1.存活主機(jī)掃描

常用sP ，如果對面禁ping就不行.親測用ping掃描主機(jī)存活中最快的

.Pn，就是其他協(xié)議進(jìn)行掃描，可以避免被防火墻發(fā)現(xiàn)。默認(rèn)情況下會(huì)使用協(xié)議1,2,4

.PS。PA。PR ?、PU

n不反向解析 R反向解析 --system-dns 使用系統(tǒng)域名解析器

.sL是列表掃描，掃描的是主機(jī)所在網(wǎng)段，可以加掩碼明確

T0-T5速度，默認(rèn)T2，建議要放IDS就用T1

接下來說不是用ping進(jìn)行掃描的

sS：對于學(xué)校禁ping測試，掃描不出，Pn可以

-sN畸形包掃描，-sM另一種好用的

-sI可以找代理機(jī)器進(jìn)行掃描，需要指定端口。例如-sI www.shiep.edu.cn：80 www.baidu.com

-b 可以連接到FTP服務(wù)器進(jìn)行掃描（少）

2.目標(biāo)服務(wù)版本及端口掃描

接下來是針對目的地址的端口服務(wù)以及版本掃描

-sV 再用-A就可以看到對應(yīng)的系統(tǒng)版本（配合Pn可以減少時(shí)間）

（很慢）

使用--allports可以掃描除了9100TCP的的端口

-- version-intensity 設(shè)置掃描強(qiáng)度即使用哪種探測報(bào)文，普通掃秒 用1 。越高精確度越高時(shí)間越長

--version-light很不錯(cuò)效果在使用sV時(shí)。（80多秒減少到40多秒）

對應(yīng)的有--version-all重量級(jí)掃描。使用情況不是很良好

如果要進(jìn)行精確版本掃描秒建議用--version-trace。很好用

-sR 用RPC掃描（多配合其他掃描選項(xiàng)，比如sS，雖然sS本來就很耗時(shí)間。但可以補(bǔ)上RPC的服務(wù)端口）

-O 操作系統(tǒng)檢測。OK的（但你知道嗎配合- A更好用。和sV一樣哦）

配合-O： --osscan-limit 指定目標(biāo)進(jìn)行操作系統(tǒng)檢測

? ? ? ? ? ? ? ? --ossan-guss推測系統(tǒng)并識(shí)別

3.優(yōu)化掃描任務(wù)

設(shè)置掃描組大小，--min-hostgroup。和sP一起用并沒有多大改觀

設(shè)置探測報(bào)文的并行度，--min-parallelism調(diào)整對同一目標(biāo)發(fā)送報(bào)文并行度，保證不會(huì)被掃down掉。準(zhǔn)確也會(huì)高但是會(huì)慢。

設(shè)置報(bào)文超時(shí)， --min-rtt-timeout 探測報(bào)文超時(shí) ?一般不小于100ms ，不大于1000ms

設(shè)置主機(jī)超時(shí)時(shí)間 ?--host-timeout 100ms -1000ms

設(shè)置報(bào)文發(fā)送間隔 --scan-delay ?1s

4.避免防火墻

1.(重要)-f ? 多數(shù)網(wǎng)站會(huì)禁止TCP掃描所以可以用-f去拆分。以學(xué)校為例

pn一直是可以的

但結(jié)果不是美好的

2.--mtu(最大傳輸單元)設(shè)置TCP中的偏移量大小

nmap --mtu （不行）

3.欺騙

-D ?具體：namp -D RND：11 192.168.4.186 用從11個(gè)假IP隨機(jī)選一個(gè)。時(shí)間會(huì)變慢

-sI 源地址欺騙

--source-port 源端口欺騙 ?53

--data-length指定發(fā)包長度 ?30

--randowmize-hosts 目標(biāo)注意隨機(jī)排隊(duì)

--spoof-mac mac欺騙 參數(shù)0代表隨機(jī)生成一個(gè)

5.信息收集

1.目標(biāo)信息收集腳本

namp --script ip-geolocation-* ?目標(biāo)

這里可以獲得ip 的物理經(jīng)緯度，但是需要預(yù)置數(shù)據(jù)庫，或者goole-api

這里我使用的是goole-api，在腳本里找到上述腳本，講下面的api添加進(jìn)去就行了

2.whois-* 用于查看域名信息，注冊人。郵箱等

可以看到信息來自阿里云，和用在線whois大致相同。郵箱是阿里的所以屏蔽掉了。

3.http-email-harvest 我的nmap并沒有這個(gè)腳本。官網(wǎng)上也只搜索到關(guān)于google-email的腳本。

4.hostmap-iP2hosts 查看該ip上的網(wǎng)站。親測不好用，官網(wǎng)也有類似腳本可測

5.dns-brute DNS主機(jī)名收集 不錯(cuò)的工具。能配合traceroute、email完成域信息的收集

6.一些關(guān)于smb的漏洞掃描腳本。端口需要指定。http-stored-xss 你懂得

7.snmp-win32-services通過snmp列舉服務(wù)和賬戶信息

實(shí)驗(yàn)時(shí)沒有找到snmp開啟的目標(biāo)。但是如果回復(fù)為unknown的服務(wù)不妨試試

8.http信息頭收集。 http-headers

6.數(shù)據(jù)庫探測

1.MySQL列舉數(shù)據(jù)庫

所有的后續(xù)腳本都會(huì)依賴于次=此mysql-brute，所以這個(gè)腳本沒有找到默認(rèn)賬戶，就不行