一.基础概念

不能单纯的以端口辨别服务。很多网络服务是漏洞频发的高危对象，对网络上的特定服务进行扫描，往往能让我们少走弯路，增加渗透成功的几率。确定开放端口后，通常会对相应端口上所运行服务的信息进行更深入的挖掘，通常称为服务查点。

二.各类主要服务

Banner捕获（最主要最简单，也是最不准确）
连接服务器的端口，利用其返回的banner信息，但可能是管理员伪造的。
【软件开发商软件名称，服务类型，版本号--可直接发现已知的漏洞，但如果不是很熟悉的话，需要长时间查找资料】
必须建立完整的TCP连接，才能直接获得banner
结合另类服务识别：1、特征行为和响应字段；2不同的响应可用于识别底层系统

nc

nc -nv 192.168.1.107 80

dmitry

dmitry -pb 192.168.1.107

nmap

nmap -sT 192.168.1.107 -p 22 --script=banner.nse

amap
amap（专门用于发现开放端口后的服务的工具）

amap -b 192.168.1.107 25 #-b参数，也可指定端口范围，使用grep on可过滤不开放端口返回结果

服务识别
Banner信息抓取能力比较有限，而且不一定准确。
发现端口后应用的版本，基于版本，到其官网寻找其漏洞，针对性的找其利用代码，或者利用逆向工程或模糊测试发现其漏洞。

nmap

nmap 192.168.1.107 -p1-100 -sV

amap（没nmap详细，但也有其优点）【可作为nmap的验证工具】

amap 192.168.1.107 1-100 -qb #q显示清晰，b显示更多信息

操作系统识别
识别操作系统，因为操作系统在开启时，便默认开放些服务；针对老版本系统的漏洞进行渗透，提权、获得操作权限。

Nmap

nmap -O 192.168.1.1 #-O 参数用于检测主机系统 #结合端口判断特征

Xprobe2（专门用于识别操作系统，更为详细，但不是很准确）

xprobe2 192.168.1.115

被动操作系统识别
基于抓包分析，可部署在网络出口处，则可被动检测

p0f #直接输入，即可实现被动监听，还可能发现些证书信息
可以结合ARP地址欺骗识别全网OS

SNMP扫描（简单网络管理协议）
客户端使用UDP161端口，服务端使用UDP161端口；与DHCP相似，基于UDP，使用67、68。服务器用单号
若SNMP配置不当，则会产生漏洞。属于网络管理员最容易配置疏漏的服务。有两个community strings，一个只读，一个可写。
基于SNMP，进行网络设备监控，如：交换机、防火墙、服务器，CPU等其系统内部信息。基本都可以监控到。
community：登录证书，容易被管理员遗忘修改其特征字符 #可用字典破解community
MIB库：MIB Tree
【SNMP配置】

onesixtyone

onesixtyone 192.168.1.115 public
能扫出硬件信息，当返回信息较少时，可能已经被修改community，可使用下一条指令
dpkg -L onesixtyone ###查询字典
onesixtyone -c dict.txt -i hosts -o my.log -w 100 #字典爆破community

snmpwalk

snmpwalk 192.168.1.115 -c public -v 2c #能查出更多的信息 -v指定版本，2c使用比较广泛#能查出MIB库ID号，安装的软件
snmpwalk -c public -v 2c 1.1.1.1 1.3.6.1.4.1.77.1.2.25 #OID查询用户账号
snmpcheck -t 192.168.20.199
snmpcheck -t 192.168.20.199 -c private -v 2

snmpcheck -t 192.168.20.199 -w

识别边界防火墙
为了去绕过和躲避。
原理图

nmap -p22 192.168.1.141 -sA
根据其对SYN和ACK包的应答，去匹配上图类型

SMB扫描
Server Message Block 协议。与其他标准的[TCP/IP协议]不同，SMB协议是一种复杂的协议，因为随着Windows计算机的开发，越来越多的功能被加入到协议中去了，很难区分哪些概念和功能应该属于Windows操作系统本身，哪些概念应该属于SMB 协议。因为该协议很复杂，所以是微软历史上出现安全问题最多的协议。

nmap

nmap -v -p139,445 192.168.1.0/24
扫描其固定开放的端口139,445，但是无法准确判断其为windows系统

高级扫描

nmap 192.168.1.141 -p139,445 --script=smb-os-discovery.nse #用于发现smb协议的脚本

扫描windows系统smb协议是否有漏洞
由于从NMAP 6.49beta6开始，smb-check-vulns.nse脚本被取消了。它被分为smb-vuln-conficker、•smb-vuln-cve2009-3103、smb-vuln-ms06-025、smb-vuln-ms07-029、smb-vuln-regsvc-dos、smb-vuln-ms08-067这六个脚本。用户根据需要选择对应的脚本。如果不确定执行哪一个，可以使用smb-vuln-*.nse来指定所有的脚本文件，进行全扫描。

nmap -v -p139,445 --script=smb-vuln-*.nse --script-args=unsafe=1 192.168.1.115 -Pn #unsafe=1：高强度扫描，可能造成宕机，可选为0（安全扫描） #-Pn：有防火墙过滤包，也继续进行扫描

Nbtscan

-R:使用本地端口137，兼容性好，可发现老版本的系统，扫描结果最全
支持网段扫描
优点：可跨网段扫描mac地址，如果防火墙过滤不够好的话

enum4linux
在linux系统下枚举出windows系统，不支持网段扫描，但结果非常详细

enum4linux -a 192.168.1.141

SMTP扫描
SMTP（Simple Mail Transfer Protocol）即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了，整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转发出的电子邮件。
SMB扫描针对机器去发现其漏洞，SMTP扫描为主动发现目标系统的邮件账号（被动信息收集也能收集到一些）。用途：社会工程学

初级方法

nc -nv 192.168.1.107 25 #连接25端口
VRFY root

nmap
Nmap 前提：做了端口扫描知道目标主机开启25端口

nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args=smtp-enum-users.methods={VRFY} #尝试枚举账号 #指定使用什么方式，默认用root账号，也可加别的参数（指定字典）
smtp-user-enum -M VRFY -U users.txt -t 10.0.0.1 #指定字典扫描邮箱账号：
nmap smtp.163.com -p25 --script=smtp-open-relay.nse #扫描邮件开放中继：【如果开放了邮件中继，所有人都可以使用该邮件服务器】

8.负载均衡识别
负载均衡从其应用的地理结构上分为本地负载均衡(Local Load Balance)和全局负载均衡(Global Load Balance，也叫地域负载均衡)，本地负载均衡是指对本地的服务器群做负载均衡，全局负载均衡是指对分别放置在不同的地理位置、有不同网络结构的服务器群间作负载均衡。它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
简单来说是DNS，即同一个域名对应不同IP。
分类：基于web的服务负载均衡经常使用Nginx、Apache应用层负载均衡

Lbd（直接加域名，或者加IP）

lbd www.sina.com

9.WAF识别
WAF（Web Application Firewall）的中文名称叫做“Web应用防火墙”，利用国际上公认的一种说法，WAF的定义是这样的：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通过从上面对WAF的定义中，我们可以很清晰的了解到，WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。
WAF攻防实战：基于规则WAF过滤【可绕过】，基于机器学习结合语法词法分析的WAF将成为主流，几乎可防止所有的SQL注入