黑客玩具入门——3、NMAP入门

1、Nmap基础

Nmap是主机扫描工具，它的图形化界面是Zebmap，分布式框架是Dnmap，Nmap可以完成诸如：主机探测、端口扫描、版本检测、系统监测等。并且支持探测脚本的编写。

Nmap在实际应用中大概有如下场景：

1. 通过对设备或防火墙的探测来审计它的安全性。
2. 探测目标主机所开放的端口。
3. 通过识别新的服务器审计网络的安全性。
4. 探测网络上的主机。

Nmap的基本操作：

1. nmap [ip]：对单个主机的扫描。
2. namp [ip] [ip] [ip]：对多个不连续的主机进行扫描。
3. namp xxx.xxx.xxx.100-200：对连续的主机进行扫描。
4. namp xxx.xxx.xxx.1-255：对整个子网进行扫描。

2、Nmap端口扫描

首先，端口是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，虚拟端口指计算机内部的不可见端口，例如计算机中的80端口、21端口、443端口等。物理端口又称为接口，比如计算机背板的RJ45网口。端口对应着服务和软件， 端口的范围是0~65535。

下面我们看下常见的端口及其说明，以及大概的攻击方向：

1. 文件共享服务端口
   1. 21、22、29，Ftp/Tftp文件传输协议，允许匿名的上传、下载、爆破以及嗅探操作等。
   2. 2049，Nfs服务，配置不当。
   3. 139，Samba服务，爆破、未授权访问、远程代码执行。
   4. 389，Ldap目录访问协议，注入、允许匿名访问，弱口令。
2. 远程链接服务端口
   1. 22，SSH远程连接， 爆破、SSH隧道以及内网代理转发、文件传输等。
   2. 23，Telnet远程链接，爆破、嗅探、弱口令。
   3. 3389，Rdp远程桌面连接，Shift后门(需要win server 2K3以下系统)，爆破。
   4. 5900，VNC，弱口令爆破。
   5. 5632，PyAnywhere服务，抓密码、代码执行。
3. Web应用服务端口
   1. 80、443、8080，常见的Web服务端口，Web攻击、爆破、对应服务器版本漏洞。
   2. 7001、7002，WebLogic控制台，java反序列化、弱口令。
   3. 8080、8089，Jboss、Resin、Jetty、Jenkins，反序列化、控制台弱口令。
   4. 9090，WebSphere控制台，java反序列化、弱口令。
   5. 4848，GlassFish，弱口令。
   6. 1352，Lotus domino邮件服务，弱口令、信息泄露、爆破。
   7. 10000，Webmin-Web控制面板，弱口令。
4. 数据库服务端口
   1. 3306，MySQL，注入、提权、爆破。
   2. 1433，MSSQL数据库，注入、提权、SA弱口令、爆破。
   3. 1521，Oracle数据库，TNS爆破、注入，反弹Shell。
   4. 5432，PostGreSQL数据库，爆破、注入、弱口令。
   5. 27017、27018，MongoDB，爆破、未授权访问。
   6. 6379，Redis数据库，可尝试未授权访问，弱口令爆破。
5. 邮件服务端口
   1. 25，SMTP邮件服务，邮件伪造。
   2. 110，POP3协议，爆破、嗅探。
   3. 143，IMAP协议，爆破。
6. 网络常见协议端口
   1. 53，DNS域名系统，允许区域传送，DNS劫持，缓存投毒，欺骗。
   2. 67、68，DHCP服务，劫持、欺骗。
   3. 161，SNMP协议，爆破、搜集目标内网信息。
7. 特殊服务端口
   1. 2181，Zookeeper服务，未授权访问。
   2. 8069，Zabbix服务，远程执行、SQL注入。
   3. 9200、9300，Elasticsearch服务，远程执行。
   4. 11211，Memcache服务，未授权访问。
   5. 512、513、514，Linux Rexec服务，爆破、Rlogin登录。
   6. 873，Rsync服务，匿名访问、文件上传。
   7. 5690，Svn服务，Svn泄露、未授权访问。
   8. 50000，SAP Management Console，远程执行。

基本用法：

1. -p，通过该参数指定一个想要扫描的端口号，可以指定一个也可以指定一个范围：
   • nmap -p 80 xxx.xxx.xxx.xxx
   • nmap -p 80-800 xxx.xxx.xxx.xxx
2. -sT，扫描TCP端口
   • nmap -sT xxx.xxx.xxx.xxx
3. -sU，扫描UDP端口。
   • • nmap -sU xxx.xxx.xxx.xxx　　

3、Nmap主机发现

1. nmap -PN [ip]：无ping扫描，有些服务器会禁止ping，如果目标对ping扫描没反应的话，就会直接结束整个过程。无ping扫描就可以绕过服务器对ping的屏蔽。
2. nmap -sP [ip]：仅使用ping协议进行主机发现，有的时候需要快速大量的发现主机，这时仅使用ping协议进行扫描，速度会非常快。
3. namp -PR [ip]：使用ARP协议进行主机发现。只适用于局域网，速度快，且更加精准。

4、Nmap指纹识别

指纹识别技术是众多生物特征识别技术中的一种。所谓生物特征识别技术，就是指利用人体所固有的生理特征或行为特征来进行个人身份鉴定，由于生物识别所具有的便捷与安全等优点，使得生物识别技术在身份认证识别和网络安全领域拥有广阔的应用前景，可用的生物识别技术有指纹、人脸、声纹、虹膜等，指纹是其中应用最为广泛的一种。

服务和软件也有自己的特征，根据这些特征能够判断出具体的版本。不同的版本对应着不同的漏洞。

1. nmap -sV [ip]，识别服务和软件版本。
2. nmap -O [ip]，识别操作系统版本。

5、Nmap信息收集

在渗透测试过程中，信息收集非常重要，下面我们就来看一下Nmap收集信息的一些命令。

1. nmap --script ip-geolocation-* www.Oday.cn，ip信息收集。
2. nmap --script whois-domain www.Oday.cn，whois信息查询。

上面--script选项的意思就是执行nmap自带的脚本，后面就是其脚本名称了。这些脚本存放在/usr/share/nmap/scripts文件中。