nmap教你如何看新装的虚拟服务器

众所周知，我的kali装上有一段时间了。但是吧，这个没有靶机是一个很头大的问题。

虽然说吧，我经常用我宿舍的局域网进行测试，尤其酷爱在我舍友打cs2正钢枪起劲的时候来一手 arp欺骗 ，但是还是觉得有点缺德。

为此，我从网上下载了一个名叫 OWASP 的靶机。

懒得看使用说明了，所以还是用学习 nmap 顺便学习认识一下这个靶机吧。

认识nmap

以下来源于百度百科，看看图一乐。:satisfied::satisfied::satisfied:

nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。

正如大多数被用于网络安全的工具，nmap 也是不少黑客及骇客（又称脚本小子）爱用的工具。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。

Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法，避开闯入检测系统的监视，并尽可能不影响目标系统的日常操作。

但是吧，不能光图一乐了，肯定要学习。

我们可以使用 nmap -h 进行查看，这样是不是跟接地气一点？

下面我们来解析一下吧：

Nmap 7.94SVN ( https://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}

参数使用

TARGET SPECIFICATION（目标规范）

Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL : Input from list of hosts/networks

//扫描一个列表文件,例: nmap -iL list.txt
-iR : Choose random targets

//用来选择随机Internet主机进行扫描。 NMAP会随机生成目标的指定数量，并试图对其进行扫描。
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks

//用于从NMAP的扫描中排除主机。

//列如：NMAP 192.168.2.1/24 -exclude 192.168.2.10
--excludefile : Exclude list from file

HOST DISCOVERY（主机发现）

-sL: List Scan - simply list targets to scan

//列表扫描-只需列出要扫描的目标
-sn: Ping Scan - disable port scan

//Ping扫描-禁用端口扫描
-Pn: Treat all hosts as online -- skip host discovery

//无Ping扫描,可以躲避防火墙防护,可以在目标主机禁止ping的情况下使用
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports

//-PS:TCP SYN Ping扫描

//-PA:TCP ACK Ping扫描

//-PU:UDP ping扫描。发送一个空的UDP报文到目的端口，默认端口为31338。
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes

//选项 -PE 将对指定主机执行ICMP（互联网控制消息协议）回显Ping。

//选项 -PP 执行一次ICMP时间戳ping。

//选项 -PM 进行ICMP 地址掩码 ping.
-PO[protocol list]: IP Protocol Ping (IP协议ping)

//IP协议 ping扫描，它尝试使用IP数据包来确定主机是否在线使用不同的协议。
-n(不用域名解析)/-R(为所有目标解析域名): Never do DNS resolution/Always resolve [default: sometimes]

//-n：告诉Nmap 永不对它发现的活动IP地址进行反向域名解析。

//-R：告诉Nmap永远对目标IP地址作反向域名解析。一般只有当发现机器正在运行时才进行这项操作。
--dns-servers <serv1[,serv2],...>: Specify custom DNS servers （指定dns解析服务器）

//如何dns服务器进行域名解析时不能做解析，需要指定具体的dns服务器通过参数--dns-servers

  nmap --dns-servers 223.6.6.6 book.weigou365.cn
  指定阿里的dns解析服务器地址Nmap scan report for book.weigou365.cn (39.105.152.173)Host is up (0.0090s latency).Not shown: 993 filtered tcp ports (no-response), 4 filtered tcp ports (host-prohibited)PORT     STATE  SERVICE22/tcp   open   ssh80/tcp   open   http9090/tcp closed zeus-admin
  Nmap done: 1 IP address (1 host up) scanned in 4.76 seconds

--system-dns: Use OS's DNS resolver
--traceroute: Trace hop path to each host

SCAN TECHNIQUES(扫描技术):

-sS（TCP SYN扫描）/-sT（TCP connect扫描）/sA（TCP ACK扫描）/sW（TCP窗口扫描）/sM（TCP Maimon扫描）: TCP SYN/Connect()/ACK/Window/Maimon scans

//-sS 该方式只发送SYN包到特定的端口，不建立完整的TCP连接，相对比较隐蔽，因此称为半开放扫描。

发送一个SYN包到目标端口：
1. 收到SYN/ACK回复，判断端口时开放。
2. 收到RST包，判断端口关闭。
3. 没有收到回复，判断端口被屏蔽，为Filtered状态。
如果数次重发后仍没响应，该端口就被标记为被过滤。如果收到ICMP不可到达错误 (类型3，代码1，2，3，9，10，或者13)，该端口也被标记为被过滤。

//-sT：在-sS扫描无法使用的情况下，我们才会使用-sT扫描，因为这种方式扫描速度过慢，而且容易在目标主机留下扫描信息。

TCP connect不向服务器发送原始报文，而是通过使用系统网络的API向目标主机发起连接，如果无法连接，说明端口时关闭状态。当用户没有权限发送原始报文或者扫描IPv6网络时，就是这种情况。

//-sA：发送ACK包到目标端口：
1. 收到RST包，端口未被屏蔽
2. 没有收到RST包，端口被屏蔽。
//-sW：通过检查返回的RST报文的TCP窗口域来判断：
1. 窗口值为正数：开放。
2. 窗口值为0：关闭。
  不支持-sW扫描的系统将返回所有端口为关闭状态，也就是窗口值为0
//-sM：探测报文是FIN/ACK，无论端口开放或者关闭，都响应RST报文。
-sU: UDP Scan（UDP扫描）

//UDP扫描发送探测包到UDP端口：
1. 收到回复“ICMP port unreachable”，端口关闭。
2. 没有收到回复，端口Open|Filtered。
虽然互联网上很多流行的服务运行在TCP 协议上，UDP服务也不少。 DNS，SNMP，和DHCP (注册的端口是53，161/162，和67/68)是最常见的三个。因为UDP扫描一般较慢，比TCP更困难，一些安全审核人员忽略这些端口。这是一个错误，因为可探测的UDP服务相当普遍，攻击者当然不会忽略整个协议。所幸，Nmap可以帮助记录并报告UDP端口。

UDP扫描用 -sU 选项激活。它可以和TCP扫描如 SYN扫描 -sS 结合使用来同时检查两种协议。

UDP扫描发送空的(没有数据)UDP报头到每个目标端口。如果返回ICMP端口不可到达错误(类型3，代码3)，该端口是closed(关闭的)。其它ICMP不可到达错误(类型3，代码1，2，9，10，或者13)表明该端口是filtered(被过滤的)。偶尔地，某服务会响应一个UDP报文，证明该端口是open(开放的)。如果几次重试后还没有响应，该端口就被认为是 open|filtered(开放|被过滤的)。这意味着该端口可能是开放的，也可能包过滤器正在封锁通信。可以用版本扫描 -sV 帮助区分真正的开放端口和被过滤的端口。

UDP扫描的巨大挑战是怎样使它更快速。开放的和被过滤的端口很少响应，让Nmap超时然后再探测，以防探测帧或者响应丢失。关闭的端口常常是更大的问题。它们一般发回一个ICMP端口无法到达错误。但是不像关闭的TCP端口响应SYN或者Connect 扫描所发送的RST报文，许多主机在默认情况下限制ICMP端口不可到达消息。 Linux和Solaris对此特别严格。例如， Linux 2.4.20内核限制一秒钟只发送一条目标不可到达消息 (见net/ipv4/icmp。c)。

Nmap探测速率限制并相应地减慢来避免用那些目标机会丢弃的无用报文来阻塞网络。不幸的是，Linux式的一秒钟一个报文的限制使65,536个端口的扫描要花 18小时以上。加速UDP扫描的方法包括并发扫描更多的主机，先只对主要端口进行快速扫描，从防火墙后面扫描，使用 --host-timeout 跳过慢速的主机。
-sN/sF/sX: TCP Null, FIN, and Xmas scans (TCP Null、FIN、Xmas扫描)

//因为这三种方式较为隐蔽，因此称为秘密扫描。这三种扫描可以绕过一些无状态防火墙和报文过滤路由器，但是大部分的IDS可以发现这三种扫描。

发送探测包：
1. 收到RST回复包，端口关闭。
2. 没有响应，端口Open|Filtered。
3. ICMP不可达，端口Filtered。
因此，这三种扫描是无法完全判断端口是否为Open状态。

Null扫描 -sN：不设置任何标志位(tcp标志头是0)

FIN扫描 -sF：只设置TCP FIN标志位。

Xmas扫描 -sX：设置FIN，PSH，和URG标志位。

除了探测报文的标志位不同，这三种扫描在行为上完全一致。如果收到一个RST报文，该端口被认为是 closed(关闭的)，而没有响应则意味着端口是open|filtered(开放或者被过滤的)。如果收到ICMP不可到达错误(类型 3，代号 1，2，3，9，10，或者13)，该端口就被标记为被过滤的。

这些扫描的关键优势是它们能躲过一些无状态防火墙和报文过滤路由器。另一个优势是这些扫描类型甚至比SYN扫描还要隐秘一些。但是别依赖它 -- 多数现代的IDS产品可以发现它们。一个很大的不足是并非所有系统都严格遵循RFC 793。许多系统不管端口开放还是关闭，都响应RST。这导致所有端口都标记为closed(关闭的)。这样的操作系统主要有Microsoft Windows，许多Cisco设备，BSDI，以及IBM OS/400。但是这种扫描对多数UNIX系统都能工作。这些扫描的另一个不足是它们不能辨别open(开放的)端口和一些特定的 filtered(被过滤的)端口，从而返回 open|filtered(开放或者被过滤的)。
--scanflags : Customize TCP scan flags （定制的TCP扫描）

//可以通过指定任意TCP标志位设计自己的扫描方式。
-sI <zombie host[:probeport]>: Idle scan （idle扫描）

//对TCP端口进行盲扫，即不从真实IP发送任何数据包到目标端口，而是利用一台zomobie机。
-sY（SCTP INIT扫描）/sZ(SCTP COOKIE ECHO扫描): SCTP INIT/COOKIE-ECHO scans

//SCTP是对TCP和UDP协议的相对较新的替代方案，结合TCP和UDP最具特色的部分，同时也增加了新的功能，如多宿主和多流。它主要被用于SS7 / SIGTRAN相关的服务，但有可能被用于其他用途。 SCTP INIT扫描SCTP相当于TCP SYN扫描。它可以在不受防火墙限制的高速网络每秒扫描数千个端口。像SYN扫描，扫描INIT相对不显眼的和隐蔽的，因为它永远不会完成SCTP连接。

//SCTP COOKIE ECHO扫描是一种更先进的SCTP扫描。SCTP会默认丢弃开放端口返回的包含COOKIE ECHO数据包块，但如果端口关闭则发送中止。这种扫描方式优点是，它并不像INIT扫描一样明显。除此之外，无状态防火墙会阻断INIT块而不是COOKIE ECHO块。但一个优秀的IDS仍能够探测到SCTP COOKIE ECHO扫描SCTP COOKIE ECHO扫描的缺点是无法区分开放和过滤的端口。
-sO: IP protocol scan (IP协议扫描)

//可以确定目标主机支持哪些IP协议（如TCP、ICMP、IGMP等等）
-b : FTP bounce scan (（FTP bounce扫描）)

//允许用户连接到FTP服务器，然后可以发送文件到第三方服务器。只要请求FTP服务器轮流发送一个文件到目标主机上的端口，错误消息会描述端口是开放还是关闭的。

PORT SPECIFICATION AND SCAN ORDER（端口规格和扫描顺序）:

-p : Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9

//指定端口号：

例如：nmap -p 22 ip/nmap -p 1-65535 ip/nmap -p 21，22 ip
--exclude-ports : Exclude the specified

//-exclude选项与用于从NMAP的扫描中排除主机。

ports from scanning （扫描端口）

-F（快速扫描）: Fast mode - Scan fewer ports than the default scan

//通常情况下的NMAP扫描每个扫描协议中最常见的1000个端口。用-F将会减少到100个。
-r（不要随机端口）: Scan ports sequentially - don't randomize

//默认情况下NMAP会随机扫描端口，但您可以指定-r为顺序（从最低到最高排序）端口扫描来代替。

在接下来的部分，我们将使用NMAP绕过防火墙，创建自定义利用程序。

众所周知NMAP是经常用来进行端口发现、端口识别。除此之外我们还可以通过NMAP的NSE脚本做很多事情，比如邮件指纹识别，检索WHOIS记录，使用UDP服务等。
--top-ports : Scan most common ports

//nmap --top-ports n [目标ip地址]可以只扫描使用频率最高的n个端口。
--port-ratio : Scan ports more common than

//根据端口的出现的概率(0-1)进行扫描，如下图所示。

--port-ratio 后跟概率（0-1）

SERVICE（服务）/VERSION DETECTION（版本检测）:

-sV: Probe open ports to determine service/version info

//获取远程主机的所有服务指纹

下面是示例：
--version-intensity : Set from 0 (light) to 9 (try all probes)

//默认7级（0-9总共10个级别），0级的含义是除了NULL probe和注册了该端口的probe外，其他级别的probe的均不尝试。目前nmap的probe总共有142个，NULL probe没有rarity值。

--version-light 等效于--version-intensity 2

--version-all 等效于--version-intensity 9

SCRIPT SCAN（脚本扫描）:

-sC: equivalent to --script=default

//脚探测

OS DETECTION（操作系统探测）:

-O: Enable OS detection

//操作系统探测

TIMING AND PERFORMANCE （时间和性能）:

Options which take are in seconds, or append 'ms' (milliseconds),

's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).

-T<0-5>: Set timing template (higher is faster)

--min-hostgroup/max-hostgroup : Parallel host scan group sizes

--min-parallelism/max-parallelism : Probe parallelization

--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout : Specifies
probe round trip time.

--max-retries : Caps number of port scan probe retransmissions.

--host-timeout : Give up on target after this long

--scan-delay/--max-scan-delay : Adjust delay between probes

--min-rate : Send packets no slower than per second

--max-rate : Send packets no faster than per second

FIREWALL/IDS EVASION AND SPOOFING（时间和性能防火墙/IDS规避和欺骗）:

-f; --mtu : fragment packets (optionally w/given MTU)

-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys

-S : Spoof source address

-e : Use specified interface

-g/--source-port : Use given port number

--proxies <url1,[url2],...>: Relay connections through HTTP/SOCKS4 proxies

--data : Append a custom payload to sent packets

--data-string : Append a custom ASCII string to sent packets

--data-length : Append random data to sent packets

--ip-options: Send packets with specified ip options

--ttl : Set IP time-to-live field

--spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address

--badsum: Send packets with a bogus TCP/UDP/SCTP checksum

OUTPUT(输出):

-oN/-oX/-oS/-oG : Output scan in normal, XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.

-oA : Output in the three major formats at once

-v: Increase verbosity level (use -vv or more for greater effect)

-d: Increase debugging level (use -dd or more for greater effect)

--reason: Display the reason a port is in a particular state

--open: Only show open (or possibly open) ports

--packet-trace: Show all packets sent and received

--iflist: Print host interfaces and routes (for debugging)

--append-output: Append to rather than clobber specified output files

--resume : Resume an aborted scan

--noninteractive: Disable runtime interactions via keyboard

--stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML

--webxml: Reference stylesheet from Nmap.Org for more portable XML

--no-stylesheet: Prevent associating of XSL stylesheet w/XML output

MISC（杂项）:

-6: Enable IPv6 scanning

-A: Enable OS detection, version detection, script scanning, and traceroute

--datadir : Specify custom Nmap data file location

--send-eth/--send-ip: Send using raw ethernet frames or IP packets

--privileged: Assume that the user is fully privileged

--unprivileged: Assume the user lacks raw socket privileges

-V: Print version number

-h: Print this help summary page.

EXAMPLES（示例）:

nmap -v -A scanme.nmap.org

nmap -v -sn 192.168.0.0/16 10.0.0.0/8

nmap -v -iR 10000 -Pn -p 80

SEE THE MAN PAGE (https://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES

实际操作

累死了-h这个参数，实在是太难讲了，所以还是用几个常用的参数做个总结

nmap语法及常用命令

nmap语法格式:nmap [空格] [选项/多选项/协议] [空格] [目标]

nmap -A 192.168.1.128或 nmap -A 192.168.1.1-100 (对一个ip范围进行全面扫描)

-A 　　　　　　　　:全面扫描. 综合扫描. 是一种完整扫描目标信息的扫描方式.

--exclude　　　　　 : 排除指定的地址例: nmap 192.168.1.0/24 --exclude 192.168.1.1 那么就不会对192.168.1.1进行扫描,

--excludefile 　　　　: 排除指定的地址列表例: nmap 192.168.1.0/24 --excludefile list.txt 那么就不会对list.txt里面的地址进行扫描,

-iL　　　　　　　　 : 扫描一个列表文件例 nmap -iL list.txt

-sP　　　　　　　　: Ping扫描,效率高,返回信息少. 　　例: nmap -sP 192.168.1.110

-P0(Pn)　　　　　　:无Ping扫描,可以躲避防火墙防护,可以在目标主机禁止ping的情况下使用

-PS　　　　　　　　:TCP SYN Ping扫描

-PA　　　　　　　　:TCP ACK Ping扫描

PR　　　　　　　　: ARP Ping扫描

-n　　　　　　　　 : 禁止DNS反向解析

-T　　　　　　　　 : 时序选项, -TO-T5. 用于IDS逃逸,0=>非常慢,1=>缓慢的,2=>文雅的,3=>普通的,4=>快速的,5=>急速的

-p　　　　　　　　 : 指定端口扫描

-F　　　　　　　　 : 快速扫描

-f　　　　　　　　　 : 报文分段

-D　　　　　　　　　: ip地址欺骗例 nmap -D RND:5 192.168.1.110 RND:为生成随机ip地址　　

-sS　　　　　　　　 : TCP SYN 扫描,速度快, 1秒1000次左右. 较为隐蔽.

-sT　　　　　　　　 : TCP连接扫描

-sU　　　　　　　　: UDP扫描,扫描非常慢,容易被忽视

-sN,-sF　　　　　　 : 隐蔽扫描

-sI　　　　　　　　 : 空闲扫描,允许端口完全欺骗,可以允许不使用自身ip的情况下发起扫描,非常之隐蔽的扫描.但得先寻找空闲主机,指令为 nmap -p80 -open -script ipidseq 192.168......,第二种是往事随机寻找, nmap -p80 -open -script ipidseq -iR 2000 (iR选项代表随机选择目标.2000带表选择的数量,-open代表只选择端口开放的空闲主机)

-p-　　　　　　　　 : 扫描所有端口 1-65535

-top-ports　　　　　 : 只扫描开发概率最高的端口后面跟上数值例 nmap -top-ports 100 , 就是扫描概率最高的前100个端口

<版本探测相关>:

-sV　　　　　　　　 : 版本探测 ,通过相应的端口探测对应的服务,根据服务的指纹识别出相应的版本.

-sV --allports　　　　 : 只有使用--allports才能扫描所有的端口,默认情况下回跳过如 TCP9100端口(hp打印机专用端口)

--version-intersity　　 : 设置扫描强度 0-9 ,数值越大越有可能被识别,花费时间越多,默认是7

--version-ligth　　　　: 扫描强度,轻量级扫描(2) ,等用于--version-intersity 2

--version-all　　　　 :扫描强度,重量级扫描(9) ,等同于--version-intersity 9

--version-trace　　　 : 获取详细的版本信息

-sR　　　　　　　　 : 判断开放端口是否为RPC端口, 如果是返回程序和版本号.

--resaon　　　　　 : 显示主机存活原因

实际操作

接下来，就到了实际操作阶段了，啦啦啦~

已知我的靶机地址为192.168.100.128

我的kali为192.168.100.127

先微扫一下吧，不带参数

nmap 192.168.100.128

可以看到PORT有开放的端口，TCP或者UDP协议。

STATE为状态，open是打开的状态，SERVICE为namp与自身库的特征码匹配得到的服务。

接下来，知道了有哪些服务，但是无法找到服务版本号，这时候就需要

nmap -sV 192.168.100.128

现在会发现新加了一个VERSION这一列，呢么这一列就是nmap扫描出来的版本号。

nmap -n 192.168.100.128

查看目标开启了什么端口和服务。（貌似和不加参数一样）

nmap 192.168.100.128/网段

nmap+IP地址/网段，就是扫描你给的ip地址的网段的所有主机。比如我的虚拟机是NAT模式，我的网段里面有自己的Windows的虚拟网卡、kali和靶机。对应的就扫描出来了三个。

nmap -iflist

查看本地主机的接口信息和路由信息

nmap --script=vlan 192.168.100.128

检查是否存在常见漏洞

下面比较长，是我输出到一个.txt的文档里的。

Starting Nmap 7.94SVN ( https://nmap.org ) at 2023-11-29 09:09 EST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.100.128 (192.168.100.128)
Host is up (0.0021s latency).
Not shown: 991 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-cross-domain-policy: 
|   VULNERABLE:
|   Cross-domain and Client Access policies.
|     State: VULNERABLE
|       A cross-domain policy file specifies the permissions that a web client such as Java, Adobe Flash, Adobe Reader,
|       etc. use to access data across different domains. A client acces policy file is similar to cross-domain policy
|       but is used for M$ Silverlight applications. Overly permissive configurations enables Cross-site Request
|       Forgery attacks, and may allow third parties to access sensitive data meant for the user.
|     Check results:
|       /crossdomain.xml:
|         
|         
|         
|           
|         
|     Extra information:
|       Trusted domains:*
|   
|     References:
|       https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html
|       https://www.owasp.org/index.php/Test_RIA_cross_domain_policy_%28OTG-CONFIG-008%29
|       http://gursevkalra.blogspot.com/2013/08/bypassing-same-origin-policy-with-flash.html
|       http://sethsec.blogspot.com/2014/03/exploiting-misconfigured-crossdomainxml.html
|       https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/CrossDomain_PolicyFile_Specification.pdf
|_      http://acunetix.com/vulnerabilities/web/insecure-clientaccesspolicy-xml-file
|_http-trace: TRACE is enabled
| http-cookie-flags: 
|   /mono/: 
|     ASP.NET_SessionId: 
|_      httponly flag not set
| http-vuln-cve2011-3192: 
|   VULNERABLE:
|   Apache byterange filter DoS
|     State: VULNERABLE
|     IDs:  CVE:CVE-2011-3192  BID:49303
|       The Apache web server is vulnerable to a denial of service attack when numerous
|       overlapping byte ranges are requested.
|     Disclosure date: 2011-08-19
|     References:
|       https://www.tenable.com/plugins/nessus/55976
|       https://seclists.org/fulldisclosure/2011/Aug/175
|       https://www.securityfocus.com/bid/49303
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-internal-ip-disclosure: 
|_  Internal IP Leaked: 127.0.1.1
| http-enum: 
|   /wordpress/: Blog
|   /test/: Test page
|   /mono/: Mono
|   /crossdomain.xml: Adobe Flash crossdomain policy
|   /phpmyadmin/: phpMyAdmin
|   /wordpress/wp-login.php: WordPress login page.
|   /cgi-bin/: Potentially interesting folder w/ directory listing
|   /icons/: Potentially interesting folder w/ directory listing
|_  /images/: Potentially interesting folder w/ directory listing
|_http-csrf: Couldn't find any CSRF vulnerabilities.
139/tcp  open  netbios-ssn
143/tcp  open  imap
443/tcp  open  https
| ssl-poodle: 
|   VULNERABLE:
|   SSL POODLE information leak
|     State: VULNERABLE
|     IDs:  CVE:CVE-2014-3566  BID:70574
|           The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other
|           products, uses nondeterministic CBC padding, which makes it easier
|           for man-in-the-middle attackers to obtain cleartext data via a
|           padding-oracle attack, aka the "POODLE" issue.
|     Disclosure date: 2014-10-14
|     Check results:
|       TLS_RSA_WITH_AES_128_CBC_SHA
|     References:
|       https://www.securityfocus.com/bid/70574
|       https://www.imperialviolet.org/2014/10/14/poodle.html
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
|_      https://www.openssl.org/~bodo/ssl-poodle.pdf
| ssl-ccs-injection: 
|   VULNERABLE:
|   SSL/TLS MITM vulnerability (CCS Injection)
|     State: VULNERABLE
|     Risk factor: High
|       OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h
|       does not properly restrict processing of ChangeCipherSpec messages,
|       which allows man-in-the-middle attackers to trigger use of a zero
|       length master key in certain OpenSSL-to-OpenSSL communications, and
|       consequently hijack sessions or obtain sensitive information, via
|       a crafted TLS handshake, aka the "CCS Injection" vulnerability.
|           
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
|       http://www.cvedetails.com/cve/2014-0224
|_      http://www.openssl.org/news/secadv_20140605.txt
| http-cross-domain-policy: 
|   VULNERABLE:
|   Cross-domain and Client Access policies.
|     State: VULNERABLE
|       A cross-domain policy file specifies the permissions that a web client such as Java, Adobe Flash, Adobe Reader,
|       etc. use to access data across different domains. A client acces policy file is similar to cross-domain policy
|       but is used for M$ Silverlight applications. Overly permissive configurations enables Cross-site Request
|       Forgery attacks, and may allow third parties to access sensitive data meant for the user.
|     Check results:
|       /crossdomain.xml:
|         
|         
|         
|           
|         
|     Extra information:
|       Trusted domains:*
|   
|     References:
|       https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html
|       https://www.owasp.org/index.php/Test_RIA_cross_domain_policy_%28OTG-CONFIG-008%29
|       http://gursevkalra.blogspot.com/2013/08/bypassing-same-origin-policy-with-flash.html
|       http://sethsec.blogspot.com/2014/03/exploiting-misconfigured-crossdomainxml.html
|       https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/CrossDomain_PolicyFile_Specification.pdf
|_      http://acunetix.com/vulnerabilities/web/insecure-clientaccesspolicy-xml-file
| http-vuln-cve2011-3192: 
|   VULNERABLE:
|   Apache byterange filter DoS
|     State: VULNERABLE
|     IDs:  CVE:CVE-2011-3192  BID:49303
|       The Apache web server is vulnerable to a denial of service attack when numerous
|       overlapping byte ranges are requested.
|     Disclosure date: 2011-08-19
|     References:
|       https://www.tenable.com/plugins/nessus/55976
|       https://seclists.org/fulldisclosure/2011/Aug/175
|       https://www.securityfocus.com/bid/49303
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
| http-cookie-flags: 
|   /mono/: 
|     ASP.NET_SessionId: 
|       secure flag not set and HTTPS in use
|_      httponly flag not set
| http-fileupload-exploiter: 
|   
|_    Failed to upload and execute a payload.
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.100.128
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: https://192.168.100.128:443/phpBB2/
|     Form id: 
|     Form action: login.php?sid=f82692218e8a92309bf8ebff267204f5
|     
|     Path: https://192.168.100.128:443/ghost/
|     Form id: 
|     Form action: submit.php
|     
|     Path: https://192.168.100.128:443/getboo/
|     Form id: search_box
|     Form action: psearch.php
|     
|     Path: https://192.168.100.128:443/WackoPicko/
|     Form id: query2
|     Form action: /WackoPicko/pictures/search.php
|     
|     Path: https://192.168.100.128:443/WackoPicko/
|     Form id: 
|_    Form action: /WackoPicko/pic' + 'check' + '.php
|_http-trace: TRACE is enabled
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| ssl-dh-params: 
|   VULNERABLE:
|   Diffie-Hellman Key Exchange Insufficient Group Strength
|     State: VULNERABLE
|       Transport Layer Security (TLS) services that use Diffie-Hellman groups
|       of insufficient strength, especially those using one of a few commonly
|       shared groups, may be susceptible to passive eavesdropping attacks.
|     Check results:
|       WEAK DH GROUP 1
|             Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|             Modulus Type: Safe prime
|             Modulus Source: mod_ssl 2.2.x/1024-bit MODP group with safe prime modulus
|             Modulus Length: 1024
|             Generator Length: 8
|             Public Key Length: 1024
|     References:
|_      https://weakdh.org
| http-sql-injection: 
|   Possible sqli for queries:
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=Encryption%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=AccessControl%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=About%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=Login%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=ValidateUserInput%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=HttpSecurity%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=DataProtection%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=SessionManagement%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=InitialSetup%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=Encoding%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=Introduction%27%20OR%20sqlspider
|     https://192.168.100.128:443/ESAPI-Java-SwingSet-Interactive/main?function=Logging%27%20OR%20sqlspider
|     https://192.168.100.128:443/redmine/?C=M%3BO%3DA%27%20OR%20sqlspider
|     https://192.168.100.128:443/redmine/?C=D%3BO%3DA%27%20OR%20sqlspider
|     https://192.168.100.128:443/redmine/?C=N%3BO%3DD%27%20OR%20sqlspider
|_    https://192.168.100.128:443/redmine/?C=S%3BO%3DA%27%20OR%20sqlspider
| http-enum: 
|   /wordpress/: Blog
|   /test/: Test page
|   /mono/: Mono
|   /crossdomain.xml: Adobe Flash crossdomain policy
|   /phpmyadmin/: phpMyAdmin
|   /wordpress/wp-login.php: WordPress login page.
|   /icons/: Potentially interesting folder w/ directory listing
|_  /images/: Potentially interesting folder w/ directory listing
445/tcp  open  microsoft-ds
5001/tcp open  commplex-link
8080/tcp open  http-proxy
| http-cookie-flags: 
|   /manager/html/upload: 
|     JSESSIONID: 
|       httponly flag not set
|   /manager/html: 
|     JSESSIONID: 
|_      httponly flag not set
| http-enum: 
|   /examples/: Sample scripts
|   /manager/html/upload: Apache Tomcat (401 Unauthorized)
|   /manager/html: Apache Tomcat (401 Unauthorized)
|_  /docs/: Potentially interesting folder
8081/tcp open  blackice-icecap
MAC Address: 00:0C:29:77:C3:87 (VMware)

Host script results:
| smb-vuln-regsvc-dos: 
|   VULNERABLE:
|   Service regsvc in Microsoft Windows systems vulnerable to denial of service
|     State: VULNERABLE
|       The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
|       pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
|       while working on smb-enum-sessions.
|_          
|_smb-vuln-ms10-061: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
|_samba-vuln-cve-2012-1182: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
|_smb-vuln-ms10-054: false

Nmap done: 1 IP address (1 host up) scanned in 156.23 seconds

是不是详细的讲解了常见漏洞的问题捏~~🙂🙂🙂

DoS (CVE-2011-1002)：（Apache web服务器易受拒绝攻击）
Couldn't find any stored XSS（找不到任何存储的XSS）

| ssl-poodle: 
|   VULNERABLE:
|   SSL POODLE information leak
|     State: VULNERABLE
|     IDs:  CVE:CVE-2014-3566  BID:70574
|           The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other
|           products, uses nondeterministic CBC padding, which makes it easier
|           for man-in-the-middle attackers to obtain cleartext data via a
|           padding-oracle attack, aka the "POODLE" issue.
|     Disclosure date: 2014-10-14
|     Check results:
|       TLS_RSA_WITH_AES_128_CBC_SHA
|     References:
|       https://www.securityfocus.com/bid/70574
|       https://www.imperialviolet.org/2014/10/14/poodle.html
|       https://cve.mitre.org/cgi-bin/cvename.cgi?