nmap 扫描出某网段内web服务器

今天碰到一个问题，客户要求在他们内网中扫描出所有web服务器，然后再对web进行渗透测试，共两个网段。

以前我记得用nmap时曾得到过某地址的web服务器数据，比如显示是IIS或apach，但忘了具体命令；

我猜测是使用-O参数，结果不是，这个参数是显示了操作系统的版本，而没有web服务软件的信息，

于是想利用web服务软件的进程端口，我们知道，一般web服务默认为80端口，so,果断尝试用它先来测试一个已知的网站地址：nmap -sV -p 80 -T4  ip ；

结果没让我失望； 可以，那就使用它：nmap -sV -p 80 -T4   xxx.xxx.0.0/16 yyy.yyy.0.0/16  -oA   /root/Desktop/web

后来查看nmap高级使用，有一条是说如何扫web服务器，在我刚才的命令后面加了一个参数：--script，这个参数可以使用脚本（可以完成Web基本的信息探测：服务器版本、支持的Method、是否包含典型漏洞。目前Nmap中对Web的支持主要通过Lua脚本来实现，NSE脚本库中共有50多个HTTP相关的脚本。具体见：http://www.91ri.org/4105.html），这里具体命令为nmap -sV -p 80 -T4 --script http*,default  ip; 或  nmap -sV -p 80 -T4 --sC  ip;

我也用这个测试了一下，效果可以，可以看到报文信息（这就可以做其他事了），但耗时太久，这个客户不会乐意的。

（这个参数还有很多用处，关于这个参数的使用方法具体见http://nmap.org/book/nse-usage.html，freebuf上也有人简短介绍过：http://www.freebuf.com/tools/11717.html，有些使用例子，如暴力破解用户名密码，枚举某个字段等，http://blog.sina.com.cn/s/blog_62347f3c01019rvq.html，）

这个命令在外网环境中查找web服务器是很有用的，(据说nmap的创始人就是用类似的来搜寻、统计全球web服务器)，尤其在大陆，毕竟电信把80端口给禁用了，只留给申请网站时开启（把80端口屏蔽，要开网站得备案且只能用80端口，某些地方电信可能还屏蔽其他端口如：8080等等，据说是为了防止私自假设服务器，这也许是一个原因，但对于这些命令的根源“

不惮以最大的恶意来揣测

”），

但有个问题是：假如只在内网使用，如OA办公用的web服务器没有使用80默认端口，那怎么办，测所有端口？这个工作量太大了，以客户两个/16掩码的地址来说，

我估计得long long after,这个不行啊，不知道大家还有没什么高招？