漏洞信息收集之——fofa及nmap使用

男娘i 2023-02-26 02:24 23阅读 0赞

# fofa及nmap使用 #

## fofa hack ##

domain=""||ip=""||host=""||title=""||header=""  
protocol=“https”，搜索指定协议类型  
app="phpinfo"搜索某些组件相关系统  
host="oldboyedu.com/"搜索包含有特定字符的 URL  
title=“powered by” && os==windows 搜索网页标题中包含有特定字符并且系统是 windows的网页

**详细请看官方详细文档; https://fofa.so/help**

## nmap ##

(判断存活率和多用于c段收集信息扫描，因为目前在c段收集资产的时候不是很稳定，而且都是80端口)  
http://blog.sina.com.cn/s/blog\_811d9fdd0101ey07.html 功能介绍  
http://www.cnblogs.com/c4isr/archive/2012/12/07/2807491.html 10 种扫描方式解释  
由于是在 win7 上面使用，所以要使用兼容 win7 的 winpcap 驱动，这里我们使用最新版4.1.2 版  
winpcap4.1.2 下载地址：http://www.onlinedown.net/soft/2685.htm

## 功能介绍 ##

Nmap 是一个网络连接端口扫描软件，用来扫描网上电脑开放的网络连接端口。确定哪些服务运行在哪些连接端口，并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一，以及用于评估网络系统安全。  
功能1 • 主机发现  
功能2 • 端口扫描  
功能3 • 版本侦测  
功能4 • OS侦测  
Nmap 的通用命令格式：Nmap<扫描选项><扫描目标>  
（详细教程及下载方式参见：http://nmap.org/）

## 实战 ##

**主机发现（判断存活率）**

## 主机发现原理 ##

主机发现的原理与 Ping 命令类似，发送探测包到目标主机，如果收到回复，那么说明  
目 标 主 机 是 开 启 的 。 Nmap 支 持 十 多 种 不 同 的 主 机 探 测 方 式 ， 比 如 发 送 ICMP  
ECHO/TIMESTAMP/NETMASK 报文、发送 TCPSYN/ACK 包、发送 SCTP INIT/COOKIE-ECHO 包，用  
户可以在不同的条件下灵活选用不同的方式来探测目标机。

## 主机发现的基本用法 ##

\-sL: List Scan 列表扫描，仅将指定的目标的 IP 列举出来，不进行主机发现。  
\-sn: Ping Scan 只进行主机发现，不进行端口扫描。  
\-Pn: 将所有指定的主机视作开启的，跳过主机发现的过程。  
\-PS/PA/PU/PY\[portlist\]: 使用 TCPSYN/ACK 或 SCTP INIT/ECHO 方式进行发现。  
\-PE/PP/PM: 使用 ICMP echo, timestamp, and netmask 请求包发现主机。  
\-PO\[protocollist\]: 使用 IP 协议包探测对方主机是否开启。  
\-n/-R: -n 表示不进行 DNS 解析；-R 表示总是进行 DNS 解析。  
–dns-servers <serv1\[,serv2\],…>: 指定 DNS 服务器。  
–system-dns: 指定使用系统的 DNS 服务器  
–traceroute: 追踪每个路由节点

## 使用演示 ##

扫描局域网 10.1.1.1-10.1.1.100 范围内哪些 IP 的主机是活动的。  
命令如下：nmap –sn 10.1.1.1-100

**端口扫描**  
端口扫描原理  
端口扫描是Nmap最基本最核心的功能，用于确定目标主机的TCP/UDP端口的开放情况。  
默认情况下，Nmap 会扫描 1000 个最有可能开放的 TCP 端口。Nmap 通过探测将端口划分为 6个状态：  
open：端口是开放的。  
closed：端口是关闭的。  
filtered：端口被防火墙 IDS/IPS 屏蔽，无法确定其状态。  
unfiltered：端口没有被屏蔽，但是否开放需要进一步确定。  
open|filtered：端口是开放的或被屏蔽。  
closed|filtered ：端口是关闭的或被屏蔽。  
端口扫描方面非常强大，提供了很多的探测方式：  
TCP SYN scanning  
TCP connect scanning  
TCP ACK scanning  
TCP FIN/Xmas/NULL scanning  
UDP scanning

# 其他方式 #

端口扫描用法  
\-sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans 的方式来对目标主机进行扫描。  
\-sU: 指定使用 UDP 扫描方式确定目标主机的 UDP 端口状况。  
\-sN/sF/sX: 指定使用 TCP Null, FIN, and Xmas scans 秘密扫描方式来协助探测对方的 TCP 端口状态。  
–scanflags : 定制 TCP 包的 flags  
\-sI <zombiehost\[:probeport\]>: 指定使用 idle scan 方式来扫描目标主机（前提需要找到合适的 zombie host）  
\-sY/sZ: 使用 SCTP INIT/COOKIE-ECHO 来扫描 SCTP 协议端口的开放的情况。  
\-sO: 使用 IP protocol 扫描确定目标机支持的协议类型。  
\-b : 使用 FTP bounce scan 扫描方式

**使用演示**  
在此，我们以主机 10.1.1.100 为例。命令如下：nmap –sS –sU –T4 –top-ports 300 1.1.1.100  
参数-sS 表示使用 TCP SYN 方式扫描 TCP 端口；-sU 表示扫描 UDP 端口；-T4 表示时间级别配置 4 级；–top-ports 300 表示扫描最有可能开放的 300 个端口（TCP 和 UDP 分别有300 个端口）  
**版本侦测**  
版本侦测原理  
简要的介绍版本的侦测原理。版本侦测主要分为以下几个步骤：  
首先检查open与open|filtered状态的端口是否在排除端口列表内。如果在排除列表，将该端口剔除。  
如果是 TCP 端口，尝试建立 TCP 连接。尝试等待片刻（通常 6 秒或更多，具体时间可以  
查询文件 nmap-services-probes 中 Probe TCP NULL q||对应的 totalwaitms）。通常在  
等待时间内，会接收到目标机发送的“WelcomeBanner”信息。nmap 将接收到的 Banner  
与 nmap-services-probes 中 NULL probe 中的签名进行对比。查找对应应用程序的名字  
与版本信息。  
如果通过“Welcome Banner”无法确定应用程序版本，那么 nmap 再尝试发送其他的探测包（即从 nmap-services-probes 中挑选合适的 probe），将 probe 得到回复包与数据  
库中的签名进行对比。如果反复探测都无法得出具体应用，那么打印出应用返回报文，让用户自行进一步判定。  
如果是 UDP 端口，那么直接使用 nmap-services-probes 中探测包进行探测匹配。根据结果对比分析出 UDP 应用服务类型。  
如果探测到应用程序是 SSL，那么调用 openSSL 进一步的侦查运行在 SSL 之上的具体的应用类型。  
如果探测到应用程序是 SunRPC，那么调用 brute-force RPC grinder 进一步探测具体服务  
版本侦测用法  
\-sV: 指定让 Nmap 进行版本侦测  
–version-intensity : 指定版本侦测强度（0-9），默认为 7。数值越高，探测出的服务越准确，但是运行时间会比较长。  
–version-light: 指定使用轻量侦测方式 (intensity 2)  
–version-all: 尝试使用所有的 probes 进行侦测 (intensity 9)  
–version-trace: 显示出详细的版本侦测过程信息  
使用演示  
对主机 10.1.1.100 进行版本侦测。  
命令如下：nmap –sV 10.1.1.100

**OS 侦测**

OS 侦测原理  
Nmap 使用 TCP/IP 协议栈指纹来识别不同的操作系统和设备。在 RFC 规范中，有些地方  
对TCP/IP的实现并没有强制规定，由此不同的TCP/IP方案中可能都有自己的特定方式。Nmap  
主要是根据这些细节上的差异来判断操作系统的类型的。  
具体实现方式如下：  
Nmap 内部包含了 2600 多已知系统的指纹特征（在文件 nmap-os-db 文件中）。将此指纹数据库作为进行指纹对比的样本库。分别挑选一个 open 和 closed 的端口，向其发送经过精心设计的 TCP/UDP/ICMP 数据包，根据返回的数据包生成一份系统指纹。将探测生成的指纹与nmap-os-db 中指纹进行对比，查找匹配的系统。如果无法匹配，以概率形式列举出可能的系统。  
OS 侦测用法  
\-O: 指定 Nmap 进行 OS 侦测。  
–osscan-limit: 限制 Nmap 只对确定的主机的进行 OS 探测（至少需确知该主机分别有一个 open 和 closed 的端口）。  
–osscan-guess: 大胆猜测对方的主机的系统类型。由此准确性会下降不少，但会尽可能多为用户提供潜在的操作系统。  
使用演示  
命令：nmap –O 10.1.1.100  
漏洞扫描

## 优缺点 ##

> 优势： 功能灵活强大，支持多种目标，大量计算机的同时扫描； 开源，相关帮助文档十分详细；流行，由于其具有强大的扫描机探测功能，，已被成千上万安全专家使用。  
> 劣势： Nmap 参数众多，难以一一记忆；深刻领会到了 …