmap 1.1.1.1 -p 80 -sV

1.4 操作系統

• nmap 1.1.1.1 -O

1.5 SMB掃描

• nmap -v -p139,445 192.168.60.1-20

• nmap 192.168.60.4 -p139,445 --script=smb-os-discovery.nse

• nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 1.1.1.1

1.6 SMTP掃描

• nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args=smtp-enum-users.methods={VRFY}

• nmap smtp.163.com -p25 --script=smtp-open-relay.nse

1.7 防火牆

• nmap -sA 172.16.36.135 -p 22 （指定端口檢查）

1.8 WAF識別

• nmap www.microsoft.com --script=http-waf-fingerprint

或者--script=http-waf-detect

2 信息收集下篇

此部分摘錄於《NMAP滲透測試指南》

使用—script腳本

2.1 IP信息蒐集

nmap --script ip-geolocation-* www.Oday .co

注意，如果目標域名使用了CDN,則無效。

2.2 WHOIS查詢

WHOIS通常使用TCP協議43端口。每個域名或IP的WHOIS信息由對應的管理機構保存。

nmap --script whois www.0day.co

查詢該域名的歷史whois，可以獲得更多信息，

nmap --script whois --script-args whois.whodb-nofollow www.0day.co

使用列表的方式進行查詢,

nmap -sn --script whois -v-iL host.txt

2.3 IP反查

IP 反查可以將所有綁定到該IP的域名顯示出來，這樣我們就可以很清楚地知道有幾個站點在同一個服務器上。但是IP反查不能辨別IP真僞。

nmap -sn --script hostmap-ip2hosts www.0day.co

2.4 DNS查詢

nmap --script dns-brute dns-brute.threads=10 www.xxx.com,設置10個線程時相應的掃描速度會增加。

2.5 通過Snmp列舉Windows服務/賬戶

nmap -sU -p 161 --script=snmp-win32-services 192.168.126.128

Nmap提供的snmp-win32-services腳本可以輕易地通過Snmp服務獲取目標正在運行着的服務，通過snmp-win32 users腳本則可以看到目標的所有賬戶。

2.6 枚舉DNS服務器的主機名和子域名

nmap --script dns-brute --script-args dns-brute.domain=baidu.com

該腳本可以使用“dns-brute.threads =線程”指定線程來加快或減少破解速度，使用dns-brute. hostlist=./hostfile.txt指定一一個 需要枚舉的列表。

2.7 HTTP信息蒐集

使用-sV選項即可對HTTP版本進行探測, nmap -sV -p 80 www. Oday. Com

使用命令“nmap -p 80 --script=http-headers目標地址”即可對目標地址進行HTTP頭信息探測。

使用命令“nmap -p 80 --script-http-sitemap-generator目標地址”即可爬行Web目錄結構。

2.8 枚舉SSL密鑰

SSL ( Secure Sockets Layer,安全套接層)及其繼任者傳輸層安全(Transport Layer Security, TLS)是爲網絡通信提供安全及數據完整性的種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。SSL協議使用密鑰對數據進行加密，這樣可以最大程度保障數據的安全，通過發送SSLv3/TLS請求可以判斷目標服務器支持的密鑰算法和壓縮方法。

使用命令“nmap -p 443 --Script=ssl-enum-ciphers目標”即可枚舉SSL密鑰。

2.9 SSH服務密鑰信息探測

SSH是英文Secure Shell的簡寫形式。通過使用SSH,可以把所有傳輸的數據進行加密，這樣“中間人”這種攻擊方式就不可能實現了，而且也能夠防止DNS欺騙和IP欺騙。SSH有很多功能，它既可以代替Telnet,又可以爲FTP、POP,甚至爲PPP提供一一個安全的“通道”。

nmap -p 22 --script ssh-hostkey --script-args ssh_ hostkey=full 127.0.0.1