這是我們的第二期NMAP備忘單（第一期在此）。基本上,我們將討論一些高級NMAP掃描的技術(shù)，我們將進(jìn)行一個中間人攻擊(MITM)?，F(xiàn)在，游戲開始了。

TCP SYN掃描

SYN掃描是默認(rèn)的且最流行的掃描選項是有一定原因的。它可以在不受防火墻限制的高速網(wǎng)絡(luò)每秒掃描數(shù)千個端口 。同時也是相對不顯眼的和隱蔽的，因為它永遠(yuǎn)不會完成TCP連接。

命令：NMAP -sS 目標(biāo)

TCP連接掃描 

當(dāng)SYN掃描不可用的時候，TCP連接掃描是默認(rèn)的TCP掃描類型。這是在用戶不具有發(fā)送RAW數(shù)據(jù)包的特權(quán)的情況下。不是像大多數(shù)其他掃描器那樣寫原始數(shù)據(jù)包，NMAP要求底層的操作系統(tǒng)通過發(fā)出連接系統(tǒng)調(diào)用來建立與目標(biāo)機和端口的連接。

命令：NMAP -sT 目標(biāo)

UDP掃描

雖然互聯(lián)網(wǎng)上最流行的服務(wù)運行在TCP協(xié)議，但UDP服務(wù)也是廣泛部署的。DNS，SNMP和DHCP（注冊端口53，161/162，和67/68）這三種最常見的UDP服務(wù)。因為UDP掃描通常比TCP慢和更加困難，一些安全審計員忽略這些端口。這是一個錯誤，因為UDP服務(wù)是相當(dāng)普遍，攻擊者也不會忽略整個協(xié)議。

命令：NMAP -sU 目標(biāo)

選項-data-length可以用來固定長度的隨機有效載荷發(fā)送到每一個端口或（如果指定0值）來禁用有效載荷。如果返回一個ICMP端口不可達(dá)錯誤（類型3，代碼3），那么端口是關(guān)閉的。其他ICMP不可達(dá)錯誤（類型3，編碼1，2，9，10或13）標(biāo)記端口過濾。有時服務(wù)會返回一個UDP包響應(yīng)以證明它是開放的。如果重發(fā)后沒有收到回應(yīng)，端口被列為開放或者過濾。

命令：NMAP -sU–data-length=value 目標(biāo)

SCTP INIT掃描

SCTP是對TCP和UDP協(xié)議的相對較新的替代方案，結(jié)合TCP和UDP最具特色的部分，同時也增加了新的功能，如多宿主和多流。它主要被用于SS7 / SIGTRAN相關(guān)的服務(wù)，但有可能被用于其他用途。 SCTP INIT掃描SCTP相當(dāng)于TCP SYN掃描。它可以在不受防火墻限制的高速網(wǎng)絡(luò)每秒掃描數(shù)千個端口。像SYN掃描，掃描INIT相對不顯眼的和隱蔽的，因為它永遠(yuǎn)不會完成SCTP連接。

命令：NMAP -sY 目標(biāo)

TCP NULL、FIN和Xmas掃描

· NULL掃描（-sN）

  不設(shè)置任何位（TCP標(biāo)志標(biāo)頭是0）。

 · FIN掃描（-sF）

  設(shè)置只是TCP FIN位。

 · Xmas掃描（-sX）

  設(shè)置FIN，PSH，URG和標(biāo)志。

TCP ACK掃描

這種掃描跟其他方式不同的地方是因為它沒有判斷端口的開放情況。它是用來繪制出防火墻規(guī)則，對哪些端口進(jìn)行了保護(hù)。

命令：NMAP -scanflags=value -sA target

該ACK掃描探測報文只具有ACK標(biāo)志設(shè)置（除非您使用-scanflags）。當(dāng)掃描未經(jīng)過系統(tǒng)過濾，打開和關(guān)閉的端口都將返回一個RST包。 NMAP然后把它們標(biāo)記為未過濾的，這意味著它們是ACK包可達(dá)的。

TCP窗口掃描

窗口掃描跟ACK掃描是幾乎一樣的，除了它利用某些系統(tǒng)的實現(xiàn)細(xì)節(jié)來區(qū)分端口的，而不是當(dāng)返回一個RST時總是認(rèn)為端口未經(jīng)過濾。

命令：NMAP -sW 目標(biāo)

TCP Maimon 掃描

Maimon 掃描的名字來源于它的發(fā)現(xiàn)者，Uriel Maimon。他在Phrack雜志問題＃49（1996年11月）中描述的技術(shù)。這種技術(shù)與NULL，F(xiàn)IN和Xmas掃描類似，唯一的不同之處在于探針是FIN/ ACK。

命令：NMAP -sM 目標(biāo)

自定義的TCP掃描使用-scanflag選項

對于滲透測試，一個滲透測試人員不會使用一般的TCP掃描比如ACK、FIN等，因為這些東西可以被IDS / IPS阻斷。因此他們將通過指定“-scanflag”選項使用一些不同的技術(shù)。這也可以用于繞過防火墻。

該-scanflags的參數(shù)可以是一個數(shù)字標(biāo)記值如9（PSH和FIN），但使用符號名稱更容易。只是URG，ACK，PSH，RST，SYN和FIN的任意組合。例如，-scanflags URGACKPSHRSTSYNFIN所有設(shè)置，雖然掃描時不是非常有用的。

命令：NMAP –scanflags 目標(biāo)

SCTP COOKIE ECHO掃描

SCTP COOKIE ECHO掃描是一種更先進(jìn)的SCTP掃描。SCTP會默認(rèn)丟棄開放端口返回的包含COOKIE ECHO數(shù)據(jù)包塊，但如果端口關(guān)閉則發(fā)送中止。這種掃描方式優(yōu)點是，它并不像INIT掃描一樣明顯。除此之外，無狀態(tài)防火墻會阻斷INIT塊而不是COOKIE ECHO塊。但一個優(yōu)秀的IDS仍能夠探測到SCTP COOKIE ECHO掃描SCTP COOKIE ECHO掃描的缺點是無法區(qū)分開放和過濾的端口。

命令：NMAP -sZ 目標(biāo)

TCP空閑掃描

這種先進(jìn)的掃描方法允許對目標(biāo)進(jìn)行一個真正的盲目TCP端口掃描（即沒有數(shù)據(jù)包從你的真實IP地址發(fā)送到目標(biāo)）。相反獨特的側(cè)信道攻擊利用僵尸主機上可預(yù)測的IP分段ID序列生成來收集關(guān)于目標(biāo)的開放端口的信息。IDS系統(tǒng)只會顯示掃描是從您指定的僵尸機發(fā)起。這在進(jìn)行MITM（中間人攻擊）非常有用的。

命令：NMAP -sI zombie 目標(biāo)

這里簡單介紹下空閑的原理：

1、向僵尸主機發(fā)送SYN/ACK數(shù)據(jù)包，獲得帶有分片ID（IPID）的RST報文。 

2、發(fā)送使用僵尸主機IP地址的偽數(shù)據(jù)包給目標(biāo)主機。 如果目標(biāo)主機端口關(guān)閉，就會向僵尸主機響應(yīng)RST報文。如果目標(biāo)端口開放，目標(biāo)主機向僵尸主機響應(yīng)SYN/ACK報文，僵尸主機發(fā)現(xiàn)這個非法連接響應(yīng)，并向目標(biāo)主機發(fā)送RST報文，此時IPID號開始增長。 

3、通過向僵尸主機發(fā)送另一個SYN/ACK報文以退出上述循環(huán)并檢查僵尸主機RST報文中的IPID是否每次增長2，同時目標(biāo)主機的RST每次增長1。 重復(fù)上述步驟直到檢測完所有的端口。

接下來是進(jìn)行空閑掃描的步驟：

1、尋找合適的僵尸主機

一個常見的方法就是在NMAP下執(zhí)行Ping掃描一些網(wǎng)絡(luò)。你可以選擇NMAP提供的隨機IP選項（-iR），但是這很有可能造成與Zombie主機之間的大量延遲。

在Zombie主機候選列表中執(zhí)行一個端口掃描以及操作系統(tǒng)識別（-o）比簡單的使用Ping命令篩選更容易找尋到合適的。只要啟動了詳細(xì)模式（-v），操作系統(tǒng)檢測通常會確定IP ID增長方法，然后返回“IP ID Sequence Generation: Incremental”。如果這個類型被作為增長或是破損的低字節(jié)序增長量，那么該機是不錯的僵尸主機備選。

還有一種方法是對運行ipidseq  NSE腳本。該腳本探測一臺主機的IP ID生成方法并進(jìn)行分類，然后就像操作系統(tǒng)檢測一樣輸出IP ID分級。

命令：NMAP --script ipidseq [ --script-args probeport=port] 目標(biāo)

 

我們也可以使用hping用于發(fā)現(xiàn)僵尸主機。

首先選擇使用Hping3發(fā)送數(shù)據(jù)包，并觀察ID號是不是逐一增加，那么該主機就是空閑的。如果ID號隨意增加，那么主機實際上不是空閑的，或者主機的操作系統(tǒng)沒有可預(yù)測的IP ID。

hping3 -s 目標(biāo)

發(fā)送偽造SYN包到你指定的目標(biāo)主機上的端口。

hping3 -spoof 僵尸主機 -S p 22 目標(biāo)

正如你所看到的，沒有任何反應(yīng)，這表明數(shù)據(jù)包100％的丟失。這意味著我們并沒有發(fā)現(xiàn)僵尸主機。同時我們將檢查確認(rèn)以下的步驟。

檢查PID值是否逐一增加：

hping3 -S 目標(biāo)

2、使用NMAP進(jìn)行攻擊

命令: NMAP -Pn -p- -sI 僵尸主機 目標(biāo)

首先我們用NMAP掃描僵尸主機的端口：

發(fā)現(xiàn)僵尸主機22端口是關(guān)閉著的。

我們指定利用僵尸主機的22端口進(jìn)行空閑掃描，結(jié)果顯而易見，無法攻擊目標(biāo)。

默認(rèn)情況下，NMAP的偽造探針使用僵尸主機的80端口作為源端口。您可以通過附加一個冒號和端口號僵尸名選擇一個不同的端口（例如www.baidu.com:90）。所選擇的端口必須不能被攻擊者或目標(biāo)過濾。僵尸主機的SYN掃描會顯示端口的開放狀態(tài)。

這里解釋下參數(shù)的含義：

-Pn：防止NMAP的發(fā)送初始數(shù)據(jù)包到目標(biāo)機器。

-p-：將掃描所有65535個端口。

-sI：用于閑置掃描和發(fā)送數(shù)據(jù)包欺騙。

了解NMAP的內(nèi)部

作為一個滲透測試人員，我們必須明白NMAP空閑掃描的內(nèi)部運行過程，然后用我們自己的方法來實現(xiàn)同樣的事情。為此，我們將使用NMAP的數(shù)據(jù)包跟蹤選項。

命令：NMAP -sI 僵尸主機:113 -Pn -p20-80,110-180 -r - packet-trace -v 目標(biāo)

-Pn是隱身的必要，否則ping數(shù)據(jù)包會用攻擊者的真實地址發(fā)送到目標(biāo)。未指定-sV選項是因為服務(wù)識別也將暴露真實地址。 -r選項（關(guān)閉端口隨機化）讓這個例子運行起來更簡單。

 

正如我之前說的，成功的攻擊需要選擇一個合適的僵尸主機端口。

這種攻擊的過程：

NMAP首先通過發(fā)送6個 SYN / ACK數(shù)據(jù)包并分析響應(yīng)，測試僵尸主機的IP ID序列生成。在這里R表示復(fù)位包，意味該端口不可達(dá)。有關(guān)詳細(xì)信息，請在NMAP手冊空閑掃描。

所以下面提及的C代碼是空閑掃描。編譯C代碼并運行程序。

這是一個不尋常的掃描代碼，可以允許完全的空閑掃描（例如發(fā)送到目標(biāo)的數(shù)據(jù)包不是來自自己的真實IP地址），并也可用于穿透防火墻和路由器ACL范圍。

由于代碼過程打包在此：http://xiazai.jb51.net/201612/yuanma/nmap_MITM.txt

IP協(xié)議掃描

IP協(xié)議掃描可以讓您確定哪些IP協(xié)議（TCP，ICMP，IGMP等）是目標(biāo)機器的支持。這不是技術(shù)上的端口掃描，因為只是IP協(xié)議號的循環(huán)而不是TCP或UDP端口號。

命令：NMAP -sO 目標(biāo)

 

FTP彈跳掃描

這允許用戶連接到一個FTP服務(wù)器，然后文件被發(fā)送到目標(biāo)主機。NMAP會發(fā)送文件到你指定的目標(biāo)主機上的端口，通過錯誤消息判斷該端口的狀態(tài)。這是繞過防火墻的好方法，因為相對于Internet主機，組織的FTP服務(wù)器經(jīng)常被放置在可被內(nèi)網(wǎng)訪問的范圍中。它的格式為<username>:<password>@<server>:<port>。 <server>是一個脆弱的FTP服務(wù)器的名稱或IP地址。

命令：NMAP –b ftp rely host

NMAP -T0-b username:password@ftpserver.tld:21 victim.tld

這將使用用戶名“username”，密碼為“password”，F(xiàn)TP服務(wù)器“FTP server.tld”，ftp端口則是21，用于掃描的文件是服務(wù)器上的victim.tld。

如果FTP服務(wù)器支持匿名登錄，就不用填寫“username:password@”部分。如果FTP端口是默認(rèn)的21，也可以省略不寫，但如果FTP端口是21之外的必須得指明。

端口規(guī)范和掃描順序

除了所有的前面討論的掃描方法，NMAP提供選項用于指定被掃描的端口和掃描順序是隨機的或順序的。默認(rèn)情況下NMAP掃描最常見的1000個端口。

-p<端口范圍>（只掃描指定的端口）

此選項指定要掃描的端口范圍，并覆蓋默認(rèn)。單個端口號都行，因為是用連字符（例如1-1023）分割范圍。范圍的起始或結(jié)束可以被省略，NMAP會分別使用1和65535。所以你可以指定-p-，相當(dāng)于從1到65535進(jìn)行掃描。

 NMAP -p1-1023 目標(biāo)

你可以指定用于端口掃描的協(xié)議類型，比如T代表TCP，U代表UDP，S代表SCTP，P代表IP。

NMAP -p U:53,111,137,T:21-25,80,139,8080 目標(biāo)

-F（快速（有限的端口）掃描）

指定比默認(rèn)情況下更少的端口數(shù)。通常情況下的NMAP掃描每個掃描協(xié)議中最常見的1000個端口。用-F將會減少到100個。

NMAP -F 目標(biāo)

-r（不要隨機端口）

默認(rèn)情況下NMAP會隨機掃描端口，但您可以指定-r為順序（從最低到最高排序）端口掃描來代替。

NMAP -r 目標(biāo)

在接下來的部分，我將使用NMAP繞過防火墻，創(chuàng)建自定義利用程序。

引用內(nèi)容：

http://www.kyuzz.org/antirez/papers/dumbscan.html

http://www.kyuzz.org/antirez/papers/moreipid.html

http://en.wikipedia.org/wiki/Idle_scan

*參考來源：infosecinstitute，F(xiàn)B小編東二門陳冠希編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）

最新評論