文章目录
Nmap,Network Mapper的简称。主要功能有:
1.主机发现
2.端口扫描
3.版本及操作系统侦测
4.防火墙与IDS规避
5.提供NSE(Nmap Scripting Language)脚本引擎
最粗暴简单的Nmap使用方式扫描:
namp 192.168.66.0/24 //简单的扫描
nmap -A 192.168.66.1-254 //全面扫描
1.主机探测
主要使用
-sn :ping Scan 只进行主机发现,不进行端口扫描
-PE/PP/PM:ICMP echo、timestamp和netmask请求发现探测
-PS/PA/PU/PY[portlist]: 使用TCP SYN/TCP ACK或SCTP INIT/ECHO方式进行发现。
-iL:扫描一个文件,需写绝对路径
1.1 主机探测原理
nmap -sn
常用的进行主机发现的方式。通过发送四种不同类型的包来探测目标主机是否在线,因此可以避免因防火墙原因造成的丢包。
1.ICMP echo request
2.tcp syn----》443(HTTPS)
3.tcp ack----》80(HTTP)
4.icmp(timestamp)
nmap -PE/PP/PM
- ICMP ECHO(PE) :常因为防火墙禁止报文而收不到包
- ICMP timestamp(PP) :因防火墙配置不当得以运行,若Host在线,则继续探测端口与服务
- ICMP maskping(PM) :具有不错的防火墙穿透效果去ping
1.2 主机探测实例(sn就完事了)
对网段进行主机探测,返回IP地址与MAC地址
namp -sn 192.168.66.0/24
namp -sn 192.168.66.1-254
//对某文件的所有主机进行探测
nmap -iL C:/Users/anu
2.端口扫描
2.1 端口扫描原理
-sN/sF/sX:
-sS/sT/sA :SYN扫描(半扫描),TCP扫描,ACK扫描
-sU:可向目标主机发送UDP探测包,进行特定的UDP端口扫描
-sN/sF/sX:(秘密扫描)
- sN:TCP FIN/ Xmas tree/NULL包,没有收到RST包说明该端口可能是开放的或者被屏蔽了。
- sT:向目标主机的端口发起TCP连接,如果无法连接,说明该端口关闭。
- sA:向目标主机的端口发送ACK包,如果收到RST包,说明该端口被防火墙屏蔽,或端口不存在。可辅助SYN确认防火墙状态。
-sS/sT/sA: (基于三次握手的扫描)
- sS:半扫描,SYN扫描,因不回复ACK,所以不会留下日志。
- sT:TCP扫描,扫描速度慢,建立TCP三次握手连接,通常用于半扫描无法使用情况。
- sA:ACK扫描,当向某端口发送ACK包时,该端口会回复一个RST包——关闭连接,来判断是否被防火墙屏蔽。
-sU:可向目标主机发送UDP探测包,进行特定的UDP端口扫描,如果收到回复ICMP port unreachable就说明该端口是关闭的。
2.2 端口扫描实例
namp -sN 192.168.66.133 -p1-65535
//指定扫描UDP端口时必须用sU,同时扫描TCP则需继续指定参数
namp -sS -sU 192.168.66.1-254 -p U:53,39500-39600,T:21-25,80,139,8080,3306,9001
//最多对常用1000个端口进行扫描
nmap --top-ports 100 192.168.66.133
2.2.1探测某IP地址,Tcp/Udp端口是否开放
nmap -sS -sU -p U:445,T:22,80,443-445 zkaq.cn
2.2.2 快速扫描开放端口
用一些特别的参数进行单个目标地址扫描。因为nmap默认进行tcp扫描(参照nmap-services或从小到大),所以快速扫出TCP端口
nmap -A -T4 -v zkaq.cn
- -A(aggresive)代表进攻性扫描,
- -T4指定扫描速度(1-6),越快越容易被防火墙发现或IDS检测屏蔽
- -v(verbosity) 显示冗余信息,让用户更了解扫描状态
若是对udp端口有要求可采用:
对nmap作者统计的TCP/UDP端口(各100个)进行快速扫描
namp -sS -sU --top-ports 100 192.168.66.133
3.快速信息收集
3.1收集版本号及端口号
通过指纹识别操作系统版本及各端口号
nmap -O zkaq.cn
3.2收集网关路由
因为此处是采用的桥接模式,相当于交换机直连,所以并无路由
nmap --traceroute zkap.cn
3.3探测防火墙状态
nmap -sF -T4 zkap.cn
nmap -sA -T4 zkap.cn
3.4使用他人IP进行扫描
此处转载自谢公子的一段
nmap -F -Pn -D 10.96.10.100,10.96.10.110,ME -e eth0 -g 5555 202.207.236.3
-F参数表示快速扫描100个端口,-Pn不进行ping扫描,-D表示使用ip诱骗方式掩饰真实ip,
使用的是10.96.10.100和10.96.10.110,ME表示自己真实的ip,这里是10.96.10.234,
-e 参数指定eth0网卡发送数据包,-g参数指定发送的端口号
这种伪造方式最好仅用于局域网,理解思路。
4.Nmap脚本介绍
Nmap具有大量脚本存于usr/share/nmap/scripts中,后续用到再做补充。
使用--script-help查看脚本帮助,来获得脚本相关信息
如,
root@kali:/usr/share/nmap/scripts# nmap --script-help x11-access.nse
Starting Nmap 7.70 ( https://nmap.org ) at 2020-09-09 21:59 CST
x11-access
Categories: default safe auth
https://nmap.org/nsedoc/scripts/x11-access.html
Checks if you're allowed to connect to the X server.
If the X server is listening on TCP port 6000+n (where n is the display
number), it is possible to check if you're able to get connected to the
remote display by sending a X11 initial connection request.
In reply, the success byte (0x00 or 0x01) will determine if you are in
the <code>xhost +</code> list. In this case, script will display the message:
<code>X server access is granted</code>.
4.1 Nmap暴力破解攻击
其可对数据库,SNMP,等进行简单密码的暴力猜解
nmap --script=brute zkap.cn
4.2 Nmap扫描常见漏洞
nmap --script=vuln zkap.cn
4.3 Nmap应用服务扫描
nmap --script=realvnc-auth-bypass zkap.cn
4.4 whois解析
nmap -script external zkap.cn
4.5 探测局域网内更多服务开启
nmap -n -p 445 --script=broadcoast 192.168.x.x
0x00 扩展
0x01 Nmap对于端口定义的六种状态
- open:端口开放(应用程序正在监听该端口,外部可以访问)
发送SYN,得到SYN+ACK返回,认为该端口开放了TCP服务 - Closed:端口关闭。
发送SYN,收到RST返回。(关闭的端口,此时可访问) - Filtered:过滤的(被防火墙或网络设备阻拦,不可访问的)
收到ICMP不可达报文 - Unfiltered:未过滤的(不确定的)
此时nmap可访问端口,但是无法根据返回确认,是否端口开放。如-sA,返回RST,就确定被防火墙阻挡了。 - Open|filtered:开放或被过滤了
仅于open端口未得到报文回复出现 - Closed|Filtered:关闭或被过滤了
详情可见这位大佬的
最后敲完一遍感觉
nmap -sn xxx.XXX.XXXX 探测主机较为好用
nmap -sV/-sS xx.xx.xx.xx 探测端口较为好用
nmap --traceroute …
7787
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
