在偵查過程中，信息收集的初始階段是掃描。

偵查是什么？

偵查是盡可能多的收集目標(biāo)網(wǎng)絡(luò)的信息。從黑客的角度來看，信息收集對攻擊非常有幫助，一般來說可以收集到以下信息：

電子郵件、端口號、操作系統(tǒng)、運行的服務(wù)、Traceroute或者DNS的信息、防火墻識別和逃逸等等

NMAP的簡介

nmap是一個網(wǎng)絡(luò)連接端掃描軟件，用來掃描網(wǎng)上電腦開放的網(wǎng)絡(luò)連接端。確定哪些服務(wù)運行在哪些連接端，并且推斷計算機運行哪個操作系統(tǒng)（這是亦稱 fingerprinting）。它是網(wǎng)絡(luò)管理員必用的軟件之一，以及用以評估網(wǎng)絡(luò)系統(tǒng)安全。

NMAP腳本引擎

NMAP腳本引擎是NMAP最強大且靈活的特性。它允許用戶編寫簡單的腳本來自動化執(zhí)行各種網(wǎng)絡(luò)任務(wù)，基本上這些腳本采用lua語言進行編寫。通常NMAP的腳本引擎可以做很多事情，比如：

網(wǎng)絡(luò)發(fā)現(xiàn)

這是NMAP的基本功能，例子包括查找目標(biāo)域名的whois信息，在查詢ARIN，RIPE，或APNIC上查詢目標(biāo)ip的所有權(quán)，查找開放端口，SNMP查詢和列出可用的NFS/SMB/RPC共享和服務(wù)。

漏洞檢測

當(dāng)一個新的漏洞被發(fā)現(xiàn)，你想趕在入侵者之前快速掃描網(wǎng)絡(luò)來識別出有漏洞的系統(tǒng)。雖然NMAP不是一個全面的漏洞掃描器，但NSE是強大到足以應(yīng)付苛刻的漏洞檢查。許多漏洞腳本已經(jīng)可用，并計劃編寫更多的腳本。

后門檢測

很多攻擊者和一些自動化蠕蟲會留下后門以便后期可再次進入。其中一些可以被NMAP基于正則表達(dá)式檢測。

漏洞利用

作為一種腳本語言，NSE甚至可以進行漏洞利用，而不僅僅是找到它們。添加自定義攻擊腳本的這個功能可能對某些人（特別是滲透測試人員）有價值，但不打算把NMAP開發(fā)成metasploit框架那樣的東西。

正如你所看到的，我已經(jīng)使用（-sc）選項（或-script）,這會執(zhí)行一個默認(rèn)腳本來掃描網(wǎng)絡(luò)。你可以看到我們得到ssh、rpcbind netbios-sn，但端口過濾或關(guān)閉，所以我們可以說,可能會有一些防火墻阻塞我們的請求。稍后我們將討論如何識別防火墻和試圖逃避它們。

現(xiàn)在我要發(fā)現(xiàn)模式的運行ping掃描(-sP –script discovery),這樣它會嘗試所有可能的方法來掃描,這樣我將得到更多有趣的信息。

圖像中可以看到,它正在根據(jù)腳本的規(guī)則嘗試所有可能的方法。有關(guān)更多信息,請參見下一個圖像。

你能看到有趣的端口和協(xié)議嗎?你可以看到dns-bruteforce發(fā)現(xiàn)主機包含一些blog,cms,sql,log,mail等二級域名。這里我們可以執(zhí)行SQL注入,博客可能是WordPress,Joomla等，所以我們可以利用已公開的CMS漏洞。

接下來我會描述如何編寫自己的NMAP腳本，并通過NMAP去調(diào)用。

基本掃描技術(shù)

在這里我將展示用于掃描網(wǎng)絡(luò)/主機的基本技巧。但在此之前，你應(yīng)該知道關(guān)于掃描后的NMAP狀態(tài)的一些基本的東西。

端口狀態(tài):掃描后,你可能會看到一些結(jié)果，端口狀態(tài)是過濾,打開,關(guān)閉,等等。讓我解釋這一點。

開放：這表明一個應(yīng)用程序偵聽此端口上的連接。

關(guān)閉：這表示收到了探頭，但沒有應(yīng)用程序偵聽此端口。

已過濾：這表明探針沒有收到，無法建立連接。它也表明探針被某些篩選給丟棄。

未過濾：這表明探針接收但無法建立連接。

打開/過濾：這表示該端口進行過濾或打開，但NMAP的無法建立連接。

關(guān)閉/過濾：這表示該端口進行過濾或關(guān)閉，但NMAP的無法建立連接。

掃描單個網(wǎng)絡(luò)

執(zhí)行NMAP 192.168.1.1或者www.baidu.com這樣的主機名。

掃描多個網(wǎng)絡(luò)/目標(biāo)

執(zhí)行NMAP 192.168.1.1 192.168.1.2等，NMAP將掃描同個網(wǎng)段內(nèi)不同的ip地址。

你還可以在相同的命令一次掃描多個網(wǎng)站/域名。見下面的圖片。這將域名轉(zhuǎn)換為其對應(yīng)的IP地址和掃描目標(biāo)。

掃描連續(xù)的IP地址

命令：NMAP 192.168.2.1-192.168.2.100

NMAP也可以用使用CIDR（無類別域間路由）表示法整個子網(wǎng)。

命令：NMAP 192.168.2.1/24

掃描目標(biāo)列表

如果你有大量的系統(tǒng)進行掃描，就可以在文本文件中輸入IP地址（或主機名），并使用該文件作為輸入。

命令：NMAP -iL [LIST.TXT]

掃描隨機目標(biāo)

該-IR參數(shù)可以用來選擇隨機Internet主機進行掃描。 NMAP會隨機生成目標(biāo)的指定數(shù)量，并試圖對其進行掃描。

語法：NMAP -ir [主機數(shù)]

該-exclude選項與用于從NMAP的掃描中排除主機。

命令：NMAP 192.168.2.1/24 -exclude 192.168.2.10

侵入性掃描

最常用的NMAP的選項，試圖用一個簡單字母A的替代長字符串。它也會執(zhí)行路由跟蹤等。

命令：NMAP -A主機

使用NMAP探索

使用NMAP探索是非常有趣且對滲透測試非常有幫助。在發(fā)現(xiàn)過程中可以了解服務(wù)，端口號，防火墻的存在，協(xié)議，操作系統(tǒng)等，我們將一個接一個討論。

不進行Ping

該-PN選項指示NMAP跳過默認(rèn)的發(fā)現(xiàn)檢查并對執(zhí)行對目標(biāo)的完整端口掃描。當(dāng)掃描被阻止ping探針的防火墻保護的主機時，這是非常有用的。

語法：NMAP -PN 目標(biāo)

僅進行Ping掃描

選項-sP讓NMAP僅對主機進行ping。當(dāng)要探測一批ip地址中哪些是可達(dá)的時候非常有用。通過指定特定的目標(biāo)，你可以得到更多的信息，比如MAC地址。

命令： NMAP -sP 目標(biāo)

TCP SYN掃描

在我們開始之前，我們必須知道SYN數(shù)據(jù)包是什么。

基本上是一個syn包被用于啟動兩個主機之間的連接。

在TCP SYN ping發(fā)送一個SYN包到目標(biāo)系統(tǒng)，并監(jiān)聽響應(yīng)。這種替代探索方法對被配置為阻止標(biāo)準(zhǔn)ICMP ping消息主機是有用的。

該-PS選項進行TCP SYN Ping。

命令：NMAP -PS主機

TCP Ack Ping掃描

這種類型的掃描將只掃描確認(rèn)（ACK）數(shù)據(jù)包。

選項-PA對指定主機進行TCP Ack Ping掃描。

命令：NAMP -PA 目標(biāo)

UDP Ping 掃描

選項-P對指定主機進行UDP Ack Ping掃描。

SCTP初始化Ping

選項-PY指示的Nmap執(zhí)行一個SCTP INIT Ping。此選項將包含一個最小的INIT塊的SCTP包。這一探索方法試圖找到使用流控制傳輸協(xié)議（SCTP）主機。 SCTP通常用于對基于IP的電話系統(tǒng)。

命令：NMAP -PY 目標(biāo)

ICMP Echo ping

選項-PE將對指定主機執(zhí)行ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）回顯Ping。

命令：NMAP -PE 目標(biāo)

ICMP 時間戳 ping

選項-PP執(zhí)行一次ICMP時間戳ping。

命令：NAMP -PP 目標(biāo)

ICMP 地址掩碼 ping

選項-PM 進行ICMP 地址掩碼 ping.

命令:nmap –PM target

IP 協(xié)議 Ping

選項-PO執(zhí)行IP協(xié)議Ping掃描

命令：NMAP -PO protocol 目標(biāo)

一個IP協(xié)議的ping發(fā)送帶有指定的協(xié)議目標(biāo)的數(shù)據(jù)包。如果沒有指定的協(xié)議，則默認(rèn)的協(xié)議1（ICMP）、2（IGMP）和4（IP中的IP）的使用。

ARP Ping

選項-PR用于執(zhí)行ARP ping掃描。該-PR選項指示的Nmap對指定目標(biāo)執(zhí)行ARP（地址解析協(xié)議）ping操作。

命令：NMAP -PR 目標(biāo)

掃描本地網(wǎng)絡(luò)時，-PR選項會自動暗中啟用。這種類型的發(fā)現(xiàn)是比其它Ping的方法快得多。

路由跟蹤

選項-traceroute可被用于跟蹤的網(wǎng)絡(luò)路徑指定的主機。

語法：NMAP -traceroute 目標(biāo)

強制反向DNS解析

選項-r指示的Nmap始終執(zhí)行對目標(biāo)IP地址的反向DNS解析。

語法：NMAP -R 目標(biāo)

選項-r在對一個IP段進行偵查時非常有用，Nmap將嘗試查詢每個ip地址的反向DNS信息 。

禁用反向DNS解析

選項-n用于禁用反向DNS解析

命令：NMAP -n 目標(biāo)

反向dns解析會很明顯的減慢Nmap掃描的過程。使用-n選項大大降低了掃描時間，尤其是掃描大量主機的時候。如果你不關(guān)心目標(biāo)系統(tǒng)的DNS信息，并愿意執(zhí)行產(chǎn)生更快的結(jié)果掃描此選項很有用。 

選擇DNS查找方法

選項-system-dns指示NMAP使用主機系統(tǒng)自帶的DNS解析器，而不是其自身內(nèi)部的方法。

命令：NMAP -system-dns 目標(biāo)

手動指定DNS服務(wù)器

選項-dns-servers用于掃描時手動指定DNS服務(wù)器進行查詢。

語法：NMAP -dns-server server1 server2 目標(biāo)

選項-dns-servers允許您為nmap的查詢指定一個或多個備用服務(wù)器，這對于沒有配置DNS，或者如果你想防止您的掃描查找出現(xiàn)在您的本地配置的DNS服務(wù)器的日志文件系統(tǒng)非常有用。 

清單掃描

選項-sL將顯示一個列表，并執(zhí)行指定的IP地址反向DNS查找。

語法：NMAP -sL 目標(biāo)

在接下來的文章中，我將討論如何使用不同的方法來發(fā)現(xiàn)服務(wù)，主機和banner，并還將討論如何和怎樣在Nmap使用NSE來找到和逃避防火墻，以及如何編寫自己的Nmap腳本。 Nmap的最重要的部分是知道如何查找漏洞，并嘗試?yán)盟鼈儭?敬請關(guān)注。

*參考來源：infosecinstitute，F(xiàn)B小編東二門陳冠希編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客

最新評論