Recon-Tooling — Operator-Referenz.
nmap-Scan-Templates nach Ziel, transformgetriebene Entity-Discovery in Maltego und die Timing-vs-Stealth-Trade-offs, die entscheiden, wann was eingesetzt wird.
nmap — Scan-Templates nach Ziel
- Breite (Live-Hosts im /24 finden).
nmap -sn -PE -PP -PS80,443,22 -PA80,443 10.0.0.0/24. ICMP-Echo + Timestamp + TCP-SYN + TCP-ACK-Probes, um Host-Level-Firewalls zu schlagen, die einen droppen. - Tiefe (volle TCP-Enumeration auf einem Ziel).
nmap -p- -sS -sV -sC --min-rate=1000 -oN out.txt target. Alle 65535 Ports, Syn-Scan, Version-Detection, Default-Scripts. 10–20 min pro Ziel einkalkulieren. - Stealth (überwachtes Netz angenommen).
nmap -sS -T2 -f --data-length 24 --top-ports 100 target. Slow Timing, Fragmentierung, randomisierte Payload-Länge, Top-100-Ports. - Version-Pinning eines Dienstes.
nmap -sV --version-intensity 9 -p 443 target. Erzwingt jede Probe, nützlich wenn Default-Version-Detection "tcpwrapped" oder leer zurückgibt. - NSE für einen spezifischen Dienst.
nmap --script "smb-vuln*" -p 445 target(oderhttp-*,ssl-*,ldap-*). NSE-Kategorien filtern — niemals--script allgegen Produktion. - UDP, wenn nötig.
nmap -sU --top-ports 30 -T4 target. UDP ist langsam und unzuverlässig; auf bekannt interessante Ports scopen (53, 161, 500, 4500, 5353).
nmap-Rezepte pro Phase
- Initiale Recon.
masscan -p1-65535 --rate 10000um offene Ports zu finden, dannnmap -sV -sCgegen das gefundene Set. Zwei-Stufen-Scan spart Stunden. - Authentifizierter Kontext (Post-Foothold).
nmap -sn 10.0.0.0/8für Nachbar-Segment-Discovery. Vom Pivot-Host laufen lassen, nicht extern. Nur ICMP um leise zu bleiben. - Post-Exploitation-Enum.
nmap --script smb-enum-shares,smb-enum-users --script-args smbusername=u,smbpassword=p target. Authentifiziertes NSE liefert Enumeration, die anonyme Scans verpassen.
Maltego — Transform-Ketten
- Personen → Infrastruktur. Domain → DNS-A-Records → IP → ASN → alle anderen Domains in dem ASN. Deckt versteckte Zweitmarken- und Akquise-Assets auf.
- Personen → Social Graph. Name → LinkedIn-Profil → Kollegen → E-Mails (via Hunter/Apollo-Transform) → Password-Spray-Kandidatenliste.
- E-Mail → Breach-Data. E-Mail → HaveIBeenPwned-Breach-Liste → Passwort-Muster aus öffentlichen Dumps (nur im juristischen Scope). Kritisch für Password-Spray-Realismus.
- Infrastruktur → Certificate-Transparency. Domain → CT-Log-Einträge → alle historischen Certs → alle je ausgestellten Subdomains. Fängt Assets, die DNS-Bruteforce verpasst.
Kurationsdisziplin
- Triage vor Report. Maltego-Graphen wachsen unbegrenzt; das Deliverable ist der getrimmte Subgraph, der einen konkreten Befund stützt, nicht der Roh-Output.
- Konfidenz pro Entity. Geraten vs. bestätigt im Node-Metadata markieren. Ohne das können Reviewer später Fakt von Inferenz nicht trennen.
- Vor jeder Engagement-Phase neu laufen. Recon-Outputs altern schnell. CT-Logs von letzter Woche verpassen diese Woche neue Certs.
FaustregelWenn ein nmap-Scan länger dauert als budgetiert, abbrechen und mit
--top-ports zuerst laufen. Du kannst immer tiefer gehen, nachdem du den Top-Port-Output gesehen hast. Lange Blind-Full-Port-Scans verbrennen Detektionszeit ohne neue Information zu liefern.Verwandte Notizen in dieser Domain
- Featured Umfassende Pentest-Referenz
- Featured Pentest-Methodik — kanonische Referenz
- Featured Advanced Pentest & Red Team
- Featured Recon & Discovery
- Featured Web Server — Angriff & Verteidigung
- Featured Active Directory Pentest
- Featured Internal Pivoting & Lateral Movement
- Referenz Operator-Toolkits — Katalog & Referenz
- Referenz Automatisierung vs. manuelles Testing
- Background Social Engineering & Phishing
- Background Pentester-Grundlagen & CTF-Praxis
Von der Referenz zum Befund