namp(二)

Nmap脚本引擎

 

Nmap脚本引擎 (NSE) 是Nmap最有力灵活的的一个特性。它允许用户撰写和分享一些简单的脚本来一些较大的网络进行扫描任务。基本上这些脚本是用Lua编程语言来完成的。通常Nmap的脚本引擎可以完成很多事情，包括：

 

网络探测

这是Nmap的基础功能。例如查询目标域名的WhoIs数据，查询目标IP的ARIN, RIPE, 或者 APNIC 来确定所有者，对开放端口执行鉴别查询，SNMP 查询以及列出可用的NFS/SMB/RPC 分享和服务。

漏洞检测

当一个新的漏洞被发现，你会想要扫描你的网络来识别含有漏洞的系统。因为Nmap不是一个专业的漏洞扫描器，而NSE用来处理这种需求的漏洞检查是足够的。现在已经有很多漏洞检测脚本可用。

漏洞利用

作为一个通用的脚本语言，可以使用NSE来执行漏洞利用而不仅仅局限于发现漏洞。这种添加自定义漏洞利用脚本的功能对于一些人（尤指渗透测试者）是很有价值的。

正如下面你将会看到的，我已经使用了（-sc）选项（或者-script），它是一个扫描目标网络的默认脚本。你可以看到我们得到了ssh，rpcbind，netbios-sn，但是端口是过滤的或者关闭的，所以我们可以说这里可能有一个防火墙来封堵我们的请求。稍后我们将会讨论怎么识别防火墙并尝试绕过它们。

 

root@kl:/# nmap -sC -p 80,22,445 192.168.31.231

 

root@kl:/# nmap -sP --script discovery 192.168.31.231

 

你能看到有趣的协议和端口或者你可以看到dns-bruteforce发现了一个包含一些博客，内容管理系统，sql，记录，邮件以及许多其他信息的主机。所以我们可以执行sql注入，这个博客可能是WordPress，Joomal等等。我们可以利用一些已知的CMS漏洞执行攻击。可以撰写你自己的Nmap脚本引擎，以及用Nmap来利用他们。

 

 

 

基本的扫描技术

端口状态：

Open(开放的): 应用程序正在这个端口上监听连接。

Closed(关闭的): 端口对探测做出了响应，但现在没有应用程序在监听这个端口。

Filtered(过滤的): 端口没有对探测做出响应。同时告诉我们探针可能被一些过滤器（防火墙）终止了。

Unfiltered(未被过滤的):端口对探测做出了响应，但是Nmap无法确定它们是关闭还是开放。

Open/Filtered: 端口被过滤或者是开放的，Nmap无法做出判断。

Closed/Filtered: 端口被过滤或者是关闭的，Nmap无法做出判断。

1.扫描多个IP地址：

语法：nmap host1 host2 host3

命令：nmap 192.168.31.231 192.168.31.205 192.168.31.158

2.扫描IP地址段

命令：nmap 192.168.2.1-192.168.2.100

3.使用语法: nmap [CIDR格式的网络地址]

扫描整个子网：nmap 192.168.2.1/24

4.扫描目标列表

语法：nmap -iL [list.txt]

将这些IP地址（或主机名）输入到一个文本文件中，用这个文本文件的内 容来作为Nmap命令行的输入。

5.扫描随机目标

语法: nmap -iR [主机数量]

“-iR” 参数可以用来选择随机的互联网主机来扫描。Nmap将会随机的生 成指定数量的目标进行扫描。

6.扫描排除目标

语法: nmap [目标] –exclude [主机]

命令：nmap 192.168.2.1/24 –exclude 192.168.2.10

7.激烈扫描

语法：nmap –A host

激烈扫描模式会选择Nmap中最常用的选项来尝试代替输入很长的字符串。 它对于路由跟踪也适用。

8.不用ping扫描

语法：nmap –PN Target

" -PN "选项告诉Nmap不使用默认的探测检查，而是对目标进行一个完整 的端口扫描。当我们扫描一个有防火墙保护而封锁 ping 探针主机的时候是 非常有用的。

9.TCP SYN 扫描

语法：nmap –PS target

TCP连接的第一个包，当两台计算机在TCP连接上进行会话时，连接一定会首先被初始化。完成这项任务的包叫作SYN。

TCP SYN ping 发送一个SYN包给目标系统，然后监听目标系统的响应。 这种探测方法对于那些配置好封锁标准ICMP ping的系统来说很有用。

语法：nmap –PS 目标

默认的端口是80端口，你也可以指定其他的端口，

例如：nmap -PS -p 22,80 192.168.31.231

10.TCP Ack Ping 扫描

语法：nmap –PA target

Nmap发送一个 TCP ACK 包给指定的主机。

这种方法将会通过对一个TCP连接作出响应来尝试发现主机，这个TCP连接是一个不存在的连接，它正试图与目标主机建立一个响应。如同其他ping 选项一样，对于封锁标准ICMP ping的情况是非常有用的。

11.UDP Ping 扫描

语法：nmap –PU target

只对目标进行 udp ping 扫描。该类型的扫描会发送UDP包来获得一个响应。

你可以指定一个扫描的端口号,例如：nmap -PU -p 22,80 192.168.31.231

12.Sctp 初始 ping

语法：nmap –PY target

Nmap进行一个 SCTP 初始 ping. 这个选项将会发送一个包含最小的初始快STCP包。这种探测方法会尝试用SCTP来定位主机。SCTP通常被用在IP拨号服务的系统中。

13.ICMP 回声应答 ping

语法：nmap –PE target

进行一个ICMP(Internet控制报文协议) 在指定的系统上输出ping。

该类型的探测在ICMP数据包可以在有较少传输限制的系统上效果比较好。

14.ICMP时间戳ping扫描

语法：nmap –PP target

进行一个ICMP时间戳ping扫描。

15.ICMP地址掩码ping

语法：nmap –PM target

进行一个ICMP地址掩码ping扫描。

这种非常规的ICMP查询（和 -PP 选项类似）试图用备选的ICMP登记ping指定的主机。这种类型的ping可以偷偷的通过配置好封锁标准回声请求的防火墙。

16.IP协议Ping

语法：nmap –PO target

进行一个IP协议ping。

IP协议ping用指定的协议发送一个包给目标。如果没有指定协议，默认的协议是 1 (ICMP), 2 (IGMP)和4 (IP-in-IP)。

17.ARP ping

语法：nmap –PR target

实施一个arp ping 扫描。“ -PR ”选项告诉Nmap对目标主机进行一个APR(地址解析协议) ping.

“ -PR ”选项当扫描整个网络的时候自动使用。这种类型的探测比其他的ping方法更快。

18.路由跟踪

语法：nmap –traceroute target

用来追踪到指定主机的网络路径。

19.强制使用反向域名解析

语法：nmap –R target

Nmap总是对目标IP地址实施一个逆向DNS解析。

 

“ -R “选项可以用在对一个IP地址块实施探测的时候，Nmap将试图对每个IP地址进行反向向DNS信息解析。

20.不用反向域名解析

语法：nmap –n target

用来说明不使用反向域名解析。

反向域名解析会明显的降低Nmap扫描的速度。使用“-n”选项会极大的减少扫描时，特别是当扫描大量的主机时。如果你不关心目标系统的DNS信息，更喜欢进行一个能快速产生结果的扫描时，可以使用这个选项。

21.DNS查询方法的取舍

语法：nmap –system-dns  target

告诉Nmap使用主机系统的域名解析来替代它自己的内部方法。

22.手动指定DNS服务器

语法：nmap –dns-servers 服务器1  服务器2  target

用来在扫面的时候手动指定查询的DNS服务器。

允许指定一个或者更多的替代服务器来宫Nmap查询。这对于没有DNS配置的系统是非常有用的，而且如果你想阻止你的扫描查询出现在你配置在本地DNS服务器的记录文件中，这个选项也是有用的。

23.列表扫描

语法：nmap –sL  target

显示一个列表，并对指定的IP地址执行一个反向DNS查询。

(namp高级应用：略)

未完待续。。。。。。

 

下一节：

1.Nmap漏洞发现及利用

2.MITM

3..怎发现防火墙

4.通过使用Nmap的NSE来绕过防火墙

5.编写自己的Nmap脚本引擎。

 

 

 

参考来源：

http://nmap.org/book/idlescan.html

http://www.kyuzz.org/antirez/papers/dumbscan.html

http://www.kyuzz.org/antirez/papers/moreipid.html

http://en.wikipedia.org/wiki/Idle_scan