KaliLinux-nmap(众神之眼)高级应用-IDS与防火墙规避及漏洞利用脚本篇

IDS与防火墙规避篇

在实际应用场景中，Nmap提供了多种规避技巧用于IDS和防火墙的检测和屏蔽

下面是一些常用的规避方式

命令参数	参数详解
-f	将发送的检测数据包以分片碎片化的方式进行传输，用以规避IDS和防火墙的屏蔽和行为特征检测，某些简单的防火墙为了加快处理速度可能不会进行重组检查，以此避开检查。
-D	-D ip1,ip2,me=自己真实IP 用一组IP地址掩盖自己的真实IP，从而达到IP诱骗的目的。其工作原理是让目标主机的IDS或者防火墙追踪大量的不同IP地址，降低追查到自己真实IP地址的概率。但一些高级的IDS系统通过统计流量分析仍然可以溯源出真实的IP地址。
-S	伪装IP成为其他IP地址，这里需要注意的是伪装的IP地址需要与真实的IP地址处于同一局域网内，否则不会接收到目标主机的响应包。如果既希望隐蔽自己的真实IP又希望接收到目标主机的响应包，可以使用匿名代理网络技术。
-e	使用指定的网络网卡接口，比如 “-e eth0”
-g	使用指定的源端口 比如 “-g 10086”
–data-length	填充随机数据达到数据包的长度
–ip-options	使用指定的IP选项发送检测数据包
–ttl	设定扫描延时的时间，某些防火墙会针对发送过于频繁的数据包会进行严格的侦查，而且某些系统限制错误报文产生的频率。可以通过该命令降低发包的频率和发包延时来降低目标主机的审查强度
–spoof-mac	伪装MAC地址，进行MAC地址欺骗
–badsum	使用错误的检测数据包，一般情况下该类检测数据包会被直接丢弃，用于检测可达到欺骗效果
–proxies	使用HTTP或者SOCKS4代理

NSE脚本篇

Nmap最强大、最灵活的特性之一就是nse脚本引擎（基于lua语言），它允许用户自己编写脚本自动化执行各种网络人物。脚本一般存放在 “/usr/share/nmap/scripts/” 目录之下（以Kali系统做参考）

nmap脚本分类

- auth: 负责处理鉴权证书绕开鉴权的脚本  
- broadcast: 在局域网内探查更多服务开启状况如dhcp/dns/sqlserver等服务  
- brute: 提供暴力破解方式针对常见的应用如http/snmp等  
- default: 使用-sC或-A选项扫描时候默认的脚本提供基本脚本扫描能力  
- discovery: 对网络进行更多的信息如SMB枚举、SNMP查询等  
- dos: 用于进行拒绝服务攻击  
- exploit: 利用已知的漏洞入侵系统  
- external: 利用第三方的数据库或资源例如进行whois解析  
- fuzzer: 模糊测试的脚本发送异常的包到目标机探测出潜在漏洞 
- intrusive: 入侵性的脚本此类脚本可能引发对方的IDS/IPS的记录或屏蔽
- malware: 探测目标机是否感染了病毒、开启了后门等信息  
- safe: 此类与intrusive相反属于安全性脚本  
- version: 负责增强服务与版本扫描Version Detection功能的脚本  
- vuln: 负责检查目标机是否有常见的漏洞Vulnerability如是否有MS08_067

这里我们利用默认脚本扫描目标主机

nmap -sC -sV -p 21,22,888,3306,8888,80  192.168.1.30

常用的脚本攻击案例

扫描服务器常见的漏洞

查看vuln脚本

less script.db | grep vuln

nmap --script vuln  192.168.1.30

说明：发现主机使用DNS服务发现协议在本地网络和发送一个空的UDP数据包到每个主机检测是否存在拒绝服务DDOS攻击（CVE-2011-1002）

检查FTP是否存在匿名登陆

nmap --script ftp-anon  192.168.1.30

利用DNS进行子域名暴力破解

nmap --script dns-burp www.baidu.com

对MySQL进行暴力破解

nmap --script mysql-brute 192.168.1.30      # 这里也可以通过 --scrite-args  指定爆破的字典文件

对MsSQL进行暴力破解

nmap --script ms-sql-brute --scrite-args userdb=username.txt,passdb=passdb.txt 目标地址

对Oracle进行暴力破解

nmap --script oracle-brute -p 1521 --scrite-args userdb=username.txt,passdb=passdb.txt 目标地址

对SSH进行暴力破解

nmap -p 22 --script ssh-brute --script ssh-brute.timeout=4s 192.168.1.30

修改Nmap默认的UserAgent

有些防火墙会过滤掉nmap默认的UserAgent，可以设置不同的代理

nmap -p 80 --script http-methods --script-args http.usersgent="Mozilla 87.0" 目标地址

HTTP管道

一些web服务器允许多个HTTP请求封装在一个包。这样可以加快脚本执行的速度，如果WEB服务器支持的话，建议使用。默认情况下一个管道会有40个请求，并且会根据网络情况自动调节大小。

nmap -p 80 --script http-methods --script-args http.pipeline=25 目标地址

也可以通过设置“http.max.pipeline”来设置管道最大值。如果设置该参数，“http.pipeline”会被自动忽略

使用HTTP代理

使用http代理隐藏自己的真实IP

nmap --script http-open-proxy -p 80 目标地址

发现敏感的文件、目录和管理员账户

nmap --script http-enum   目标地址

检测应用防火墙

nmap --script=firewalk --traceroute 目标主机

nmap --traceroute --script firewalk --script-args firewalk.recv-timeout=60000,firewalk.max-active-probes=3,firewalk.max-retries=3,firewalk.probe-timeout=600 目标主机

nmap -p80 --script http-waf-detect 目标主机

nmap -p80 --script http-waf-detect --script-args="http-waf-detect.detectBodyChanges" 目标主机

Apacha mod_userdir渗透

Apache的模块UserDir提供了通过使用URI语法/~username/来访问用户目录的方法。我们可以使用Nmap进行字典攻击，确定web服务器上有效的用户名列表。

nmap -p80 --script http-userdir-enum 目标主机

WordPress弱口令爆破

nmap -p80 --script http-wordpress-brute 目标主机

SQL注入检测

nmap -p80 --script http-sql-injection 目标主机

可以设置httpspider.maxpagecount来加快扫描的速度

nmap -p80 --script http-sql-injection --script-args httpspider.maxpagecount=200 目标主机

检测跨站脚本漏洞

跨站脚本漏洞允许攻击者执行任意js代码

nmap -p80 --script http-unsafe-output-escaping 目标主机

短文件扫描

nmap -p80 --script http-iis-short-name-brute 目标主机

iis6.0远程代码执行

nmap -sV --script http-vuln-cve --script-args uri='需指定文件'  目标主机

扫描目标网站备份

nmap -p80 --script=http-backup-finder 目标主机

后话

nmap内置的nse脚本不仅仅只有写出来的这些，还有很多很多，这里仅列出一些渗透测试过程中可能会用到的脚本（估计极大可能会用不到）。nse脚本的出现也大大丰富了nmap的扩展能力。我们也可以根据nse的语法模仿定制一些自己的脚本实现一些简单的扫描功能。

不过也说实话，nmap作为渗透测试人员标配的基操软件，所存在的扫描方式估计都差不多被各大IDS厂商所免疫，甚至根本就不让你扫描。实际渗透测试中要灵活多变一些，随时根据需要改变自己的策略。

大家如果有兴趣可以去官方网站或者我上传的nmap思维导图，写的还是比较详细的（高清免费）

吐槽一句，写WD真TM累！