1 信息收集上篇
1.1主機發現
• nmap 1.1.1.1-254 –sn
• nmap -iL iplist.txt -sn
1.2端口掃描
1.2.1 UDP
• nmap -sU 1.1.1.1
• 默任1000
• ICMP host-unreachable
• nmap 1.1.1.1 -sU -p 53
• nmap -iL iplist.txt -sU -p 1-200
1.2.2 TCP
隱蔽性掃描
• nmap -sS 1.1.1.1 -p 80,21,25,110,443
• nmap -sS 1.1.1.1 -p 1-65535 --open
• nmap -sS -iL iplist.txt -p 80,21,22,23
全連接端口掃描
• nmap -sT 1.1.1.1 -p 80
• nmap -sT 1.1.1.1 -p 80,21,25
• nmap -sT 1.1.1.1 -p 80-2000
• nmap -sT -iL iplist.txt -p 80
默認1000
殭屍掃描
發現殭屍機
• nmap -p445 192.168.1.133 --script=ipidseq.nse
掃描目標
• nmap 172.16.36.135 -sI 172.16.36.134 -Pn -p 0-100
1.3 服務掃描
• nmap -sT 1.1.1.1 -p 22 --script=banner
• nmap 1.1.1.1 -p 80 -sV
1.4 操作系統
• nmap 1.1.1.1 -O
1.5 SMB掃描
• nmap -v -p139,445 192.168.60.1-20
• nmap 192.168.60.4 -p139,445 --script=smb-os-discovery.nse
• nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 1.1.1.1
1.6 SMTP掃描
• nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args=smtp-enum-users.methods={VRFY}
• nmap smtp.163.com -p25 --script=smtp-open-relay.nse
1.7 防火牆
• nmap -sA 172.16.36.135 -p 22 (指定端口檢查)
1.8 WAF識別
• nmap www.microsoft.com --script=http-waf-fingerprint
或者--script=http-waf-detect
2 信息收集下篇
此部分摘錄於《NMAP滲透測試指南》
使用—script腳本
2.1 IP信息蒐集
nmap --script ip-geolocation-* www.Oday .co
注意,如果目標域名使用了CDN,則無效。
2.2 WHOIS查詢
WHOIS通常使用TCP協議43端口。每個域名或IP的WHOIS信息由對應的管理機構保存。
nmap --script whois www.0day.co
查詢該域名的歷史whois,可以獲得更多信息,
nmap --script whois --script-args whois.whodb-nofollow www.0day.co
使用列表的方式進行查詢,
nmap -sn --script whois -v-iL host.txt
2.3 IP反查
IP 反查可以將所有綁定到該IP的域名顯示出來,這樣我們就可以很清楚地知道有幾個站點在同一個服務器上。但是IP反查不能辨別IP真僞。
nmap -sn --script hostmap-ip2hosts www.0day.co
2.4 DNS查詢
nmap --script dns-brute dns-brute.threads=10 www.xxx.com,設置10個線程時相應的掃描速度會增加。
2.5 通過Snmp列舉Windows服務/賬戶
nmap -sU -p 161 --script=snmp-win32-services 192.168.126.128
Nmap提供的snmp-win32-services腳本可以輕易地通過Snmp服務獲取目標正在運行着的服務,通過snmp-win32 users腳本則可以看到目標的所有賬戶。
2.6 枚舉DNS服務器的主機名和子域名
nmap --script dns-brute --script-args dns-brute.domain=baidu.com
該腳本可以使用“dns-brute.threads =線程”指定線程來加快或減少破解速度,使用dns-brute. hostlist=./hostfile.txt指定一一個 需要枚舉的列表。
2.7 HTTP信息蒐集
使用-sV選項即可對HTTP版本進行探測, nmap -sV -p 80 www. Oday. Com
使用命令“nmap -p 80 --script=http-headers目標地址”即可對目標地址進行HTTP頭信息探測。
使用命令“nmap -p 80 --script-http-sitemap-generator目標地址”即可爬行Web目錄結構。
2.8 枚舉SSL密鑰
SSL ( Secure Sockets Layer,安全套接層)及其繼任者傳輸層安全(Transport Layer Security, TLS)是爲網絡通信提供安全及數據完整性的種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。SSL協議使用密鑰對數據進行加密,這樣可以最大程度保障數據的安全,通過發送SSLv3/TLS請求可以判斷目標服務器支持的密鑰算法和壓縮方法。
使用命令“nmap -p 443 --Script=ssl-enum-ciphers目標”即可枚舉SSL密鑰。
2.9 SSH服務密鑰信息探測
SSH是英文Secure Shell的簡寫形式。通過使用SSH,可以把所有傳輸的數據進行加密,這樣“中間人”這種攻擊方式就不可能實現了,而且也能夠防止DNS欺騙和IP欺騙。SSH有很多功能,它既可以代替Telnet,又可以爲FTP、POP,甚至爲PPP提供一一個安全的“通道”。
nmap -p 22 --script ssh-hostkey --script-args ssh_ hostkey=full 127.0.0.1