0x00 迅速了解Nmap

Nmap是一款掃描目標網絡信息的工具,可以是黑客用來探測主機信息，收集情報的神器。也可以是運維人員掃描網絡環境，及時發現系統漏洞的好幫手。

0x01 它的功能

1、主機發現（Host Discovery）#探測目標網絡環境中有哪些主機是可以進行通信的，當然你也可以用ping命令試一下

2、端口掃描（Port Scanning） #掃描主機的端口，通過端口對對應的服務來判斷目標主機運行了哪些應用

3、版本偵測（Version Detection）#使用各種特征來判斷主機運行了哪些服務應用

4、操作系統偵測（OS detection）#通過特征來識別當前主機的系統版本，不只是計算機，也有可能會是路由交換

5、防火墻/IDS規避（Firewall/IDS evasion）#Nmap可以通過各種方法來規避目標防火墻的攔截，從而達到目的

6、NSE腳本引擎(Nmap Scripting Engine) #這是Nmap自帶的擴展腳本，通過加載對應腳本來掃描目標有哪些在腳本已記錄的漏洞和弱點

0x02 安裝Nmap

1、可以在http://nmap.org/download.html這個網站中得到獲取Nmap的各個版本的方法。

2、如果是Centos的話可以使用YUM安裝Nmap,如果是debian或ubuntu的話，可以使用apt-get 來安裝。

3、如果你使用的是Kali linux 或Back Track系列的話，那就不需要額外去安裝了，但升級還是需要的。

0x03 主機發現

1、探測單個主機的在線情況：nmap -sP <target ip> 

2、探測一個網段的主機在線情況：nmap -sP <network address > </CIDR >

3、掃描自定義的IP范圍：nmap -sP <target ip-digital>

0x04 端口掃描

1、掃描一百個常見主機端口：nmap -F <target ip> 

2、自定義掃描端口：nmap -p<port1>-<port2> <target ip> 

3、自定連續的端口掃描：nmap -p(range) <target IP>  

4、掃描系統的危險端口：

nmap -sT -sV -p 21,80,443,873,2601,2604,3128,4440,6082,6379,8000,8008,8080,8081,8090,8099,8088,8888,9000,9090,9200,11211,27017,28017 --max-hostgroup 10 --max-parallelism 10 --max-rtt-timeout 1000ms --host-timeout 800s --max-scan-delay 2000ms -iL iplist.txt -oN result/port.txt --open 
<target IP>

5、端口狀態：使用Nmap掃描端口信息，一般會有6種狀態信息

1. open：端口是開放的。

2. closed：端口是關閉的。

3. filtered：端口被防火墻IDS/IPS屏蔽，無法確定其狀態。

4. unfiltered：端口沒有被屏蔽，但是否開放需要進一步確定。

5. open|filtered：端口是開放的或被屏蔽。

6. closed|filtered ：端口是關閉的或被屏蔽。

0x05 系統與服務信息掃描

1、掃描系統服務及版本信息：nmap -o <target IP>

0x06 防火墻逃逸

1、源IP欺騙：nmap -S <IP_Address> <target ip> #偽造一個IP，那么防火墻的日志里將不會出現你的真正IP。

2、源端口欺騙:nmap --source-port <portnumber> <target ip> 

3、源MAC欺騙：nmap –spoof-mac<mac address，prefix，or vendor name> <target ip>

4、數據報分段掃描：nmap -f <指定MTU> <target ip>

0x07 掃描參數

-A #進行全面的掃描，包括端口及主機版本探測，速度較慢。

-sS  #以SYN的方式進行掃描，以報文回復來判斷端口狀態,但不建立的完整的TCP連接，所以相對比較隱蔽，而且效率比較高，適用范圍廣

-ST  #TCP掃描，如果對方端口無法建立TCP連接，則判斷為關閉狀態，但掃描速度較慢，并且會在對方主機日志上會有記錄，所以不推薦使用

-sU  #UDP掃描,向目標主機的UDP端口發送探測包，如果收到回復“ICMP port unreachable”就說明該端口是關閉的,反之則為開啟

0x08 時間參數

-T0  #非常非常慢的發包，用于躲避IDS/IPS

-T1  #相當慢，用于躲避防火墻，比T0稍微快一些

-T2  #降低速度以消耗更小的帶寬，比默認慢十倍

-T3  #默認選項，根據目標的反應自動調整時間模式

-T4  #假定處在一個很好的網絡環境，會很快完成掃描，或被防火墻發現

-T5  #非?？焖俚陌l包，很可能會漏掉一些開放端口

0x09 常見的危險端口

21  ftp  主要看是否支持匿名，也可以跑弱口令 
80  web  常見web漏洞以及是否為一些管理后臺 
443  openssl  心臟滴血以及一些web漏洞測試 
873  rsync  主要看是否支持匿名，也可以跑弱口令 
2601,2604 zebra路由，默認密碼zebra 
3128  squid代理默認端口，如果沒設置口令很可能就直接漫游內網了 
4440  rundeck  參考WooYun: 借用新浪某服務成功漫游新浪內網
6082  varnish  參考WooYun: Varnish HTTP accelerator CLI 未授權訪問易導致網站被直接篡改或者作為代理進入內網
6379  redis 一般無認證，可直接訪問 
8000-9090  都是一些常見的web端口，有些運維喜歡把管理后臺開在這些非80的端口上 
9200  elasticsearch  參考WooYun: 多玩某服務器ElasticSearch命令執行漏洞
11211  memcache  未授權訪問 
27017  mongodb  未授權訪問 
28017  mongodb統計頁面