Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Мало скан от masscan (https://forum.antichat.xyz/showthread.php?t=463457)

Alisa99 15.06.2018 14:39
Привет...люди.

Что происходит а? Использую masscan для поиска открытых портов 3389 а их так мало находит. Ну судите сами:

Аргентина где 19271680 hosts всего 3 хоста нашел. Казахстан где 277504 hosts тоже 3. Украина вообще ниодного. Как же так? Знаю, знаю что порт заезжен но не могут же все админы быть такими чуткими к вопросам собственной безопасности. Где все расп***дяи?? Куда ушли или уехали может? Может их на луну перед ЧМФ отправили как тех инвалидов после войны. В общем ребята творится что то невообразимое...наверно.

Может быть я где то не права или делаю что нибудь не так. Вы бы подсказали а. Вот команда в терминале которую я использую:

# masscan -iL tm.zone -p3389 --open-only --rate=500

Где "tm.zone" это файл с диапазонами IP. C rate тоже пробовала разное скорость стабильна можно и до 5000 поставить но я не спешу и тщательно все осматриваю чтобы не пропустить заветный 3389.

Сканю через vps+tor. Использую linux. Пробовала так же через vpngate сканить. Результаты примерно такие же..плачевные.

В общем как вы считаете это нормальный результат для этого порта или в качестве скана может быть дело или в прямоте моих руках что то? Вообще хотелось бы побольше узнать о последних тенденциях в мире по добыче дедиков. Киньте ссылку на статейку или сами черканите. Большинство статей на форуме читала, они довольно старые...однотипные и у меня после их чтения создается ощущение школьника который прибежал в класс а все уже уехали в поход на автобусе не подождав и будут там бухать, есть шашлыки и веселиься без него. А он будет дома сидеть с бабкой.

В общем опыта у меня мало. Буду рада если найдется принц на белом коне который научит, подскажет.

Dark~Angel 15.06.2018 15:03
Цитата:
Сообщение от Alisa99
Alisa99 said:

Привет...люди.
Что происходит а? Использую masscan для поиска открытых портов 3389 а их так мало находит. Ну судите сами:
Аргентина где 19271680 hosts всего 3 хоста нашел. Казахстан где 277504 hosts тоже 3. Украина вообще ниодного. Как же так? Знаю, знаю что порт заезжен но не могут же все админы быть такими чуткими к вопросам собственной безопасности. Где все расп***дяи?? Куда ушли или уехали может? Может их на луну перед ЧМФ отправили как тех инвалидов после войны. В общем ребята творится что то невообразимое...наверно.
Может быть я где то не права или делаю что нибудь не так. Вы бы подсказали а. Вот команда в терминале которую я использую:
# masscan -iL tm.zone -p3389 --open-only --rate=500
Где "tm.zone" это файл с диапазонами IP. C rate тоже пробовала разное скорость стабильна можно и до 5000 поставить но я не спешу и тщательно все осматриваю чтобы не пропустить заветный 3389.
Сканю через vps+tor. Использую linux. Пробовала так же через vpngate сканить. Результаты примерно такие же..плачевные.
В общем как вы считаете это нормальный результат для этого порта или в качестве скана может быть дело или в прямоте моих руках что то? Вообще хотелось бы побольше узнать о последних тенденциях в мире по добыче дедиков. Киньте ссылку на статейку или сами черканите. Большинство статей на форуме читала, они довольно старые...однотипные и у меня после их чтения создается ощущение школьника который прибежал в класс а все уже уехали в поход на автобусе не подождав и будут там бухать, есть шашлыки и веселиься без него. А он будет дома сидеть с бабкой.
В общем опыта у меня мало. Буду рада если найдется принц на белом коне который научит, подскажет.
Попробуй в качестве эксперимента укажи 80 порт и посмотри на результат.

Alisa99 16.06.2018 09:17
Цитата:
Сообщение от Dark~Angel
Dark~Angel said:

Попробуй в качестве эксперимента укажи 80 порт и посмотри на результат.
Попробовала 2 раза просканила одну страну ради интереса. Команда:

# masscan -iL uz.zone -p80 --open-only --rate=500

В первый раз сканер нашел 3 хоста. Вот выхлоп:

open tcp 80 84.54.97.88 1529125139

open tcp 80 83.69.129.8 1529125147

open tcp 80 185.211.129.17 1529125242

Во второй - 2 хоста. И совсем других к тому же.

open tcp 80 62.209.159.162 1529125757

open tcp 80 91.203.175.242 1529125760

Не коректный скан да?! Что делать?

Dark~Angel 16.06.2018 11:08
Цитата:
Сообщение от Alisa99
Alisa99 said:

Попробовала 2 раза просканила одну страну ради интереса. Команда:
# masscan -iL uz.zone -p80 --open-only --rate=500
В первый раз сканер нашел 3 хоста. Вот выхлоп:
open tcp 80 84.54.97.88 1529125139
open tcp 80 83.69.129.8 1529125147
open tcp 80 185.211.129.17 1529125242
Во второй - 2 хоста. И совсем других к тому же.
open tcp 80 62.209.159.162 1529125757
open tcp 80 91.203.175.242 1529125760
Не коректный скан да?! Что делать?
Софт откуда брал?

devton 16.06.2018 11:24
бля сообщение мое потерли, но суть-то

Цитата:
Сообщение от Alisa99
Alisa99 said:

Сканю через vps+tor.
это же пездец )) и причина неудачного скана

подключись к какому-нибудь деду по рдп через тор и с деда скань

Alisa99 16.06.2018 11:31
Цитата:
Сообщение от Dark~Angel
Dark~Angel said:

Софт откуда брал?
Если вы про сам masscan то брала его из официального репозитория. А если про диапазоны то с сайта http://www.ipdeny.com/ipblocks/. Я пробовала и другие вставлять и в ручную прописывать. все одно

Цитата:
Сообщение от devton
devton said:

это же пездец )) и причина неудачного скана
А где об этом написано, что так делать нельзя? Я встречала статьи где напрямую рекомендуют использовать тор при сканировании. Нигде не написано что скан некачественным будет. Или я ошибаюсь?

Цитата:
Сообщение от devton
devton said:

подключись к какому-нибудь деду по рдп через тор и с деда скань
Его для начала надо найти и добыть.

Dark~Angel 16.06.2018 11:58
Ты сам через НАТ, модем, или напрямик в сеть лазишь ?

Alisa99 16.06.2018 12:11
Цитата:
Сообщение от Dark~Angel
Dark~Angel said:

Ты сам через НАТ, модем, или напрямик в сеть лазишь ?
Через роутер с ноута подключаюсь, а роутер уже на vps идет а уже там тор работает

Dark~Angel 16.06.2018 12:22
Цитата:
Сообщение от Alisa99
Alisa99 said:

Через роутер с ноута подключаюсь, а роутер уже на vps идет а уже там тор работает
Попробуй ради теста проскань любой диапазон на 80 порт. Без аномайзеров ( не сцы , ФБР не сидит за окном) и посмотри как будет.

Alisa99 16.06.2018 12:36
Цитата:
Сообщение от Dark~Angel
Dark~Angel said:

Попробуй ради теста проскань любой диапазон на 80 порт. Без аномайзеров ( не сцы , ФБР не сидит за окном) и посмотри как будет.
Сделала. Просканила те же диапазоны со своего IPишника. Результаты вот:

$ sudo masscan -iL uz.zone -p80 --open-only --rate=1000

Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2018-06-16 08:28:38 GMT

-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth

Initiating SYN Stealth Scan

Scanning 234496 hosts [1 port/host]

Discovered open port 80/tcp on 89.146.96.17

Discovered open port 80/tcp on 84.54.96.17

Discovered open port 80/tcp on 185.74.4.136

Discovered open port 80/tcp on 185.74.4.216

Discovered open port 80/tcp on 94.158.52.216

Как видно чуть больше получилось. Похоже проблема в самом masscanе и vps+tor тут не причем. У меня arch, masscan устанавливала из репов blackarch. Похоже ему чего то не хватает для корректной работы. Только вот чего?

Dark~Angel 16.06.2018 12:38
Цитата:
Сообщение от Alisa99
Alisa99 said:

Сделала. Просканила те же диапазоны со своего IPишника. Результаты вот:
$ sudo masscan -iL uz.zone -p80 --open-only --rate=1000
Starting masscan 1.0.4 (
http://bit.ly/14GZzcT
) at 2018-06-16 08:28:38 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 234496 hosts [1 port/host]
Discovered open port 80/tcp on 89.146.96.17
Discovered open port 80/tcp on 84.54.96.17
Discovered open port 80/tcp on 185.74.4.136
Discovered open port 80/tcp on 185.74.4.216
Discovered open port 80/tcp on 94.158.52.216
Как видно чуть больше получилось. Похоже проблема в самом masscanе и vps+tor тут не причем. У меня arch, masscan устанавливала из репов blackarch. Похоже ему чего то не хватает для корректной работы. Только вот чего?
Попробуй тот-же диапазон только в нмапе ) Да и масскан из исходников надо собирать

На99% уверен что софт корявый. Собирай из соурсов, это самый верный путь. Новички и скрипткиди, запомните, готовый софт это зло. Как правило он либо не рабочий , либо он с заразой! Третьего тупо не дано.

Alisa99 16.06.2018 12:48
Щас все пересоберу и попробую а так же с nmap. Отпишусь позже

devton 16.06.2018 13:59
Цитата:
Сообщение от Alisa99
Alisa99 said:

Похоже ему чего то не хватает для корректной работы. Только вот чего?
-таймаута

-сильно уменьшенного TIME_WAIT на сканирующем компе...секунд до 20

-памяти (многопоточное оно?)

и через ТОР сканить точно не вариант...хуевый вариант

Alisa99 16.06.2018 14:46
Собрала masscan как посоветовали из исходников. В арче к сожалению не поняла как его собрать поэтому собрала в ubuntu. В общем результаты такие же сканила хосты на 80 порт. Нашел только несколько.

На счет nmap. Запустила командой:

$ sudo nmap -p 3389 217.168.179.0/24 > nmap.result.txt

Выдал огромное количество открытых портов вида:

Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-16 10:39 UTC

Nmap scan report for 217.168.179.0

Host is up (0.038s latency).

PORT STATE SERVICE

3389/tcp open ms-wbt-server

Nmap scan report for 217.168.179.1

Host is up (0.040s latency).

PORT STATE SERVICE

3389/tcp open ms-wbt-server

Nmap scan report for 217.168.179.2

Host is up (0.052s latency).

PORT STATE SERVICE

3389/tcp open ms-wbt-server

Nmap scan report for 217.168.179.5

Host is up (0.052s latency).

PORT STATE SERVICE

3389/tcp open ms-wbt-server

-------------------

Листинг не удобный но главное в том что nmap корректно работает а вот masscan почему то тупит.

Мне нужен masscan потому что он быстрее и вывод у него удобнее. Есть еще варианты в чем может быть дело? Прога собрана со всеми зависимостями и ошибки в репозиториях маловероятны.

Но что то идет не так и оне не работает как надо.

Alisa99 16.06.2018 14:58
Цитата:
Сообщение от devton
devton said:

-таймаута
-сильно уменьшенного TIME_WAIT на сканирующем компе...секунд до 20
-памяти (многопоточное оно?)
не поняла. "TIME_WAIT" - это опция "--rate"?? Если да, то пробовала по умолчанию ставить (там rate=100). Все тоже самое получалось.

devton 16.06.2018 15:11
Цитата:
Сообщение от Alisa99
Alisa99 said:

не поняла. "TIME_WAIT" - это опция "--rate"?? Если да, то пробовала по умолчанию ставить (там rate=100). Все тоже самое получалось.
TIME_WAIT это параметр в настройках ТСР\IP-стэка компьютера, не в утилите

я б на твоем месте *** поклал и пользовался как весь мир нмапом

от "неудобного листинга" избавлялся бы перенаправлением в grep

ну и не скнить через ТОР )) это как сердце через анус оперировть

BabaDook 16.06.2018 17:32
Цитата:
Сообщение от Alisa99
Alisa99 said:

Сделала. Просканила те же диапазоны со своего IPишника. Результаты вот:
$ sudo masscan -iL uz.zone -p80 --open-only --rate=1000
Starting masscan 1.0.4 (
http://bit.ly/14GZzcT
) at 2018-06-16 08:28:38 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 234496 hosts [1 port/host]
Discovered open port 80/tcp on 89.146.96.17
Discovered open port 80/tcp on 84.54.96.17
Discovered open port 80/tcp on 185.74.4.136
Discovered open port 80/tcp on 185.74.4.216
Discovered open port 80/tcp on 94.158.52.216
Как видно чуть больше получилось. Похоже проблема в самом masscanе и vps+tor тут не причем. У меня arch, masscan устанавливала из репов blackarch. Похоже ему чего то не хватает для корректной работы. Только вот чего?
Вообще странно, должно быть всё оке, попробуйте убрать

--open-only --rate=1000

апдейт. Я прочитал ваш первый поста. Причина в том что у вас очень плохой интернет. вам нужен хороший интернет.

Alisa99 16.06.2018 17:42
Цитата:
Сообщение от devton
devton said:

ну и не скнить через ТОР )) это как сердце через анус оперировть
А как еще можно если других вариантов нет. Уж лучше так чем никак. Найду дед тогда попробую как советуешь. Хотя судя по nmap скан прекрасно идет и через tor.

Цитата:
Сообщение от BabaDook
BabaDook said:

апдейт. Я прочитал ваш первый поста. Причина в том что у вас очень плохой интернет. вам нужен хороший интернет.
)) как вы это поняли?? Что значит "плохой интернет"?? Я пробовала и через другую точку подключатся. Результат тот же хотя у соседа тариф с моим не сравнить.

BabaDook 16.06.2018 17:51
Цитата:
Сообщение от Alisa99
Alisa99 said:

)) как вы это поняли?? Что значит "плохой интернет"?? Я пробовала и через другую точку подключатся. Результат тот же хотя у соседа тариф с моим не сравнить.
Сканю через vps+tor. Использую linux

Alisa99 16.06.2018 19:06
Цитата:
Сообщение от BabaDook
BabaDook said:

Сканю через vps+tor. Использую linux
енто не ответ. Где написано что через тор сканить нельзя?

-------------------

Свою проблему решила. Ключ здесь https://github.com/robertdavidgraham/masscan/issues/220.

Нужно было явно прописать интерфейс tun0 с которым общался vpn. В моем случае это выглядело вот так:

Код:
Code:
sudo masscan 217.168.184.0/23 -p3389 --open-only --rate=1000 --output-format list -oL scanGood -e tun0
И вот результат:

Код:
Code:
open tcp 3389 217.168.184.128 1529160337
open tcp 3389 217.168.185.211 1529160337
open tcp 3389 217.168.185.51 1529160337
open tcp 3389 217.168.185.169 1529160337
open tcp 3389 217.168.184.89 1529160337
open tcp 3389 217.168.185.144 1529160337
open tcp 3389 217.168.185.210 1529160337
open tcp 3389 217.168.185.18 1529160337
Всего около 500 хостов нашел И ОЧЕНЬ БЫСТРО нашел не смотря на vps+tor.

Перепроверила результаты в nmap. Проверка показала корректность скана. Все сходится.

--------------------

P.S.Спасибо всем кто откликнулся

devton 17.06.2018 10:36
Цитата:
Сообщение от Alisa99
Alisa99 said:

Всего около 500 хостов нашел И ОЧЕНЬ БЫСТРО нашел не смотря на vps+tor
за скоко секунд 500 хостов отсканились чз ТОР?

п.с. кто сканит через ТОР, тот будет гореть в аду

Kevin Shindel 17.06.2018 14:27
На кой хрен через тор сканить?

Проще через левую точку / деда... Скорость и результат намного ярче.


Время: 01:21