Nmap能够很好地与Metasploit渗透测试数据库集成在一起,可以方便地在Metasploit终端中使用db_nmap,如:
msf > db_nmap -Pn -sV 10.10.10.0/24
该命令是Nmap的一个封装,与Nmap使用方法完全一致,不同的是其执行结果将自动输入到数据库中。
也可以将Nmap扫描结果导出为一个输出文件,并导入渗透测试数据库中。使用方法很简单,只需要在Nmap命令中加入-oX参数,如:
root@bt:~# nmap -Pn -sV -oX dmz 10.10.10.0/24
扫描结束后,在当前目录下将生成名称为dmz的扫描结果文件,可以在MSF终端中使用db_import命令将扫描结果导入数据库中,如代码清单3-31所示。
代码清单3-31 使用db_import命令导入Nmap扫描结果
msf > db_import /root/dmz
[*] Importing 'Nmap XML' data
[*] Import: Parsing with 'Nokogiri v1.4.3.1'
[*] Importing host 10.10.10.1
[*] Importing host 10.10.10.2
[*] Importing host 10.10.10.129
[*] Importing host 10.10.10.130
[*] Importing host 10.10.10.254
[*] Successfully imported /root/dmz
提示 db_import命令还能够识别Acunetix、Amap、Appscan、Burp Session、Microsoft Baseline Security Analyzer、Nessus、NetSparker、NeXpose、OpenVAS Report、Retina等多种扫描器的结果。