這是我們的Nmap備忘單的第四部分（Part 1、 Part 2、 Part 3）。本文中我們將討論更多東西關(guān)于掃描防火墻，IDS / IPS 逃逸，Web服務(wù)器滲透測(cè)試等。在此之前，我們應(yīng)該了解一下防火墻的一些基礎(chǔ)知識(shí)以便繞過(guò)它。

什么是防火墻？

防火墻是用來(lái)控制網(wǎng)絡(luò)訪問(wèn)的軟件或硬件。分為以下兩類：1、基于主機(jī)的防火墻；2、基于網(wǎng)絡(luò)的防火墻。

基于主機(jī)的防火墻

這是在單臺(tái)主機(jī)上運(yùn)行的軟件，用來(lái)控制入站流量（從網(wǎng)絡(luò)向主機(jī)）和出站流量（從主機(jī)向網(wǎng)絡(luò)）。這些軟件安裝于操作系統(tǒng)之上，常見(jiàn)例子就是Linux上面的iptables和Windows上的Zone Alarm。

基于網(wǎng)絡(luò)的防火墻

這些可以是硬件設(shè)備或軟件，或者硬件設(shè)備和軟件相結(jié)合。用來(lái)保護(hù)來(lái)自于未受保護(hù)的入站通信。

防火墻被安裝在受保護(hù)和不受保護(hù)的網(wǎng)絡(luò)之間，它們會(huì)查看所有的通信，并通過(guò)設(shè)置規(guī)則來(lái)控制入站和出站的通信。

掃描防火墻

為了有效地掃描防火墻，我們必須檢查所有開(kāi)放端口，服務(wù)和狀態(tài)。在使用Nmap掃描時(shí)也要采取行動(dòng)，設(shè)置時(shí)間選項(xiàng)來(lái)確定防火墻的存在。所以你可以看到下面有關(guān)Nmap掃描結(jié)果的表格，我們可以很容易地知道防火墻是否存在。

通過(guò)谷歌搜索時(shí)候我才知道，下面的IP地址是由WAF（Web應(yīng)用防火墻），以及某些IDS保護(hù)下。我們?cè)噲D以某種強(qiáng)力攻擊（SQL注入）。我們提交一些特殊字符時(shí)，它都會(huì)被顯示“失敗的防火墻認(rèn)證”。我們才知道這個(gè)東西可以用HTTP動(dòng)詞篡改來(lái)繞過(guò)。我們將稍后討論。

首先我們使用選項(xiàng)-Pn進(jìn)行掃描。

發(fā)現(xiàn)有被過(guò)濾的端口，因此我們肯定服務(wù)器有防火墻保護(hù)，我們掃描指定端口獲得更多的信息。

讓我們做一個(gè)內(nèi)部網(wǎng)絡(luò)掃描。首先,我們將檢查掃描版本：

通過(guò)指定時(shí)間選項(xiàng)和端口選項(xiàng)發(fā)現(xiàn)了更多服務(wù)。

觀察：

掃描防火墻給內(nèi)部網(wǎng)絡(luò)提供的各種服務(wù)，包括DNS，SSH，HTTPS和Web代理。這些都是在內(nèi)部網(wǎng)絡(luò)中的所有PC可以訪問(wèn)。它也在80端口運(yùn)行透明代理，所以并不需要客戶端的瀏覽器更改設(shè)置。

逃避或繞過(guò)防火墻

bypass或規(guī)避或逃避無(wú)非是進(jìn)入系統(tǒng)的另一種方式。管理員使用防火墻或IDS / IPS阻止惡意攻擊或垃圾郵件。但是從攻擊者的角度來(lái)看，他會(huì)想辦法繞過(guò)防火墻規(guī)則；Nmap有很多辦法繞過(guò)防火墻。

1、碎片化

Nmap發(fā)送8個(gè)字節(jié)的數(shù)據(jù)包繞過(guò)防火墻/IDS/IPS。這種技術(shù)已經(jīng)很古老了，但是在防火墻配置不當(dāng)?shù)臅r(shí)候依舊有用。

Nmap -f host

MTU，最大傳輸單元，它是碎片化的別名，我們可以指定它的大小。

Nmap --mtu 16 host

上面的Nmap掃描使用16字節(jié)的數(shù)據(jù)包而不是8個(gè)字節(jié)。所以我們可以指定自定義數(shù)據(jù)包大小為8的倍數(shù)。

2、誘餌

這種類型的掃描是非常隱蔽且無(wú)法察覺(jué)。目標(biāo)由多個(gè)假冒或偽造IP地址進(jìn)行掃描。這樣防火墻就會(huì)認(rèn)為攻擊或掃描是通過(guò)多個(gè)資源或IP地址進(jìn)行，于是就繞過(guò)了防火墻。

誘餌在初始的ping掃描（使用ICMP，SYN，ACK等）使用，在實(shí)際的端口掃描階段使用。誘餌在遠(yuǎn)程操作系統(tǒng)檢測(cè)（-O）期間也使用。誘餌不在版本檢測(cè)工作或TCP連接掃描中使用。

這實(shí)際上在目標(biāo)看來(lái)是由多個(gè)系統(tǒng)同時(shí)掃描，這使得防火墻更難追查掃描的來(lái)源。

有兩種方式來(lái)執(zhí)行誘餌掃描：

1.nmap –D RND:10 TARGET

2.nmap –D decoy1,decoy2,decoy3 target

以下網(wǎng)絡(luò)抓包顯示多個(gè)誘餌將欺騙防火墻。

3、空閑掃描

攻擊者將首先利用一個(gè)空閑的系統(tǒng)并用它來(lái)掃描目標(biāo)系統(tǒng)。

掃描的工作原理是利用某些系統(tǒng)中采用可預(yù)見(jiàn)的IP序列ID生成。為了使空閑掃描成功，僵尸主機(jī)的系統(tǒng)必須是在掃描時(shí)間處于閑置狀態(tài)。對(duì)于任何疑問(wèn)，請(qǐng)參考之前的文章。

在這種技術(shù)中會(huì)隱藏攻擊者的IP地址。

Nmap –P0 -sI zombie target

我們使用tcpdump來(lái)捕獲所有網(wǎng)絡(luò)流量。

Tcpdump -i interface

4、選項(xiàng)–source-port

每個(gè)TCP數(shù)據(jù)包帶有源端口號(hào)。默認(rèn)情況下Nmap會(huì)隨機(jī)選擇一個(gè)可用的傳出源端口來(lái)探測(cè)目標(biāo)。該–source-port選項(xiàng)將強(qiáng)制Nmap使用指定的端口作為源端口。這種技術(shù)是利用了盲目地接受基于特定端口號(hào)的傳入流量的防火墻的弱點(diǎn)。端口21（FTP），端口53（DNS）和67（DHCP）是這種掃描類型的常見(jiàn)端口。

Nmap --source-port port target

5、隨機(jī)數(shù)據(jù)長(zhǎng)度：

附加隨機(jī)數(shù)據(jù)長(zhǎng)度，我們也可以繞過(guò)防火墻。許多防火墻通過(guò)檢查數(shù)據(jù)包的大小來(lái)識(shí)別潛伏中的端口掃描。這是因?yàn)樵S多掃描器會(huì)發(fā)送具有特定大小的數(shù)據(jù)包。為了躲避那種檢測(cè)，我們可以使用命令–data-length增加額外的數(shù)據(jù)，以便與默認(rèn)大小不同。在下圖中，我們通過(guò)加入25多個(gè)字節(jié)改變數(shù)據(jù)包大小。

nmap --data-length target

捕獲數(shù)據(jù)流量

6、隨機(jī)順序掃描目標(biāo)：

選項(xiàng)–randomize-host用于隨機(jī) 順序掃描指定目標(biāo)。–randomize-host有助于防止因連續(xù) 掃描多個(gè)目標(biāo)而防火墻和入侵檢測(cè)系統(tǒng)檢測(cè)到。

nmap --randomize-hosts targets

7、MAC地址欺騙：

每臺(tái)機(jī)器都有自己獨(dú)特的mac地址。因此這也是繞過(guò)防火墻的另一種方法，因?yàn)槟承┓阑饓κ腔贛AC地址啟用規(guī)則的。為了獲得掃描結(jié)果，您需要先了解哪些MAC地址可以使用。這可以通過(guò)手動(dòng)或先進(jìn)的模糊測(cè)試完成。我更喜歡模糊測(cè)試，用Python實(shí)現(xiàn)非常容易。我們只需要手工導(dǎo)入正則表達(dá)式到Python中，然后自動(dòng)化執(zhí)行。

特別是–spoof-MAC選項(xiàng)使您能夠從一個(gè)特定的供應(yīng)商選擇一個(gè)MAC地址，選擇一個(gè)隨機(jī)的MAC地址，或者設(shè)定您所選擇的特定MAC地址。 MAC地址欺騙的另一個(gè)優(yōu)點(diǎn)是，你讓你的掃描隱蔽，因?yàn)槟愕膶?shí)際MAC地址就不會(huì)出現(xiàn)在防火墻的日志文件。

nmap -sT -PN –spoof-mac aa:bb:cc:dd:ee:ff target

Mac地址欺騙需要以下參數(shù)：

8、發(fā)送錯(cuò)誤校驗(yàn)

在某些防火墻和IDS / IPS，只會(huì)檢查有正確校驗(yàn)包的數(shù)據(jù)包。因此，攻擊者通過(guò)發(fā)送錯(cuò)誤校驗(yàn)欺騙IDS / IPS。

nmap --badsum target

9、Sun-RPC 掃描

什么是Sun RPC？Sun RPC（遠(yuǎn)程過(guò)程調(diào)用）是一種Unix協(xié)議，用來(lái)實(shí)現(xiàn)多種服務(wù)比如NFS。最初由Sun開(kāi)發(fā)，但現(xiàn)在廣泛使用在其他平臺(tái)上（包括Digital Unix的）。也被稱為開(kāi)放式網(wǎng)絡(luò)計(jì)算（ONC）。

Sun RPC包帶有一個(gè)RPC編譯器，自動(dòng)生成服務(wù)端和客戶端的存根。

nmap帶有將近600個(gè)RPC程序的數(shù)據(jù)庫(kù)。許多RPC服務(wù)使用高端口編號(hào)或者使用UDP協(xié)議，RPC程序還有嚴(yán)重的遠(yuǎn)程利用漏洞。所以網(wǎng)絡(luò)管理員和安全審計(jì)人員往往希望了解更多在他們的網(wǎng)絡(luò)內(nèi)有關(guān)任何RPC程序。

我們可以通過(guò)以下命令獲得RPC的詳細(xì)信息：

rpcinfo/rpcinfo --p hostname

nmap通過(guò)以下三個(gè)步驟跟開(kāi)放的RPC端口直接通信，然后獲取信息。

1)使用TCP或者UDP掃描開(kāi)放的端口。

2)-sV選項(xiàng)檢查使用Sun RPC協(xié)議的開(kāi)放端口。

3)RPC暴力破解引擎會(huì)逐一向nmap-rpc數(shù)據(jù)庫(kù)中記錄的端口發(fā)送空命令，來(lái)判斷RPC程序。當(dāng)nmap猜測(cè)錯(cuò)誤，會(huì)收到一條錯(cuò)誤消息，指出請(qǐng)求的端口并沒(méi)有運(yùn)行PRC程序。當(dāng)nmap耗盡了所有已知的記錄，或者端口返回了非RPC的數(shù)據(jù)包，nmap才會(huì)放棄。

SSL后處理器掃描

NMAP具有檢測(cè)SSL加密協(xié)議的能力，進(jìn)行版本檢測(cè)時(shí)會(huì)自動(dòng)啟用這個(gè)功能。正如先前討論的RPC掃描，只要檢測(cè)一個(gè)適當(dāng)?shù)模⊿SL）端口自動(dòng)執(zhí)行將SSL后處理器掃描。

命令：

nmap -Pn -sSV -T4 –F target

NMAP服務(wù)探針文件格式

Nmap使用本地文件來(lái)存儲(chǔ)版本檢測(cè)探針和匹配字符串。雖然nmap自帶的nmap-services足以滿足大多數(shù)用戶，理解文件格式有助于滲透測(cè)試人員添加新的規(guī)則到掃描引擎中。#號(hào)開(kāi)始的行用于注釋和忽略。

排除指令

版本掃描中會(huì)排除指定的端口。它只能使用一次，在所有的探針指令的最上方，位于文件頂部。端口應(yīng)該用逗號(hào)分隔。

語(yǔ)法：Exclude <port specification>

探針指令

語(yǔ)法：Probe <protocol> <probename> <probestring>

例子：

Probe TCP GetRequest q|GET / HTTP/1.0\r\n\r\n|

Probe UDP DNSStatusRequest q|\x10|

Probe TCP NULL q||

探針指令告訴nmap發(fā)送指定字符串去識(shí)別服務(wù)。參數(shù)如下：

<協(xié)議>

這必須是TCP或UDP。 NMAP只使用匹配它試圖掃描服務(wù)的協(xié)議的探針。

<探測(cè)器名稱>

這是一個(gè)純英文名稱。

<探測(cè)字符串>

告訴Nmap發(fā)送什么。它必須有一個(gè)q，用分隔符標(biāo)記字符串的開(kāi)始和結(jié)束。它允許下列標(biāo)準(zhǔn)轉(zhuǎn)義字符C或Perl的字符串：\\ , \a, \b, \f, \n, \r, \t, \v,和\xHH（ H是任何十六進(jìn)制數(shù)字）。Nmap的探針也有空內(nèi)容探針比如上面的第三個(gè)例子，這個(gè)TCP空探針用來(lái)接收服務(wù)返回的banner。如果你的分隔符（在這些例子中是|）需要在探測(cè)字符串中，你需要選擇不同的分隔符。

語(yǔ)法：match <service> <pattern> [<versioninfo>]

Examples：

match ftp m/^220.*Welcome to .*Pure-?FTPd (\d\S+\s*)/ p/Pure-FTPd/ v/$1/ cpe:/a:pureftpd:pure-ftpd:$1/
match ssh m/^SSH-([\d.]+)-OpenSSH[_-]([\w.]+)\r?\n/i p/OpenSSH/ v/$2/ i/protocol $1/ cpe:/a:openbsd:openssh:$2/
match mysql m|^\x10\x01\xff\x13\x04Bad handshake$| p/MySQL/ cpe:/a:mysql:mysql/
match chargen m|@ABCDEFGHIJKLMNOPQRSTUVWXYZ|
match uucp m|^login: login: login: $| p/NetBSD uucpd/ o/NetBSD/ cpe:/o:netbsd:netbsd/a
match printer m|^([\w-_.]+): lpd: Illegal service request\n$| p/lpd/ h/$1/
match afs m|^[\d\D]{28}\s*(OpenAFS)([\d\.]{3}[^\s]*)| p/$1/ v/$2/
 

匹配指令

匹配指令告訴Nmap如何根據(jù)之前發(fā)送探針后服務(wù)器的響應(yīng)來(lái)識(shí)別服務(wù)。每一個(gè)探針后可跟隨數(shù)十或數(shù)百個(gè)匹配的語(yǔ)句。匹配指令包括：可選的版本說(shuō)明，應(yīng)用程序名稱，版本號(hào)，以及Nmap報(bào)告的其他信息。該參數(shù)這個(gè)指令如下：

<服務(wù)>

這是簡(jiǎn)單的模式匹配的服務(wù)名稱。比如ssh、smtp、http或snmp。

<模式>

該模式被用來(lái)確定接收到的響應(yīng)是否與先前給出的服務(wù)參數(shù)相匹配。格式如Perl，使用語(yǔ)法為m/[regex]/[opts]。“m”告訴Nmap一個(gè)匹配的字符串開(kāi)始。正斜杠（/）是一個(gè)分隔符。該正則表達(dá)式是一個(gè)Perl風(fēng)格的正則表達(dá)式。目前可以配置的選項(xiàng)是‘i’（不區(qū)分大小寫(xiě)），‘s’（.也可以匹配換行符）。在Perl這兩個(gè)選項(xiàng)具有相同的語(yǔ)義。用括號(hào)包圍需要捕獲的字符串，比如版本號(hào)。

<版本信息>

在<VERSIONINFO>部分實(shí)際上包含幾個(gè)可選字段。每個(gè)字段始于一個(gè)確認(rèn)字母(如h為“主機(jī)名”)。接下來(lái)是一個(gè)分隔符，優(yōu)選的分隔符是斜杠（’/'），除非是在斜杠會(huì)在內(nèi)容中體現(xiàn)。接下來(lái)是字段的值，然后是分隔符。下表描述了六個(gè)字段：

軟匹配指令

語(yǔ)法：softmatch <service> <pattern>

樣例：

softmatch ftp m/^220 [-.\w ]+ftp.*\r\n$/i

softmatch smtp m|^220 [-.\w ]+SMTP.*\r\n|

softmatch pop3 m|^\+OK [-\[\]\(\)!,/+:<>@.\w ]+\r\n$|

軟匹配指令和匹配指令的格式類似，主要區(qū)別在于軟匹配成功之后仍會(huì)繼續(xù)掃描，但只會(huì)發(fā)送與匹配成功的服務(wù)有關(guān)的探針，這有助于獲得更多信息，比如版本號(hào)。

端口和SSL端口指令

語(yǔ)法：port <portlist>

樣例：

ports 21,43,110,113,199,505,540,1248,5432,30444
ports 111,4045,32750-32810,38978

這個(gè)命令告訴nmap通過(guò)哪些端口去標(biāo)識(shí)服務(wù)。語(yǔ)法類似于nmap的-p選項(xiàng)。

語(yǔ)法：sslports <portlist>

樣例：sslports 443

這個(gè)是用來(lái)探測(cè)ssl服務(wù)的端口。

totalwaitms指令

語(yǔ)法：totalwaitms <milliseconds>

樣例：totalwaitms 5000

這個(gè)指令告訴nmap針對(duì)特定服務(wù)發(fā)送探針后要等待響應(yīng)的時(shí)間有多久。nmap默認(rèn)是5秒。

稀有級(jí)指令

語(yǔ)法：rarity <值在1和9之間>

樣例：rarity 6

這個(gè)指令對(duì)應(yīng)這個(gè)探針能返回期望結(jié)果的程度。數(shù)值越高表示越稀有。

回退指令

語(yǔ)法：fallback <逗號(hào)分隔的探針列表>

樣例：fallback GetRequest,GenericLines

這個(gè)選項(xiàng)指定當(dāng)當(dāng)前探針沒(méi)有匹配成功時(shí)，會(huì)使用的備用探針，順序是從左往右。對(duì)于沒(méi)有回退指令的探針，會(huì)隱藏的執(zhí)行回退到空探針。

現(xiàn)在來(lái)講講nmap在web滲透中的利用。

Nmap的HTTP方法

Web服務(wù)器根據(jù)它們的配置和軟件支持不同的HTTP方法，并且其中一些請(qǐng)求在一定條件下是危險(xiǎn)的。HTTP的方法有GET, HEAD, POST, TRACE, DEBUG, OPTION, DELETE, TRACK, PUT等。更多詳情請(qǐng)查閱這里。

命令：

nmap -p80,443 --script http-methods scanme.nmap.org

如果需要詳細(xì)的檢查，那么命令：

nmap -p80,443 --script http-methods –script-args http-methods.retest scanme.nmap.org

默認(rèn)情況下，腳本http-methods使用根文件夾為基礎(chǔ)路徑（/）。如果我們要設(shè)置一個(gè)不同的基本路徑，設(shè)置參數(shù)的HTTP methods.url路徑：

命令：

nmap -p80,443 --script http-methods --script-args http-methods.urlpath=/mypath/ scanme.nmap.org

HTTP方法TRACE，CONNECT，PUT和DELETE可能會(huì)出現(xiàn)安全風(fēng)險(xiǎn)，如果一個(gè)Web服務(wù)器或應(yīng)用程序的支持這些方法的話，需要進(jìn)行徹底測(cè)試。 TRACE使應(yīng)用程序容易受到跨站跟蹤（XST）攻擊，可能導(dǎo)致攻擊者訪問(wèn)標(biāo)記為的HttpOnly的Cookie。 CONNECT方法可能會(huì)允許Web服務(wù)器作為未經(jīng)授權(quán)的Web代理。 PUT和DELETE方法具有改變文件夾的內(nèi)容的能力，如果權(quán)限設(shè)置不正確可能被濫用。

你可以了解每個(gè)方法更多的風(fēng)險(xiǎn)到：

https://www.owasp.org/index.php/Test_HTTP_Methods_%28OTG-CONFIG-006%29

HTTP User Agent:

有些防火墻會(huì)過(guò)濾Nmap的默認(rèn)UserAgent，你可以設(shè)置不同的用戶代理。

命令: 

nmap -p80 --script http-methods --script-args http.useragent=”Mozilla 5”  <target>

HTTP管道

一些web服務(wù)器允許多個(gè)HTTP請(qǐng)求的封裝在一個(gè)包。這可以加快腳本執(zhí)行的速度，如果web服務(wù)器支持的話建議啟用。默認(rèn)情況下一個(gè)管道會(huì)有40個(gè)請(qǐng)求，并且會(huì)根據(jù)網(wǎng)絡(luò)情況自動(dòng)調(diào)節(jié)大小。

命令：

nmap -p80 --script http-methods --script-args http.pipeline=25 <target>

另外，我們可以設(shè)置http.max-pipeline參數(shù)來(lái)控制http管道的最大值。如果設(shè)置了該參數(shù)，nmap會(huì)自動(dòng)忽略http.pipeline。

命令：

nmap -p80 --script http-methods --script-args http.max-pipeline=10 <target>

掃描HTTP代理

使用http代理是為了隱藏自己的真實(shí)ip地址。下列命令顯示如何檢測(cè)開(kāi)放代理：

命令：

nmap --script http-open-proxy -p8080 <target>

我們還可以指定用來(lái)驗(yàn)證的url。

命令：

nmap --script http-open-proxy --script-args http-open-proxy.url=http://whatsmyip.org,http-open-.pattern=”Your IP address is” -p8080 <target>

發(fā)現(xiàn)有趣的文件和目錄和管理員賬戶

這是在滲透測(cè)試中常見(jiàn)的任務(wù)，通常沒(méi)法手動(dòng)完成。經(jīng)常討論的Web應(yīng)用程序的脆弱性有目錄列表，用戶賬戶枚舉，配置文件等。用Nmap的NSE可以更快的幫助我們完成這個(gè)任務(wù)。

nmap --script http-enum -p80 <target>

查找Lua腳本

進(jìn)入Lua列表

指紋存儲(chǔ)在nselib/data/http-fingerprints.lua，事實(shí)上是LUA表格。若要顯示所有的存在頁(yè)面

nmap script http-enum http-enum.displayall -p80 <target>

指定不同的User Agent來(lái)繞過(guò)某些防火墻

nmap -p80 --script http-enum --script-args http.useragent=”Mozilla 5″<target>

也可以指定HTTP管道數(shù)目來(lái)加快掃描

nmap -p80 --script http-enum --script-args http.pipeline=25 <target>

暴力破解HTTP身份認(rèn)證

很多家用路由器，IP網(wǎng)絡(luò)攝像頭，甚至是Web應(yīng)用程序仍然依賴于HTTP認(rèn)證，滲透測(cè)試人員需要嘗試弱密碼的單詞列表，以確保系統(tǒng)或用戶帳戶是安全的?，F(xiàn)在多虧了NSE腳本http-brute，我們可以對(duì)HTTP認(rèn)證保護(hù)的資源執(zhí)行強(qiáng)大的字典攻擊。請(qǐng)參見(jiàn)下面的命令：

nmap -p80 --script http-brute --script-args http-brute.path=/admin/ <target>

http-brute腳本默認(rèn)使用的是自帶的字典，如果要使用自定義的字典。

nmap -p80 --script http-brute --script-args userdb=/var/usernames.txt,passdb=/var/passwords.txt <target>

http-brute支持不同的模式進(jìn)行攻擊。

用戶模式：該模式下，對(duì)于userdb中的每個(gè)user,會(huì)嘗試passdb里面的每個(gè)password

nmap --script http-brute --script-args brute.mode=user <target>

密碼模式：該模式下，對(duì)于passdb中的每個(gè)password,會(huì)嘗試userdb里面的每個(gè)user。

nmap --script http-brute --script-args brute.mode=pass <target>

fcreds：此模式需要額外的參數(shù)brute.credfile。

nmap --script http-brute --script-args brute.mode=creds,brute.credfile=./creds.txt <target>

mod_userdir滲透測(cè)試

Apache的模塊UserDir提供了通過(guò)使用URI語(yǔ)法/~username/來(lái)訪問(wèn)用戶目錄的方法。我們可以使用Nmap進(jìn)行字典攻擊，確定web服務(wù)器上有效的用戶名列表。命令如下：nmap -p80 –script http-userdir-enum <target>

跟上面的腳本一樣，可以設(shè)置User Agent、HTTP管道參數(shù)。

測(cè)試默認(rèn)憑據(jù)

通常情況下Web應(yīng)用程序存在默認(rèn)憑據(jù)，通過(guò)NSE很容易發(fā)現(xiàn)。

nmap -p80 --script http-default-accounts <target>

腳本通過(guò)查找已知路徑和已知的用戶密碼來(lái)登陸，依賴/nselib/data/http-default-accounts.nse存放的指紋文件。

WordPress審計(jì)

發(fā)現(xiàn)使用弱密碼賬戶安裝的wordpress，輸入如下命令：

nmap -p80 --script http-wordpress-brute <target>

設(shè)置線程的數(shù)量,使用腳本參數(shù)http-wordpress-brute.threads：

nmap -p80 --script http-wordpress-brute --script-args http-wordpressbrute.threads=5 <target>

如果服務(wù)器是虛擬主機(jī),利用參數(shù)http-wordpressbrute設(shè)置主機(jī)字段：

nmap -p80 --script http-wordpress-brute --script-args http-
wordpressbrute.hostname=”ahostname.wordpress.com” <target>

設(shè)置一個(gè)不同的登陸URI,登錄使用參數(shù)http-wordpress-brute.uri：

nmap -p80 --script http-wordpress-brute --script-args http-wordpressbrute.uri=”/hidden-wp-login.php” <target>

要改變存儲(chǔ)的用戶名和密碼的POST變量的名稱，設(shè)置參數(shù)http-wordpress-brute.uservar和http-wordpress-brute.passvar:

nmap -p80 --script http-wordpress-brute --script-args http-wordpressbrute.uservar=usuario,http-wordpress-brute.passvar=pasguord <target>

Joomla審計(jì)

Joomla是在許多國(guó)家非常流行的cms，使用http-joomla-brute腳本來(lái)檢測(cè)弱密碼賬戶。

nmap -p80 --script http-joomla-brute <target>

Mark：Wordpress的方法也適用于Joomla。

檢測(cè)Web應(yīng)用防火墻

要檢測(cè)web應(yīng)用防火墻，使用如下命令：

nmap -p80 --script http-waf-detect <target>

正如你所見(jiàn)，這里的報(bào)錯(cuò)信息顯示有mod_security

可以通過(guò)檢測(cè)響應(yīng)內(nèi)容的變化來(lái)檢測(cè)防火墻，推薦使用內(nèi)容較少的頁(yè)面。

nmap -p80 --script http-waf-detect --script-args=”http-waf-detect.detectBodyChanges” <target>

使用更多的攻擊載荷：

nmap -p80 --script http-waf-detect --script-args=”http-waf-detect.aggro” <target>

檢測(cè)跨站跟蹤漏洞

當(dāng)Web服務(wù)器存在跨站腳本漏洞，又啟用了TRACE方法，這樣就可以獲取啟用了HttpOnly的Cookie。如下命令檢測(cè)是否啟用TRACE。

nmap -p80 --script http-methods,http-trace --script-args http-methods.retest <target>

檢測(cè)跨站腳本漏洞

跨站腳本漏洞允許攻擊者執(zhí)行任意js代碼。檢測(cè)命令如下：

nmap -p80 --script http-unsafe-output-escaping <target>

該腳本http-unsafe-output-escaping是由Martin Holst Swende編寫(xiě)，它會(huì)檢測(cè)基于用戶輸入的輸出可能出現(xiàn)的問(wèn)題，該腳本發(fā)送以下內(nèi)容到它發(fā)現(xiàn)的所有參數(shù)：ghz%3Ehzx%22zxc%27xcv

更多詳情，查閱：

http://nmap.org/nsedoc/scripts/http-phpself-xss.html

http://nmap.org/nsedoc/scripts/http-unsafe-output-escaping.html

檢測(cè)SQL注入

使用如下命令：

nmap -p80 --script http-sql-injection <target>

可以設(shè)置httpspider.maxpagecount來(lái)加快掃描的速度。

nmap -p80 --script http-sql-injection --script-args httpspider.maxpagecount=200 <target>

一個(gè)有趣的參數(shù)是httpspider.withinhost，它限制nmap只能爬取給定的主機(jī)。默認(rèn)情況下是啟用的，如果為了爬行相關(guān)的站點(diǎn)可以禁用。

nmap -p80 --script http-sql-injection --script-args httpspider.withinhost=false <target>

可以找到的官方文檔庫(kù)。

同樣可以設(shè)置User Agent和HTTP管道的數(shù)目：

nmap -p80 --script http-sql-injection --script-args http.useragent=”Mozilla 42″ <target>

*參考來(lái)源：resources.infosecinstitute，F(xiàn)B小編東二門(mén)陳冠希編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）

最新評(píng)論