基本扫描
# 基本快速扫描, 默认发送 一个 ARP 的 ping 数据包,探测目标主机在 1-10000 范围内开放的所有端口nmap IP# 快速扫描多个目标nmap IP1 IP2....# 详细描述输出扫描, 简单扫描,并对返回的结果详细描述输出nmap [ -v | -vv ] IP# 指定端口和范围扫描nmap -p [port, port...] IP# 扫描除某一个 IP 外的所有子网主机nmap IP/24 -exclude IP# 显示扫描的所有主机的列表nmap -sL IP/24# Ping 扫描,只检测主机是否存在于网络中nmap -sP IP# SYN 半开放扫描, 不会在目标主机上产生记录nmap -sS IP# TCP 扫描nmap -sT IP# UDP 扫描nmap -sU IP# FIN 标志的数据报扫描, 不会在目标主机创建日志nmap -sF IP# Version 版本检测扫描nmap -sV IP# 操作系统探测nmap -O IP# 猜测匹配操作系统nmap -O --osscan-guess IP# NO Ping 扫描nmap -O -PN IP# 设置时间模板nmap -sS -T<0-5> IP# 网段扫描格式nmap -sP IP/CIDR# 从文件中读取需要扫描的 IP 列表nmap -iL file# 路由跟踪扫描nmap -traceroute IP# 包含 OS 识别、版本探测、脚本扫描、traceroute 综合扫描nmap -A IP
脚本使用
NSEDoc Reference Portal — Nmap Scripting Engine documentation
nmap --script 类别# 类别- auth: 负责处理鉴权证书(绕开鉴权)的脚本- broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务- brute: 提供暴力破解方式,针对常见的应用如http/snmp等- default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力- discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等- dos: 用于进行拒绝服务攻击- exploit: 利用已知的漏洞入侵系统- external: 利用第三方的数据库或资源,例如进行whois解析- fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞- intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽- malware: 探测目标机是否感染了病毒、开启了后门等信息- safe: 此类与intrusive相反,属于安全性脚本- version: 负责增强服务与版本扫描(Version Detection)功能的脚本- vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067
常见的一些脚本使用
# 扫描服务器常见漏洞nmap --script vuln IP# 检查 FTP 是否开启匿名登陆nmap --script ftp-anon IP# 对 MYSQL 进行暴力破解nmap --script mysql-brute IP# 对 MSSQL 进行暴力破解nmap -p 1433 --script ms-sql-brute --script-args userdb=customuser.txt,passdb=custompass.txt IP# 对 Oracle 数据库进行暴力破解nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL IP# 对 抛光SQL 暴力破解nmap -p 5432 --script pgsql-brute IP# 对 SSH 暴力破解nmap -p 22 --script ssh-brute --script-args userdb=users.lst,passdb=pass.lst --script-args ssh-brute.timeout=4s IP# 使用 DNS 进行子域名暴力破解nmap --script dns-brute www.baidu.com# 检查VMWare ESX,ESXi和服务器(CVE-2009-3733)中的路径遍历漏洞nmap --script http-vmware-path-vuln -p80,443,8222,8333 IP# 查询VMware服务器(vCenter,ESX,ESXi)SOAP API以提取版本信息。nmap --script vmware-version -p443 10.0.1.4
参数详解
Nmap 支持主机名 IP 网段表示方式
blah.highon.coffee, namp.org/24, 192.168.0.1;10.0.0-25.1-254-iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段-iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描--exclude host1[, host2] 从扫描任务中需要排除的主机--exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同
1. 主机发现
-sL 仅仅是显示,扫描的IP数目,不会进行任何扫描-sP ping扫描,即主机发现,显对扫描做出响应的主机-P0 Nmap 默认只对确定正在运行的主机进行高强度扫描,使用该命令可以对每一个目标进行扫描-Pn 不检测主机存活-PS/PA/PU TCP SYN Ping/TCP ACK Ping/UDP Ping-PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机-PR ARP Ping 扫描,-n 不对IP进行域名反向解析-R 对目标 IP 地址进行反向域名解析,一般只有当发现机器正在运行时才进行这步操作--system-dns 使用系统域名解析器
2. 端口扫描
| 状态 | 描述 | |
|---|---|---|
| open | 这表明与扫描端口的连接已建立。这些连接可以是TCP 连接、UDP 数据报以及SCTP 关联。 | |
| closed | 当端口显示为关闭时,TCP 协议表明我们收到的数据包包含一个RST标志。这种扫描方法也可以用来确定我们的目标是否还活着。 | |
| filtered | Nmap 无法正确识别扫描的端口是打开还是关闭,因为要么没有从目标返回该端口的响应,要么我们从目标获得错误代码。 | |
| unfiltered | 端口的这种状态只发生在TCP-ACK扫描期间,表示该端口是可访问的,但无法确定它是打开还是关闭。 | |
| open | filtered | 如果我们没有得到特定端口的响应,Nmap则将其设置为该状态。这表明防火墙或数据包过滤器可以保护端口。 |
| closed | filtered | 此状态仅出现在IP ID 空闲扫描中,表示无法确定扫描的端口是否已关闭或被防火墙过滤。 |
-sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描-sU UDP扫描-sN/sF/sX TCP Null,FIN,and Xmas扫描--scanflags 自定义TCP包中的flags-sI zombie host[:probeport] Idlescan-sY/sZ SCTP INIT/COOKIE-ECHO 扫描-sO 使用IP 协议扫描确定目标机支持的协议类型-b <ftp relay host> 使用FTP 弹跳扫描
3. 端口说明和扫描顺序
-p 特定的端口 -p80,443 或者 -p1-65535-p U:PORT 扫描udp的某个端口, -p U:53-F 快速扫描模式,比默认的扫描端口还少-r 不随机扫描端口,默认是随机扫描的--top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个--port-ratio "ratio" 扫描指定频率以上的端口
4. 服务版本识别
-sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测--allports 不为版本探测排除任何端口--version-intensity [0~9] 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7--version-light 打开轻量级模式,为--version-intensity 2的别名--version-all 尝试所有探测,为--version-intensity 9的别名--version-trace 显示出详细的版本侦测过程信息
5. 脚本扫描
-sC 根据端口识别的服务,调用默认脚本--script=”Lua scripts” 调用的脚本名--script-args=n1=v1,[n2=v2] 调用的脚本传递的参数--script-args-file=filename 使用文本传递参数--script-trace 显示所有发送和接收到的数据--script-updatedb 更新脚本的数据库--script-help=”Lua script” 显示指定脚本的帮助
6. OS 识别
-O 启用操作系统检测,-A来同时启用操作系统检测和版本检测--osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)--osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配
7. 时间和性能
--min-hostgroup <size>; --max-hostgroup <size> 调整并行扫描组的大小--min-parallelism <numprobes>; --max-parallelism <numprobes> 调整探测报文的并行度--min-rtt-timeout <milliseconds>, --max-rtt-timeout <milliseconds>, --initial-rtt-timeout <milliseconds> 调整探测报文超时--host-timeout <milliseconds> 放弃低速目标主机--scan-delay <milliseconds>; --max-scan-delay <milliseconds> 调整探测报文的时间间隔-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> 设置时间模板, Nmap提供了一些简单的 方法,使用6个时间模板,使用时采用-T选项及数字(0 - 5) 或名称。模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前两种模式用于IDS躲避,Polite模式降低了扫描 速度以使用更少的带宽和目标主机资源。默认模式为Normal,因此-T3 实际上是未做任何优化。Aggressive模式假设用户具有合适及可靠的网络从而加速 扫描。Insane模式假设用户具有特别快的网络或者愿意为获得速度而牺牲准确性。
8. 防火墙/IDS躲避和哄骗
-f; --mtu value 指定使用分片、指定数据包的MTU.-D decoy1,decoy2,ME 使用诱饵隐蔽扫描-S IP-ADDRESS 源地址欺骗-e interface 使用指定的接口-g/ --source-port PROTNUM 使用指定源端口--proxies url1,[url2],... 使用HTTP或者SOCKS4的代理--data-length NUM 填充随机数据让数据包长度达到NUM--ip-options OPTIONS 使用指定的IP选项来发送数据包--ttl VALUE 设置IP time-to-live域--spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装--badsum 使用错误的checksum来发送数据包
9. Nmap 输出
# XML 转换为 HTML 展示xsltproc target.xml -o target.html-oN 将标准输出直接写入指定的文件-oX 输出xml文件-oS 将所有的输出都改为大写-oG 输出便于通过bash或者perl处理的格式,非xml-oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出-v 提高输出信息的详细度-d level 设置debug级别,最高是9--reason 显示端口处于带确认状态的原因--open 只输出端口状态为open的端口--packet-trace 显示所有发送或者接收到的数据包--iflist 显示路由信息和接口,便于调试--log-errors 把日志等级为errors/warings的日志输出--append-output 追加到指定的文件--resume FILENAME 恢复已停止的扫描--stylesheet PATH/URL 设置XSL样式表,转换XML输出--webxml 从namp.org得到XML的样式--no-sytlesheet 忽略XML声明的XSL样式表
10. 其他 nmap 选项
-6 开启IPv6-A OS识别,版本探测,脚本扫描和traceroute--datedir DIRNAME 说明用户Nmap数据文件位置--send-eth / --send-ip 使用原以太网帧发送/在原IP层发送--privileged 假定用户具有全部权限--unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限-V 打印版本信息-h 输出帮助
参考文章
若有收获,就点个赞吧
0 人点赞
