01_scan

目的: IP、PORT、Service

Zone transfer

nslookup -type=ns zonetransfer.me

Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
zonetransfer.me	nameserver = ns12.zoneedit.com.
zonetransfer.me	nameserver = ns16.zoneedit.com.

Authoritative answers can be found from:

nslookup
> server ns12.zoneedit.com
> ls -d zonetransfer.me

Common port

• snmp: udp 161

• dns: tcp 53

• smb/netbios: tcp 139, 445

• apache: tcp 80, 8000, 8080

• DC: 53,445,88,3389

Options

--open : 僅顯示開啟

-n : no dns

--packet-trace : 顯示封包傳輸

--reason : 詳細說明 port 狀態

xml2html

xsltproc <nmap-output.xml> -o <nmap-output.html>

sudo 差異

• 無 sudo: TCP connet

nmap -sn <ip> --packet-trace -n  

• 有 sudo: Raw Socket

sudo nmap -sn <ip> --packet-trace -n 

Enum SNMP

snmp-check <ip>

nmap <ip> -sU -p161 --script=snmp-win32-users

Enum NetBIOS/SMB (網路芳鄰)

nbtscan

• 電腦名稱: udp 137 要開

• 檔案分享

nbtscan 10.10.10.1-254

nmap

nmap 10.10.10.1 -p445 --script=smb-os-discovery

Enum Host Info

• 匿名列舉

enum4linux <ip>

• 登入列舉 (-a:列舉全部)

enum4linux -u <username> -p <passwd> -a <ip> 

Burte force SMB

hydra -L user.txt -P /usr/share/wordlists/nmap.lst smb://10.10.10.16

SMB Clinet

• 匿名登入

smbclient -L 10.10.10.16 -N

• 帳號登入

smbclient -L 10.10.10.16 -U martin%apple

LDAP Enum

• get ldap user

nmap -p 389 --script ldap-search --script-args 'ldap.username="cn=user,cn=CEH,dc=com",ldap.password=,
ldap.qfilter=users,ldap.attrib=sAMAccountName' 10.10.10.25

• get passwrd by brute

nmap -p389 --script ldap-brute --script-args ldap.base='"cn=user,dc=CEH,dc=com"' 10.10.10.25

• get ldap ver (LDAPv3 or LDAPv2)

nmap -p 389 --script ldap-rootdse 10.10.10.25