Web 渗透实战:服务器系统识别、端口与中间件全量探测
Web 渗透实战服务器系统识别、端口与中间件全量探测前言1. 根据 TTL 判断服务器操作系统1.1 判断原理1.2 主流系统默认初始 TTL 对照表1.3 ping 实操判断1.4 识别误区与注意事项2. 真实IP地址收集2.1 多地区Ping判断CDN2.2 绕过CDN获取真实IP2.2.1 查询子域名的IP2.2.2 MX记录邮件服务2.2.3 查询历史DNS记录2.2.4 国外访问2.3 同C段旁站资产探测2.3.1 C段范围计算2.3.2 工具介绍御剑高速 TCP 端口扫描工具2.3.3 实战Vulhub 靶机C段扫描2.3.4 旁站识别方法2.3.5 注意事项与误区3. 端口信息收集3.1 端口扫描基础概念3.1.1 核心原理3.1.2 端口状态分类3.1.3 端口扫描能获取的关键信息3.2 主流扫描工具Nmap3.2.1 工具下载与安装3.2.2 图形界面 Zenmap 介绍3.2.3 常用扫描模板3.2.4 实战Vulhub 靶机深度扫描3.2.5 扫描结果深度分析3.2.6 进阶自定义扫描命令3.2.7 小结总结前言上一篇我们聊完了站点层面的信息收集 —— 指纹识别摸清了目标用了什么技术栈目录扫描挖出了隐藏路径和接口被动插件补充了更多细节。到这里我们对 “网站长什么样” 已经有了比较清晰的认识。但渗透测试的信息收集远不止于此。知道了应用层的信息我们还得往下挖一层这个网站跑在什么样的服务器上是 Windows 还是 Linux开了哪些端口跑着什么服务中间件具体是什么版本这些信息看似基础却直接决定了后续漏洞利用的方向 —— 比如你知道了目标是 Nginx 某个存在解析漏洞的版本就能直接对症下药知道了服务器开了 3389 端口那 RDP 爆破就可以安排上了。这一篇我们继续基于 Vulhub 本地靶场实操从操作系统识别、端口扫描、中间件探测三个维度把服务器层面的信息收集彻底讲透。⚠️ 合规强制提醒仅允许在自有本地靶场、已获取书面授权的服务器执行端口探测对公网无授权主机扫描、爆破端口违反《网络安全法》存在法律风险。1. 根据 TTL 判断服务器操作系统1.1 判断原理TTLTime To Live生存时间是 IP 数据包中的一个字段表示数据包在网络中最多能经过多少个路由器转发。每经过一台路由器TTL 数值自动减 1减到 0 时数据包会被丢弃防止数据包在网络中无限循环。不同操作系统出厂时预设的初始 TTL 值是固定的我们通过 ping 命令获取返回包的 TTL结合路由跳数就能反向推断服务器的操作系统类型。1.2 主流系统默认初始 TTL 对照表系统类型默认初始 TTLWindows 全系列XP/7/10/Server128Linux / CentOS / Debian / Ubuntu64路由器、防火墙、Unix 设备255判断逻辑本地靶场 / 同网段无跨网段路由跳转返回 TTL 等于初始值直接对应系统公网环境TTL 会有小幅衰减差值在 10~30 跳内仍可判定为对应系统返回 TTL 在 55~64 之间 → Linux返回 TTL 在 100~128 之间 → Windows返回 TTL 在 230~255 之间 → Unix / 网络设备1.3 ping 实操判断打开终端执行 ping 命令ping192.168.200.131返回结果返回 TTL 64匹配 Linux 预设初始值可直接判定靶场服务器为 Linux 系统。Windows 靶场对比示例ping192.168.0.100返回 TTL 128匹配 Windows 预设初始值判定为 Windows 服务器。1.4 识别误区与注意事项TTL 可被修改管理员可以手动修改系统默认 TTL 值用于迷惑攻击者仅靠 ping 判断容易误判必须搭配 Nmap TCP 指纹识别等方法交叉验证容器 / 云服务器Docker 容器、云服务器可能会篡改协议栈特征TTL 判断结果仅作参考防火墙拦截部分服务器防火墙会屏蔽 ICMP 数据包ping 无返回不代表服务器不存活需换用其他方式探测2. 真实IP地址收集2.1 多地区Ping判断CDN工具站长工具https://ping.chinaz.com/操作输入目标域名全国多节点同时解析对比返回IP首先测试第一个域名csdn.net图1/图2csdn.net 所有地区节点统一返回同一IPIP固定无多节点分流**无公共CDN/自有BGP静态节点**解析IP即为服务器真实IP测试第二个域名baidu.com图3/图4baidu.com 多地Ping返回多个不同归属地IP节点分散**确认部署CDN**返回的均为CDN节点IP而非源站真实IP判断结论多地解析出现多个不同IP 存在CDN全部节点返回同一个IP 无公共CDN解析IP大概率为真实服务器IP2.2 绕过CDN获取真实IP2.2.1 查询子域名的IP原理CDN流量收费高很多站长只会给主站或流量大的子站点开CDN小站点、测试站、后台站一般不做CDN而且这些子域名跟主站常在同一台服务器或同一个C段内。操作步骤爆破目标域名的所有子域名批量查询每个子域名的解析IP找到没有走CDN的子域名它的IP大概率就是主站源站IP工具子域名爆破Subfinder、OneForAll批量IP查询站长工具ip.tool.chinaz.com/ipbatch示例百度域名查询主域名www.baidu.com→ 走CDN多地ping返回不同IP子域名xxx.baidu.com→ 可能没走CDN返回固定IP这个子域名的IP很可能就是百度服务器的真实源站IP2.2.2 MX记录邮件服务适用条件网站自己搭建邮件服务器且邮件服务和Web服务在同一台服务器上操作步骤在目标网站触发一次邮件发送注册、找回密码、联系我们等收到邮件后打开原始邮件/邮件源码查找Received、X-Originating-IP、X-Sender-IP字段字段中的公网IP就是邮件服务器IP大概率也是Web源站IP原理如果网站在与web相同的服务器和IP上托管自己的邮件服务器那么原始服务器IP会出现在邮件头中且邮件流量不走CDN。示例QQ邮箱查找IP打开收到的邮件 —点击更多操作—选择显示邮件原文—在邮件头中查找IP信息2.2.3 查询历史DNS记录原理网站不是一上线就接CDN的接入CDN之前域名直接解析到源站IP这些历史解析记录有平台存档。工具ip138、微步在线、SecurityTrails判断方法出现时间早、长期稳定不变的IP地址更可能是真实源站IP。示例IP138查询网站打开ip138.com输入目标域名查看历史解析记录列表找CDN上线前长期使用的那个IP大概率就是真实源站例如这里当前解析和历史解析都是一样的ip那么大概率就是原始IP2.2.4 国外访问原理有些网站的CDN只覆盖国内节点没有部署国外节点国外访问会直接回源到真实服务器。方法用国外节点ping目标域名工具https://ping.sx/ping示例国外访问网站打开ping.sx输入目标域名antvsion.com选择美国、欧洲等国外节点ping如果国外节点返回的IP和国内CDN节点不一样且多个国家返回同一个IP那这个IP大概率就是真实源站IP2.3 同C段旁站资产探测原理同一台服务器或同一机房内网环境中往往部署了多个网站或业务系统它们共享同一个C类网段如192.168.200.x。通过扫描目标IP所在C段的全部存活主机可以发现旁站、备用系统、测试环境等关联资产扩大攻击面。核心价值主站防护严密时旁站往往存在漏洞可通过旁站横向渗透获取同服务器权限进而拿下主站。2.3.1 C段范围计算判断方法取目标IP前三段第四段替换为0/24即为完整C段范围。示例目标IP192.168.200.131对应C段192.168.200.0/24扫描范围192.168.200.1~192.168.200.254共254个主机位快速记忆C段 IP前三段不变最后一段从1扫到2542.3.2 工具介绍御剑高速 TCP 端口扫描工具御剑端口扫描工具是 Windows 平台常用的 C 段扫描工具支持批量端口探测速度快、操作简单适合内网旁站快速排查。界面功能说明区域功能说明开始 IP / 结束 IP输入扫描网段范围C 段扫描填192.168.200.1到192.168.200.254超时 / 秒单个端口响应超时时间默认 1 秒内网可适当调小缓冲区并发扫描线程数数值越大速度越快默认 15000全端口 65535扫描全部 65535 个 TCP 端口耗时久信息最全指定端口仅扫描预置的常用端口速度快推荐日常使用指定端口列表自定义扫描端口支持逗号分隔和范围如80,8080,8090-8100开放端口扫描结果显示区列出所有探测到的开放端口2.3.3 实战Vulhub 靶机C段扫描以目标192.168.200.131为例演示完整 C 段扫描流程步骤一填写扫描范围开始 IP192.168.200.1结束 IP192.168.200.254步骤二选择扫描模式日常快速排查勾选【指定端口】使用默认端口列表全面资产探测勾选【全端口 65535】耗时较长但无遗漏步骤三调整参数可选内网环境超时设为1秒缓冲区保持默认公网环境超时设为2-3秒避免漏报步骤四开始扫描点击【扫描】按钮底部状态栏实时显示速度 / 每秒当前扫描速率完成进度已扫描 IP 占比扫描耗时已用时间扫描结果已发现的开放端口数量步骤五查看结果扫描完成后在【开放端口】区域查看所有存活主机及其开放端口逐一排查旁站业务。结果解读192.168.200.1网关 / 宿主机开放端口135、139、445、3389端口特征Windows 系统典型端口SMB、远程桌面判断为 VMware 虚拟网卡网关或 Windows 宿主机其他存活 IP同网段内存在多台虚拟机主机需逐一访问对应端口确认业务类型与旁站关联性扫描效率说明指定端口模式下扫完整个 C 段仅需 2 秒左右适合快速资产探测全端口模式耗时较长适合深度排查。2.3.4 旁站识别方法发现同C段存活IP后判断是否为旁站的三种方法方法一HTTP 访问验证直接在浏览器访问存活IP的80/443端口查看网站内容是否与目标站点相关。方法二反向IP查询使用站长工具、微步在线等平台查询IP对应的绑定域名判断是否为同一公司/组织的业务。方法三端口服务对比对存活IP进行端口扫描对比开放端口与服务版本判断是否为同一套环境模板。2.3.5 注意事项与误区C段不等于同服务器同C段可能是同一机房不同服务器也可能是不同租户需进一步验证关联性CDN场景失效目标走CDN时拿到的是CDN节点IP其C段均为CDN集群无旁站价值法律合规边界未经授权扫描公网C段属于网络探测行为可能违反法律法规仅限授权测试或本地靶场练习内网优先使用C段探测在内网渗透中价值最高可快速横向定位域内主机与业务系统本章所有演示均基于本地 Vulhub 靶场环境仅限安全研究与学习使用请勿用于未授权的真实环境测试。3. 端口信息收集完成站点应用层信息收集后需要下沉至服务器基础设施层通过端口扫描获取主机开放服务、操作系统、中间件真实版本等底层信息。3.1 端口扫描基础概念3.1.1 核心原理基于TCP/UDP协议向目标主机不同端口发送探测数据包根据主机返回报文判断端口状态进一步识别端口上运行的服务程序、版本、漏洞特征。渗透测试高频常用端口对照表1Web类端口网站服务渗透核心入口Web 端口是渗透测试的首要目标数量多、漏洞类型丰富建议先扫出所有 Web 端口再结合上一章的指纹识别和目录扫描逐个深入测试。非常规端口如 8090、9000往往是管理后台容易被忽略但价值很高。端口服务渗透利用点80HTTP普通网页指纹识别、目录爆破、SQL注入、XSS、文件上传443HTTPS加密网页SSL漏洞、证书信息泄露、同80所有Web漏洞8080Tomcat/代理/备用WebTomcat后台弱口令、war包上传、管理页面未授权访问8000/8008Python、Node、小程序后台源码泄露、调试接口暴露、未授权API8090/9000后台管理、面板服务各类国产建站面板、后台登录弱口令81IIS备用站点、小型管理后台二级站点、备份页面泄露7001/7002WebLogic大量远程命令执行CVE、未授权访问8069JBoss反序列化漏洞、后台部署后门10000Webmin虚拟主机面板弱口令、远程代码执行漏洞2远程管理类端口可直接登录服务器高危远程管理端口是直通服务器的高危入口一旦拿到账号密码可以直接控制整台服务器是渗透测试的高价值目标。弱口令是最常见的突破口很多测试环境和开发服务器为了方便会使用root/123456、admin/admin这类简单密码。端口服务渗透利用点22SSHLinux远程登录弱口令爆破、密钥泄露、SSH后门3389RDP Windows远程桌面弱口令、爆破、永恒之蓝衍生漏洞5900~5905VNC图形化远程桌面无密码访问、弱口令爆破23Telnet明文传输账号密码明文抓取、弱口令3数据库端口窃取全站数据高价值数据库端口是数据泄露的重灾区拿到数据库权限基本等于拿下全站数据。其中 Redis、MongoDB、Memcached 这几款服务默认安装经常没有设置密码未授权访问问题非常普遍遇到了优先测试。端口服务渗透利用点3306MySQL/MariaDB弱口令、未授权访问、脱库、写入Web后门1433MSSQL SQL ServerSA弱口令、xp_cmdshell提权、数据库注入5432PostgreSQL弱口令、高权限命令执行、文件读取6379Redis缓存未授权访问、写入定时任务/SSH密钥、写Webshell27017MongoDB无密码访问、整库下载、数据泄露11211Memcached未授权读取缓存、反射DDOS、信息泄露4文件传输共享端口文件传输和共享端口常被管理员忽视匿名登录、弱口令、共享权限配置不当都可能导致源码泄露或直接上传后门文件。445 端口的 SMB 服务更是内网渗透的明星端口永恒之蓝等经典漏洞至今仍能在很多内网机器上打通。端口服务渗透利用点21FTP文件传输匿名登录、弱口令、上传Web木马、目录遍历22SFTP同SSH端口密钥泄露、上传后门文件445SMB文件共享Windows永恒之蓝EternalBlue、共享目录泄露、本地提权139NetBIOS共享服务读取共享文件、主机信息探测、内网横向移动5中间件/消息队列高危端口中间件和消息队列端口近年爆出大量 RCE远程代码执行漏洞而且很多企业对内网服务缺乏防护意识往往不设密码或使用默认密码是内网渗透的重要突破口。遇到不熟悉的端口先查一下对应服务有没有公开 CVE。端口服务渗透利用点8005Tomcat关闭端口可发送指令关闭服务配合文件上传拿权限9090ActiveMQ消息队列未授权访问、远程代码执行、写入后门2181Zookeeper未授权读取配置、内网服务探测5672RabbitMQ弱口令、未授权操控队列6运维面板、监控服务端口运维面板和监控服务通常权限很高一旦被攻破可以直接管理服务器或读取大量敏感日志。这类服务很多是管理员临时搭的密码设置简单、版本更新不及时弱口令和未授权访问是最常见的问题。端口服务渗透利用点3308phpMyAdmin数据库管理数据库弱口令、SQL执行、导出导入数据9200Elasticsearch未授权读取日志、命令执行、数据泄露15672RabbitMQ管理面板后台弱口令、未授权操作8088宝塔Linux面板面板弱口令、数据库一键登录、服务器接管7内网探测辅助端口信息收集这类端口虽然不能直接拿权限但能收集大量内网资产和配置信息是内网信息收集和横向移动的重要辅助。比如 SNMP 可能直接吐出服务器的完整进程列表和用户信息LDAP 可以枚举整个域的所有账号。端口服务渗透利用点161SNMP设备监控读取服务器硬件、账号、进程、内网资产53DNS服务域传送漏洞、子域名爆破、解析欺骗389LDAP域服务域账号枚举、弱口令爆破、域信息泄露端口扫描实操建议扫描优先级先扫80/443/8080等Web端口再扫数据库、远程登录高危端口内网靶场常用全量端口合集21,22,23,80,139,443,445,3306,3389,6379,8080,9000,7001防护思路生产环境关闭不必要端口、限制端口访问IP、设置高强度密码、禁用匿名访问。3.1.2 端口状态分类端口状态含义渗透价值open开放端口监听服务可正常建立连接核心测试目标可探测服务漏洞、弱口令、后台入口filtered过滤防火墙/WAF拦截探测包无返回目标存在防护设备需调整扫描参数、更换扫描模式closed关闭端口无程序监听收到拒绝报文无利用价值可直接忽略unfiltered未过滤数据包可达主机但无法判断端口开闭仅作参考更换探测方式重新扫描3.1.3 端口扫描能获取的关键信息开放端口清单80/443网站、22 SSH远程登录、3306 MySQL数据库、3389 Windows远程桌面等端口绑定服务Nginx、Apache、Tomcat、Mysql、Redis、FTP等服务版本号用于匹配对应CVE公开漏洞操作系统识别通过TCP指纹区分Windows/Linux额外信息服务banner、登录欢迎语、数据库注释、敏感路径。3.2 主流扫描工具NmapNmapNetwork Mapper是行业标准的端口扫描工具广泛应用于网络安全审计、渗透测试与资产探测。它支持主机存活探测、端口扫描、服务版本识别、操作系统指纹识别、漏洞脚本扫描等核心功能是渗透测试信息收集阶段的必备工具。本章节统一使用本地 Vulhub 靶机演示目标 IP192.168.200.131。3.2.1 工具下载与安装官方下载地址https://nmap.org/Nmap 提供全平台支持各系统安装方式如下平台安装方式Windows官网下载nmap-7.99-setup.exe一键安装自带图形界面 ZenmapKali Linux系统预装直接使用macOSbrew install nmap注意Windows 版安装时会自动安装 Npcap 抓包驱动这是 Nmap 正常工作的底层依赖。若安装后扫描无响应需确认 Npcap 驱动正常运行。3.2.2 图形界面 Zenmap 介绍Zenmap 是 Nmap 官方的图形化前端将常用扫描功能封装为可视化模板适合初学者快速上手。界面布局界面主要分为三个区域1. 顶部参数区Target目标输入框支持单个 IP、网段、域名Profile扫描模板下拉框内置多种预设扫描策略Command自动生成的 Nmap 命令可手动编辑Scan / Cancel开始 / 终止扫描按钮2. 左侧主机列表显示已扫描的目标主机绿色圆点表示主机存活3.标签页标签页功能说明Nmap Output原始扫描日志完整输出扫描过程Ports / Hosts端口与服务列表结构化展示Topology网络拓扑结构图Host Details主机详细信息含操作系统、设备类型等Scans历史扫描记录管理下拉框里全部是官方提前写好的固定扫描参数方案只能直接选用不能在这里修改参数。模板名称核心作用适用场景Intense scan深度综合扫描-T4 -A -v常规渗透测试信息最全你当前使用Intense scan plus UDP深度扫描 UDP 端口探测扫描 DNS、SNMP 等 UDP 服务Intense scan, all TCP ports深度扫描 全 TCP 端口1-65535内网全面资产排查耗时久Intense scan, no ping不存活检测直接扫描加-Pn目标防火墙拦截 ping 包Ping scan仅存活主机探测-sn快速扫网段不查端口Quick scan快速常用端口扫描-T4 -F快速验证目标节省时间Quick scan plus快速扫描 版本识别兼顾速度与基础服务信息Quick traceroute仅路由追踪查看网络跳转链路Regular scanNmap 默认最简扫描新手基础测试Slow comprehensive scan极慢、隐蔽全面扫描绕过严格防火墙实战极少用3.2.3 常用扫描模板Zenmap 内置多种扫描模板对应不同的 Nmap 参数组合模板名称对应命令适用场景Intense scannmap -T4 -A -v深度全面扫描端口系统脚本Quick scannmap -T4 -F快速扫描仅扫常用端口Ping scannmap -sn仅存活探测不扫端口Intense scan, no pingnmap -T4 -A -v -Pn绕过防火墙禁 pingRegular scannmap默认常规扫描核心参数说明-T4扫描速度档位T1 最慢最隐蔽T5 最快最容易被检测-A综合扫描包含操作系统识别、版本探测、路由追踪、默认脚本扫描-v详细输出模式实时显示扫描进度-sn仅 ping 扫描跳过端口探测-Pn跳过主机存活检测直接扫描端口3.2.4 实战Vulhub 靶机深度扫描以 Vulhub ThinkPHP 靶机为例演示完整扫描流程。步骤一配置扫描参数在 Target 输入目标 IPProfile 选择Intense scan深度扫描点击Scan按钮开始扫描。步骤二查看扫描日志扫描过程中切换到Nmap Output标签可实时查看扫描进度日志输出包含主机存活检测结果端口扫描进度服务版本探测HTTP 指纹识别脚本扫描结果最终统计信息步骤三查看端口结果扫描完成后切换到Ports / Hosts标签查看结构化端口列表扫描结果整理如下端口状态服务版本22/tcpopensshOpenSSH 10.3p1 Debian 480/tcpopenhttpApache httpd 2.4.68 (Debian)8080/tcpopenhttpApache httpd 2.4.38 (Debian)结果解读22 端口 SSH可尝试弱口令爆破或密钥泄露攻击80 端口 HTTPApache 默认页面可进一步目录扫描8080 端口 HTTPThinkPHP 漏洞靶场主页面为后续渗透重点目标3.2.5 扫描结果深度分析从完整扫描日志中可提取更多渗透关键信息1. 操作系统识别OS details: Linux5.4-6.6OS CPE: cpe:/o:linux:linux\_kernel:5目标运行 Linux 内核版本范围 5.4 至 6.6符合 Vulhub Docker 容器特征。2. HTTP 服务指纹http-server-header: Apache/2.4.38(Debian)http-title: 首页 - ThinkPHP V5.0确认 8080 端口运行 ThinkPHP 5.0 框架可针对性测试 ThinkPHP 相关漏洞如 5.0.23 RCE。3. 扫描统计Nmap done:1IP address(1hostup)scannedin20.68seconds单台主机深度扫描耗时约 20 秒效率较高。3.2.6 进阶自定义扫描命令除内置模板外可直接在 Command 框输入自定义参数满足特定场景需求。场景一指定端口扫描仅扫描 Web 相关端口加快速度nmap-T4-p80,443,8080,8081-v192.168.200.131场景二全端口扫描扫描 1-65535 全部端口确保无遗漏nmap-T4-p--v192.168.200.131场景三漏洞脚本扫描使用 Nmap 脚本引擎NSE探测常见漏洞nmap-T4--scriptvuln-v192.168.200.131场景四绕过防火墙目标禁 ping 时跳过存活检测直接扫描nmap-T4-A-Pn-v192.168.200.1313.2.7 小结Nmap 是信息收集阶段的核心工具掌握以下要点即可满足大部分渗透场景Zenmap 图形化操作适合快速扫描与结果可视化Intense scan 模板日常渗透首选兼顾速度与信息完整度端口服务版本三位一体为后续漏洞利用提供精准目标自定义参数根据目标环境灵活调整扫描策略完成 Nmap 端口扫描后通常需结合目录扫描工具如 dirsearch进一步探测 Web 应用路径为漏洞验证做准备。总结本章系统讲解了网络层信息收集的三大核心模块TTL 操作系统识别、CDN 绕过与真实 IP 获取、Nmap 全端口深度扫描。通过 C 段旁站探测与端口服务识别可全面掌握目标网络资产分布为后续漏洞利用提供精准攻击面。完成网络层探测后下一阶段将进入 Web 应用层深入指纹识别、目录扫描与 WAF 绕过等内容。⚠️声明本文所有技术内容均基于本地 Vulhub 靶场环境演示仅限网络安全研究与学习交流使用。网络安全关乎公共利益未经授权对真实目标进行端口扫描、资产探测、漏洞测试等行为均属于违法行为请严格遵守《中华人民共和国网络安全法》等相关法律法规。本文作者不对任何人因使用上述技术造成的任何后果承担法律责任。大家在信息收集阶段最常用的工具组合是什么欢迎在评论区分享你的信息收集工作流比如你习惯用 Nmap 还是 Masscan 做端口扫描绕过 CDN 你有什么独门技巧C 段旁站发现过哪些有意思的资产