先通过本机的VMware启动Kali攻击机和Metasploitable2靶机

端口扫描

使用 ip addr 或者 ifconfig 先看一下靶机的ip地址

在Kali里面使用 nmap + IP 先用默认的方式对靶机进行扫描

事实上nmap的默认扫描方式就是 -sS 也就是SYN扫描，这种扫描方式基于TCP三次握手的前两次，不建立完整连接，因此具有相对的隐蔽性和较高的速度

在改变nmap扫描类型这类参数的时候需要提供root权限，默认扫描则不需要，为了方便，我本次所有命令都使用了root权限

默认扫描会默认扫描1000个最常用的端口，这种方式会显示出扫描目标的端口开放状态以及对应的服务，也会显示靶机的一些其他信息比如MAC地址，甚至nmap的目录里面还会识别出这个靶机的物理设备是来自哪里

这里只扫到了open的端口，实际上也还有其他的端口状态

• open：端口是开放的
• closed：端口是关闭的
• filtered：端口被 Firewall/IDS/IPS 屏蔽，无法确定其状态
• unfiltered：端口没有被屏蔽，但是否开放需要进一步确定
• open|filtered：端口是开放的或被屏蔽
• closed|filtered：端口是关闭的或被屏蔽

如果我们只想要知道某个端口的状态信息怎么办呢，nmap还有个命令参数 -p 可以指定扫描的端口，比如这里我们扫描3306也就是MySQL的常用端口

如果我们还想知道MySQL的版本信息方便后面SQL注入呢，我们可以用 -sV 参数扫描来获取这个服务的版本信息

有的时候我们会想要知道所有的扫描细节，而这些nmap会自动隐藏起来，这时候我们可以用 -v 或者 -vv 来显示这些细节

如果还想要知道我们扫描的靶机操作系统以及版本，我们只需要使用 -O 参数来获取

最后的最后，还有一个最包罗万象的参数 -A，俗称万能扫描，会启动系统版本检测，服务版本检测，脚本扫描和traceroute等功能，当然这个很费时，所以我们继续只扫3306端口

可以看到，针对MySQL这个服务，就扫出来这么多信息，比如协议，版本号，线程ID以及MySQL服务在“握手”时用到的 capabilities flags 一种功能标志

当获取到足够的信息之后，nmap也支持使用脚本进行一些简单的漏洞利用，比如还是这个MySQL服务，可以利用脚本来测试弱口令，爆破密码，实际上我们上面使用 -A 这个参数来全面扫描的时候就已经用到扫描MySQL的一个脚本 mysql-info

nmap同样支持控制扫描速度的功能，使用 -T0 到 -T5 速度由慢到快，一般T0和T1是用来躲避IDS（入侵检测系统）的检测，默认速度就是T3，而T4和T5一般都会牺牲掉一些准确性来进行高速的扫描

下面是T0和T5的速度对比…写到这里我等了T0十分钟，不知道还要多久…13分钟了，笔者实实在在地感受到了这个模式的速度…15分钟了，一想到我上面才写的默认扫描要扫1000个端口我就感觉到恐怖…20分钟了，我有点后悔做这个对比了，但是现在取消掉任务又感觉白等了…由于有事需要离开实验环境了，这个对比只能作废，截止现在，这个T0已经扫了41分钟，我们来对比一下T5的速度，总之，T0是真的真的很慢

漏洞扫描

nikto是Kali自带的一个web漏洞扫描器，可以识别目标网站，服务器上存在安全隐患的漏洞

我们使用 -h 或者 -host 参数来指定扫描的ip地址或者url地址，只有host选项时nikto是常规扫描模式，下面这些 OSVDB 编号各自代表了不同的网站漏洞，可以到相应的网站上去找到其与 CVE 漏洞编号的对应关系

比如扫描的结果上就会提示很多有可能有信息泄露点敏感目录，比如建站的 Readme.txt 文件，ChangeLog 日志，还有phpmyadmin 是一个数据库管理的后台，phpinfo.php 可能是开发人员的测试页面，可以显示 phpinfo() 的结果

因为nikto默认对80端口进行扫描，但是和nmap一样，nikto也可以支持指定端口进行扫描，使用 -port 参数就可以选择端口了，我们的靶机的网站服务都在80端口上，所以扫不出来什么东西

我们也可以对某一个指定的目录进行扫描，使用 -c + 目录 就可以了

可以看到日志和敏感配置文件都扫到了

在扫描过程中还可以通过一些交互式的命令来显示一些扫描的细节，比如扫描过程中我们输入 p 可以显示扫描进度