滲透測試之掃描

掃描的話最主要分為四個階段

1. 用ping資料包驗證系統是否正在運作
2. 用Nmap掃描系統的端口
3. 用Nmap腳本引擎（NSE）進一步查詢目标
4. 用Nessus掃描系統漏洞

階段一：ping掃描

ping是一種特殊的ICMP資料包，用于給計算機或者網絡裝置上的某些特殊接口發送特定類型的網絡流量，這種特定類型的網絡流量叫做ICMP回應要求資料包（ICMP Echo Request Packets）,如果收到Ping包的裝置（及其附屬網卡）是開啟的而且不限制響應，那麼它就會回顯一個響應資料包（Echo Reply Packet）給對方。

ping掃描就是自動發送一系列的ping包給某一範圍的IP位址，而不需要手動的輸入目标位址。最簡單的方法是使用工具FPing,這個工具内嵌在kali中。

fping -a -g 172.16.45.1 172.16.45.254>hosts.txt

-a:在在輸出中顯示活動主機

-g:指定想要掃描的IP範圍

>表示将結果重定向到檔案中   （>>表示追加内容到檔案中，兩個指令沒有檔案都會建立）

 注:并不是每一個主機都會響應ping請求，有些主機上的防火牆或者其他裝置會抑制ping包

階段二：端口掃描

常見端口的服務：https://blog.csdn.net/qq_39112646/article/details/85722884

端口是基于TCP協定或者UDP協定（DHCP,DNS,SMTP,TFTP）的，通過掃描端口，我們對目标計算機有了進一步的了解，開發的端口可以為我們更好的實施攻擊。

關于為什麼要使用指令行或終端的方式操作工具，而不是去使用圖形化界面？

1.使用指令行能夠改變工具的參數和選項，使得對工具的控制更加靈活

2.真正的滲透測試目标是為了獲得一個有管理權限的shell,和我們普通的終端類似

         一旦你控制了一台機器，那麼就需要通過指令的方式去和目标互動

•  使用Nmap進行TCP連接配接掃描

Nmap試圖在指定端口上完成三次握手，之後通過友好的方式斷開連接配接，沒有機會對目标系統進行泛洪攻擊并導緻崩潰。

nmap -sT -p- -Pn 192.168.18.132

-sT:運作一個TCP連接配接掃描（s進行端口掃描  T指TCP連接配接掃描）

-p-：指定掃描所有的端口

-Pn:跳過主機發現，認為主機開啟

• 使用Nmap進行SYN掃描 

該掃描方式是Nmap的預設掃描方式，SYN掃描隻完成了TCP三向交握中的前兩步，是以速度非常快。第一台計算機發送SYN資料包，目标機回複SYN/ACK資料包，第一台機器發送一個RST(重置資料包)，告訴目标機放棄前面接受的所有資料包，并且關閉兩台計算機之間的連接配接。

目前所有的現代防火牆和入侵檢測系統都能發現并報告SYN掃描

nmap -sS -p- -Pn 192.168.18.132

-sS:運作一個SYN掃描

•  使用Nmap進行UDP掃描‘

UDP掃描非常慢，即使在預設的端口上執行一個基本的UDP掃描，也要花費很多時間。由于很少收到回報，是以端口的标記狀态，大都是open|filtered.如果有服務正在監聽這個端口，Nmap會明确指出該端口Open

為了使目标傳回更加有用的資訊，添加 -sV參數，幫助我們縮小UDP掃描的結果範圍 

• 使用Nmap進行Xmas掃描和Null掃描

Xmas(聖誕樹)掃描指的是将資料包FIN,PSH,URG标記置為on狀态，如果我們掃描的系統遵循了TCP RFC文檔的建議，我們就可以發送這種非正常的資料包來判斷目标系統中端口的目前狀态。Xmas掃描最主要針對Unix和Linux作業系統的計算機

nmap -sX -p- -Pn 192.168.18.132

Null掃描也是通過發送非正常的TCP通信資料包來對計算機進行探測。Null掃描使用沒有任何标記（全空）的資料包，開放的端口不會發回響應資訊，關閉的端口會發揮一個RST資料包。 

好處：繞過簡單的資料包過濾和通路控制清單，不會建立任何類型的通信通道

掃描過程：TCP掃描----》UDP掃描----》Xmas掃描----》Null掃描

• NSE漏洞利用

vuln類别将運作一系列在目标系統上搜尋已知問題的腳本，發現漏洞時提供輸出(一般作為漏洞掃描的準備工作)

CVE(common Vulnerablities and Exposures)通用漏洞披露

OSVDB(open source vulnerablity Database)開源漏洞資料庫 

總結

1. 一般情況下，我們都是先進行系統掃描。如果系統掃描沒有太大的問題（通常不會有明顯漏洞），就會進行端口掃描了
2. 完成了端口掃描，如果有遠端登陸，試着登陸一下，例如ssh和telnet。使用預設密碼去登陸，絕大多數會失敗，但是偶爾會成功,端口掃描j結束，就應該對目标進行漏洞掃描了，最常見的漏洞掃描就是沒有及時安裝更新檔，造成漏洞。
3. 如果22和3306端口無法使用hydra爆破成功的話（通常不會成功），那麼就需要使用80端口，從目标網站下手
4. 确定了cms之後就可以尋找一些exp
5. 如果利用公開的exp還不能破解網站的話，就隻能針對管理者個人了。搜尋該網站的一切有用資訊，管理者的個人資訊，還可以使用社工庫，對管理者的常用密碼進行查找

關于漏洞掃描可以看之前寫的幾篇文章：

NESSUS: https://blog.csdn.net/qq_39112646/article/details/84677593

AWVS: https://blog.csdn.net/qq_39112646/article/details/84546789

APPSCAN: https://blog.csdn.net/qq_39112646/article/details/84504168