1. nmap -p U:80 IP UD扫描IP80端口

2. nmap IP --top-ports10  扫描常用前10个端口（默认扫描常用前1000个端口 ）

3. nmap -p21 IP -sv --version-intensity 9 应用版本探测最仔细扫描9是一个扫描级别

4. ls /usr/share/nmap/scripts/  查看所有脚本

5. nmap --script -updatedb 更新脚本

6. nmap --script-help 脚本名  脚本名使用文档

7. nmap IP --scan-delay10 每隔10秒扫描一下端口，避免被发现

8. nmap -D IP1,IP2...  IP 伪造假的ip扫描IP

1. nmap -iR 100 -p22  随机扫描100个地址的22号端口

2. nmap IP段 --exclude IP 扫描ip段出去某个IP

1. nmap IP -PU端口 -sn 四层扫描ipUDP端口

2. nmap IP -PA端口 -sn 四层扫描ipTCP端口

3. hping3 --udp IP -c udp扫描目标

1. 发现机器 ping

2. 路由追踪 traceroute + 地址

1. 主动类型扫描容易被检测到

2. netdiscover 被动监听服务，优点是不容易被发现，缺点响应不是及时的，需要一段时间等待。

3. netdiscover -i eth0 -r 192.168.1.0/24 被动监听一个网段

4. scapy编程式网络监听

    ARP().display() arp显示

1. nmap -sn 192.168.1.0/24  只做二层发现扫描，不扫描端口.

nmap扫描

太快容易被发现

-s

关于 namp 总结 扫描工具 nmap 功能比较完善 可靠性

必须熟练理解

il 指定ip地址 不连续的

ir随机扫描 -p 指定端口 nmap -iR +IP+-p端口

traceroute 扫描的路由追踪 探测网络

st完整的三次握手 sm 是17 syn+ack 不同的参数 代表不同的状态为 sn sx sf

很重要的来了

防火墙扫描 公司网咯边界有防火墙保护

目标 尽可能隐蔽扫描防火墙过滤规则 开放端口 当不想让防火墙注意 同时通过判断防火墙过滤那那些端口

只容许某个地址访问

四种防火墙状态识别

目标系统 使用各种各样的负载均衡

有2类 广域网负载均衡 和局域网负载均衡 

广域网 就是dns 访问域名 同一个域命可能被解析到多个ip地址上 第一次1.1 或者1.2 总之就是一个域名对应多个ip 

另外一种 智能dns 同一的域名在不同的地方 被解析到ip地址不一样的 

服务器负载均衡  Nginx Apache 应用层

软件开发也有组件内

早扫描阶段初期是有必要进行发现一个域名有多少服务器 因为 每个服务器的安全防御是不一样的（人性） 有的可以发现漏洞 或者本身负载均衡是存在漏洞的 

kali集成啦这类工具 

扫描出来的ip就是这些负载均衡的设备不是真实的服务器  通过转发 将用户的请求发送给后方的服务器上 通过这种方式 隐藏后端 还有就是 负载均衡本身可以安装防护手段 

lbd+ip）（域名）

waf（web应用防火墙）主要的方式 基于规则的过滤  缺点 可以绕过

基于机器学习 词法语法过滤在扫描阶段有必要做 因为探测到waf 就可以想到办法去绕过

isa 企业办公

nmap检测脚本

smp扫描之后 就是smtp扫描

主要目的是发现目标主机的邮箱账号

对邮件服务器发起扫描 利用nmap脚本 字典来枚举你的邮件服务器上都有哪些邮箱账号 就可以开始发起社会工程系 水坑邮件 钓鱼邮件 自己跳进去

前提·是已经开了25端口啦（扫描）

尝试有没有root·的权限  

开发中继 只给服务器里面有的发邮件 早起的配置有问题 所有的人都可以通过这个服务器 给服务器了里面所有人发送邮件  比如 一个黑客利用你的服务器给别人发送钓鱼邮件 别人收到攻击成为跳板

状态rcpt

nmap指定端口扫描 nmap -p端口+ip

cpe 设备内型分类

unsafe 可能造成不太安全的扫描 宕机

-pn即使开了防火墙 我也去扫描 如果探测目标拒绝就可以判断目标机器宕机啦

很大一部分程度是因为语言方面造成

ras 远程访问

域：活动目录

s

mb协议

smb出现问题比较复杂 功能复杂 复合在一起就会有漏洞通过smb比如说文件共享这块 还有就是默认开放的

sid 可以轻松的识别出来你改名之后的admrinster

原因监视adminster在window默认的是500 根据这个特征很容易就被人发现管理员账号以及系统其它信息

发现目标盘机器有smb协议 那么就可以尝试一下snb协议漏洞可不可以直接渗透到目标系统上去

kali2.0 硬件比其它要求更高 操作系统内核anmae -a

lsb— release -a  查看codenam

虚拟机网络地址转换 nat是一个假的nat装换 只不过通过修改数据包

smb有2个常用的端口 分别是tcp的 139 445(新

kali常用的基于snmp snmp 有一个管理信息库，在开始之前要导入一个管理数据库 在国际上有标准的 不同的厂商也会有不同的版本 也就意味着会有不同的参数 通过这些参数可以查看到你想知道的信息 比如说cpu 进程 内存 之类的信息

默认的情况是服务端不主动发送信息 配置好陷阱

主机也就是服务端会自动的吧服务端信息发送给客户端 通过这些信息实现监控

hardware硬件架构

snmp明文传输 可以通过嗅探

-v 版本 v3 

拥有写权限 可以创建进程 删除进程

snmpcheck

kali其他工具来识别操作系统

原理：通过多种协议 让目标系统回报 来判断指纹

主动扫描 就是给目标主机发包 通过判断目标主机给我回包的特征值来判断操作系统 得出结论

被动 不主动向目标主机发包 基于网络监听

部署在网络出口上 外部主机和内部主机进行通信的时候 可以通过抓包或者是通过交换机做镜像端口 或者是通过地址欺骗进行抓包 让这些数据包流经被动扫描器ip上 被动ip上 安装一个被动扫描软件 通过这个软件来分析这个包 包里面特征来分析

sig 前面 

指纹信息时某个操作系统独有的版本 p0f

操作系统扫描 完了就是snmap

snmp 简单网络管理协议的协议类型  通信走的是端口是udp161 和162 snmap服务端 也就是信息被管理端使用的161（服务端） udp 客户端 162

dhcp 基于udp值上 应用层 使用67 68

snmp 人工网络设备监控 麻烦 所以就引人snmp网络交换协议 通过snmp可以监控到网络防火墙 交换器 cpu之类的 可以查看设备非常非常详细的信息

通过客户端 

操作系统的扫描 目标 识别目标操作系统 和版本

操作系统在安装是总会默认的开开放一些服务和端口 这些默认开放的端口上进行的服务版本会有过时的漏洞 利用操作系统本身自带的系统漏洞 进入目标系统 所以扫描很主要

发现 就修复 

识别操作系统 ttl值

ttl值 每经过一个路由器ttl就会减 1

根据数据包发送的目标地址通过收到ttl值 判断 从

window 65-128

linux-unix 1-64 

一些unix 255

攻击思路 注入路由器的被劫持 通过ttl值判断出被劫持的部分 但是ttl可以被修改  

收到的数据包访问1-64是linux

ttl值可以通过编程修改 ttl值不一定很准确

namp存放一个库有着不同的操作系统的指纹信息

nmap基于多种信息判断目标版本

cpe：是一个国际标准组织 规定那种设备 系统 都会进行1cpe编号

nmap发现banner 是采用banner脚本来发现banner 是完整的连接

amap 专门用来发现banner信息

nmap通过特征来识别服务

-sV 使用指纹来识别匹配

用高位端口来隐藏端口服务

amap +ip  1- 100 -q

主机发现 端口发下 在线ip 端口

不能简单的通过端口号用来简单的识别端口上的服务 运行服务

确定软件 确定软件版本 到相应的官方网站上寻找公开的漏洞 有针对的性的寻找利用代码 或者自己去发掘 发现 利用2fuzz漏洞利用方法

识别目标的操作系统 对目标系统版本的识别来发现目标系统是否存在什么样的弱点  比如1说补丁不满意及时更新利用这些漏洞和弱点来取得目标系统的管理权限或者用户权限 在本地提权 在进行后续的渗透测试

识别：banner可以伪造 迷惑扫描者 不能很准确

nmap通过返回的指纹信息来确认目标端口跑的什么服务以及服务器的版本 

snmp 服务配置不当 准确识别目标系统上的软件 以及版本信息  snmp是通过系统内部信息进行信息探测和收集 准确性高

识别边界防火墙 适当的绕开

不同的操作系统 对于响应同一请求的话会有不同的响应

包头字段和定义方式都会有不同的

snmp

python

scapy主要是集中在3层 四层 网咯包注入嗅探劫持

对应用层数据包定义不完整 不是很好建立全连接

在应用层不好

python socke和 目标系统进行tcp连接与应用层进行会话传输

SOCK_STREAM :TCP 连接

recv（接收数据大小）接收数据

 函数是某个功能的程序代码 后面使用就可以直接调用

for port 那个部分是扫描目标端口100

开了22端口 不一定是linux系统 开了22端口 不一定就是window系统 window 下 可以启动22端口作为ssh服务端 linux139 145下也可以开启文件共享的

nmap有大量的脚本可以供我们调用来实现一些功能

-sI指定一个僵尸

nmap实现全连接扫描过程

tcp  全连接 比syn扫码要慢一点 端口范围越大表现出来也就更加明显

扫描出来的服务 不一定是准确的 实在服务的扫描识别 不一定是一个真实的结果、

复杂的僵尸扫描 合格的僵尸机 ：足够闲置 扫描的时候 不能产生其他的ip通信 ipid 是要递增的 xp 2003 但是递增的

通过加一或者加2就可以判断目标服务器是否在开发的

syn包 隐蔽端口扫描

syn扫描 无法探测是否开放状态

能建立tcp三次握手连接的状态 那就可以说明 端口是开放的 如果不能建立连接的状态 那就可以判断这个端口是不开放的 全端口扫描结果是最接近准确的 但是容易被入侵检测系统（网络层）注意到 会记录到这种情况 使用全部的手段综合队syn扫描

tcp也有他的循序号 seq

让系统不返回rst

iptables -l 查看防火墙rule