在偵查過程中，信息收集的初始階段是掃描。

偵查是什么？

偵查是盡可能多的收集目標(biāo)網(wǎng)絡(luò)的信息。從黑客的角度來看，信息收集對(duì)攻擊非常有幫助，一般來說可以收集到以下信息：

電子郵件、端口號(hào)、操作系統(tǒng)、運(yùn)行的服務(wù)、Traceroute或者DNS的信息、防火墻識(shí)別和逃逸等等

nmap是一個(gè)網(wǎng)絡(luò)連接端掃描軟件，用來掃描網(wǎng)上電腦開放的網(wǎng)絡(luò)連接端。確定哪些服務(wù)運(yùn)行在哪些連接端，并且推斷計(jì)算機(jī)運(yùn)行哪個(gè)操作系統(tǒng)（這是亦稱 fingerprinting）。它是網(wǎng)絡(luò)管理員必用的軟件之一，以及用以評(píng)估網(wǎng)絡(luò)系統(tǒng)安全。

NMAP腳本引擎是NMAP最強(qiáng)大且靈活的特性。它允許用戶編寫簡(jiǎn)單的腳本來自動(dòng)化執(zhí)行各種網(wǎng)絡(luò)任務(wù)，基本上這些腳本采用lua語言進(jìn)行編寫。通常NMAP的腳本引擎可以做很多事情，比如：

這是NMAP的基本功能，例子包括查找目標(biāo)域名的whois信息，在查詢ARIN，RIPE，或APNIC上查詢目標(biāo)ip的所有權(quán)，查找開放端口，SNMP查詢和列出可用的NFS/SMB/RPC共享和服務(wù)。

當(dāng)一個(gè)新的漏洞被發(fā)現(xiàn)，你想趕在入侵者之前快速掃描網(wǎng)絡(luò)來識(shí)別出有漏洞的系統(tǒng)。雖然NMAP不是一個(gè)全面的漏洞掃描器，但NSE是強(qiáng)大到足以應(yīng)付苛刻的漏洞檢查。許多漏洞腳本已經(jīng)可用，并計(jì)劃編寫更多的腳本。

很多攻擊者和一些自動(dòng)化蠕蟲會(huì)留下后門以便后期可再次進(jìn)入。其中一些可以被NMAP基于正則表達(dá)式檢測(cè)。

作為一種腳本語言，NSE甚至可以進(jìn)行漏洞利用，而不僅僅是找到它們。添加自定義攻擊腳本的這個(gè)功能可能對(duì)某些人（特別是滲透測(cè)試人員）有價(jià)值，但不打算把NMAP開發(fā)成metasploit框架那樣的東西。

正如你所看到的，我已經(jīng)使用（-sc）選項(xiàng)（或-script）,這會(huì)執(zhí)行一個(gè)默認(rèn)腳本來掃描網(wǎng)絡(luò)。你可以看到我們得到ssh、rpcbind netbios-sn，但端口過濾或關(guān)閉，所以我們可以說,可能會(huì)有一些防火墻阻塞我們的請(qǐng)求。稍后我們將討論如何識(shí)別防火墻和試圖逃避它們。

現(xiàn)在我要發(fā)現(xiàn)模式的運(yùn)行ping掃描(-sP –script discovery),這樣它會(huì)嘗試所有可能的方法來掃描,這樣我將得到更多有趣的信息。

圖像中可以看到,它正在根據(jù)腳本的規(guī)則嘗試所有可能的方法。有關(guān)更多信息,請(qǐng)參見下一個(gè)圖像。

你能看到有趣的端口和協(xié)議嗎?你可以看到dns-bruteforce發(fā)現(xiàn)主機(jī)包含一些blog,cms,sql,log,mail等二級(jí)域名。這里我們可以執(zhí)行SQL注入,博客可能是WordPress,Joomla等，所以我們可以利用已公開的CMS漏洞。

接下來我會(huì)描述如何編寫自己的NMAP腳本，并通過NMAP去調(diào)用。

基本掃描技術(shù)

在這里我將展示用于掃描網(wǎng)絡(luò)/主機(jī)的基本技巧。但在此之前，你應(yīng)該知道關(guān)于掃描后的NMAP狀態(tài)的一些基本的東西。

端口狀態(tài):掃描后,你可能會(huì)看到一些結(jié)果，端口狀態(tài)是過濾,打開,關(guān)閉,等等。讓我解釋這一點(diǎn)。

開放：這表明一個(gè)應(yīng)用程序偵聽此端口上的連接。

關(guān)閉：這表示收到了探頭，但沒有應(yīng)用程序偵聽此端口。

已過濾：這表明探針沒有收到，無法建立連接。它也表明探針被某些篩選給丟棄。

未過濾：這表明探針接收但無法建立連接。

打開/過濾：這表示該端口進(jìn)行過濾或打開，但NMAP的無法建立連接。

關(guān)閉/過濾：這表示該端口進(jìn)行過濾或關(guān)閉，但NMAP的無法建立連接。

執(zhí)行NMAP 192.168.1.1或者www.baidu.com這樣的主機(jī)名。

執(zhí)行NMAP 192.168.1.1 192.168.1.2等，NMAP將掃描同個(gè)網(wǎng)段內(nèi)不同的ip地址。

你還可以在相同的命令一次掃描多個(gè)網(wǎng)站/域名。見下面的圖片。這將域名轉(zhuǎn)換為其對(duì)應(yīng)的IP地址和掃描目標(biāo)。

命令：NMAP 192.168.2.1-192.168.2.100

NMAP也可以用使用CIDR（無類別域間路由）表示法整個(gè)子網(wǎng)。

命令：NMAP 192.168.2.1/24

掃描目標(biāo)列表

如果你有大量的系統(tǒng)進(jìn)行掃描，就可以在文本文件中輸入IP地址（或主機(jī)名），并使用該文件作為輸入。

命令：NMAP -iL [LIST.TXT]

掃描隨機(jī)目標(biāo)

該-IR參數(shù)可以用來選擇隨機(jī)Internet主機(jī)進(jìn)行掃描。 NMAP會(huì)隨機(jī)生成目標(biāo)的指定數(shù)量，并試圖對(duì)其進(jìn)行掃描。

語法：NMAP -ir [主機(jī)數(shù)]

該-exclude選項(xiàng)與用于從NMAP的掃描中排除主機(jī)。

命令：NMAP 192.168.2.1/24 -exclude 192.168.2.10

最常用的NMAP的選項(xiàng)，試圖用一個(gè)簡(jiǎn)單字母A的替代長(zhǎng)字符串。它也會(huì)執(zhí)行路由跟蹤等。

命令：NMAP -A主機(jī)

使用NMAP探索

使用NMAP探索是非常有趣且對(duì)滲透測(cè)試非常有幫助。在發(fā)現(xiàn)過程中可以了解服務(wù)，端口號(hào)，防火墻的存在，協(xié)議，操作系統(tǒng)等，我們將一個(gè)接一個(gè)討論。

不進(jìn)行Ping

該-PN選項(xiàng)指示NMAP跳過默認(rèn)的發(fā)現(xiàn)檢查并對(duì)執(zhí)行對(duì)目標(biāo)的完整端口掃描。當(dāng)掃描被阻止ping探針的防火墻保護(hù)的主機(jī)時(shí)，這是非常有用的。

語法：NMAP -PN 目標(biāo)

僅進(jìn)行Ping掃描

選項(xiàng)-sP讓NMAP僅對(duì)主機(jī)進(jìn)行ping。當(dāng)要探測(cè)一批ip地址中哪些是可達(dá)的時(shí)候非常有用。通過指定特定的目標(biāo)，你可以得到更多的信息，比如MAC地址。

命令： NMAP -sP 目標(biāo)

TCP SYN掃描

在我們開始之前，我們必須知道SYN數(shù)據(jù)包是什么。

基本上是一個(gè)syn包被用于啟動(dòng)兩個(gè)主機(jī)之間的連接。

在TCP SYN ping發(fā)送一個(gè)SYN包到目標(biāo)系統(tǒng)，并監(jiān)聽響應(yīng)。這種替代探索方法對(duì)被配置為阻止標(biāo)準(zhǔn)ICMP ping消息主機(jī)是有用的。

該-PS選項(xiàng)進(jìn)行TCP SYN Ping。

命令：NMAP -PS主機(jī)

TCP Ack Ping掃描

這種類型的掃描將只掃描確認(rèn)（ACK）數(shù)據(jù)包。

選項(xiàng)-PA對(duì)指定主機(jī)進(jìn)行TCP Ack Ping掃描。

命令：NAMP -PA 目標(biāo)

UDP Ping 掃描

選項(xiàng)-P對(duì)指定主機(jī)進(jìn)行UDP Ack Ping掃描。

SCTP初始化Ping

選項(xiàng)-PY指示的Nmap執(zhí)行一個(gè)SCTP INIT Ping。此選項(xiàng)將包含一個(gè)最小的INIT塊的SCTP包。這一探索方法試圖找到使用流控制傳輸協(xié)議（SCTP）主機(jī)。 SCTP通常用于對(duì)基于IP的電話系統(tǒng)。

命令：NMAP -PY 目標(biāo)

ICMP Echo ping

選項(xiàng)-PE將對(duì)指定主機(jī)執(zhí)行ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）回顯Ping。

命令：NMAP -PE 目標(biāo)

ICMP 時(shí)間戳 ping

選項(xiàng)-PP執(zhí)行一次ICMP時(shí)間戳ping。

命令：NAMP -PP 目標(biāo)

選項(xiàng)-PM 進(jìn)行ICMP 地址掩碼 ping.

命令:nmap –PM target

IP 協(xié)議 Ping

選項(xiàng)-PO執(zhí)行IP協(xié)議Ping掃描

命令：NMAP -PO protocol 目標(biāo)

一個(gè)IP協(xié)議的ping發(fā)送帶有指定的協(xié)議目標(biāo)的數(shù)據(jù)包。如果沒有指定的協(xié)議，則默認(rèn)的協(xié)議1（ICMP）、2（IGMP）和4（IP中的IP）的使用。

ARP Ping

選項(xiàng)-PR用于執(zhí)行ARP ping掃描。該-PR選項(xiàng)指示的Nmap對(duì)指定目標(biāo)執(zhí)行ARP（地址解析協(xié)議）ping操作。

命令：NMAP -PR 目標(biāo)

掃描本地網(wǎng)絡(luò)時(shí)，-PR選項(xiàng)會(huì)自動(dòng)暗中啟用。這種類型的發(fā)現(xiàn)是比其它Ping的方法快得多。

路由跟蹤

選項(xiàng)-traceroute可被用于跟蹤的網(wǎng)絡(luò)路徑指定的主機(jī)。

語法：NMAP -traceroute 目標(biāo)

強(qiáng)制反向DNS解析

選項(xiàng)-r指示的Nmap始終執(zhí)行對(duì)目標(biāo)IP地址的反向DNS解析。

語法：NMAP -R 目標(biāo)

選項(xiàng)-r在對(duì)一個(gè)IP段進(jìn)行偵查時(shí)非常有用，Nmap將嘗試查詢每個(gè)ip地址的反向DNS信息 。

禁用反向DNS解析

選項(xiàng)-n用于禁用反向DNS解析

命令：NMAP -n 目標(biāo)

反向dns解析會(huì)很明顯的減慢Nmap掃描的過程。使用-n選項(xiàng)大大降低了掃描時(shí)間，尤其是掃描大量主機(jī)的時(shí)候。如果你不關(guān)心目標(biāo)系統(tǒng)的DNS信息，并愿意執(zhí)行產(chǎn)生更快的結(jié)果掃描此選項(xiàng)很有用。 

選擇DNS查找方法

選項(xiàng)-system-dns指示NMAP使用主機(jī)系統(tǒng)自帶的DNS解析器，而不是其自身內(nèi)部的方法。

命令：NMAP -system-dns 目標(biāo)

手動(dòng)指定DNS服務(wù)器

選項(xiàng)-dns-servers用于掃描時(shí)手動(dòng)指定DNS服務(wù)器進(jìn)行查詢。

語法：NMAP -dns-server server1 server2 目標(biāo)

選項(xiàng)-dns-servers允許您為nmap的查詢指定一個(gè)或多個(gè)備用服務(wù)器，這對(duì)于沒有配置DNS，或者如果你想防止您的掃描查找出現(xiàn)在您的本地配置的DNS服務(wù)器的日志文件系統(tǒng)非常有用。 

清單掃描

選項(xiàng)-sL將顯示一個(gè)列表，并執(zhí)行指定的IP地址反向DNS查找。

語法：NMAP -sL 目標(biāo)

在接下來的文章中，我將討論如何使用不同的方法來發(fā)現(xiàn)服務(wù)，主機(jī)和banner，并還將討論如何和怎樣在Nmap使用NSE來找到和逃避防火墻，以及如何編寫自己的Nmap腳本。 Nmap的最重要的部分是知道如何查找漏洞，并嘗試?yán)盟鼈儭?敬請(qǐng)關(guān)注。

*參考來源：infosecinstitute，F(xiàn)B小編東二門陳冠希編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf黑客與極客

最新評(píng)論