![Markdown](https://i-blog.csdnimg.cn/blog_migrate/0350c9effe1e5886200fb6cf82007fa5.png)
总结了nmap的基本用法和脚本的使用,充分利用脚本在信息收集的时候有时候可以起到意想不到的效果,国光认为看完本文的nmap文章教程 基本上可以入门了。
介绍
nmap是用来探测计算机网络上的主机和服务的一种安全扫描器。为了绘制网络拓扑图,Nmap的发送特制的数据包到目标主机,然后对返回数据包进行分析。Nmap是一款枚举和测试网络的强大工具。
特点
- 主机探测
- 端口扫描
- 版本检测
- 支持探测脚本的编写
安装
官网
:http://nmap.org图形化
:Zenmap
基本操作
基本快速扫描
Nmap 默认发送一个arp的ping数据包,来探测目标主机在1-10000范围内所开放的端口。
nmap 10.130.1.43
![Markdown](https://i-blog.csdnimg.cn/blog_migrate/77c958e022e4f4cf9989764552e07331.png)
快速扫描多个目标
nmap <target ip1 address> <target ip2 address>
nmap 10.130.1.28 10.130.1.43
![Markdown](https://i-blog.csdnimg.cn/blog_migrate/965cfc3f9015fc53b8b7b4ff592628cd.png)
详细描述输出扫描
简单扫描,并对返回的结果详细描述输出,这个扫描是可以看到扫描的过程的,漫长的扫描的过程中可以看到百分比, 就不会显得那么枯燥,而且可以提升逼格。
nmap -vv 10.1.1.254
![Markdown](https://i-blog.csdnimg.cn/blog_migrate/5792d750ef57677a539fea17c4123975.png)
亲测,
-v
和
-vv
扫描几乎是一样都,都是列出了详细的扫描过程。
指定端口和范围扫描
nmap 默认扫描目标1-10000范围内的端口号。我们则可以通过参数-p
来设置我们将要扫描的端口号
nmap -p(range) <target IP>
namp -p3389,20-100 10.130.1.43
扫描除过某一个ip外的所有子网主机
nmap 10.130.1.1/24 -exclude 10.130.1.1
扫描除过某一个文件中的ip外的子网主机
nmap 10.130.1.1/24 -excludefile gov.txt
显示扫描的所有主机的列表
nmap -sL 10.130.1.1/24
sP ping 扫描
nmap 可以利用类似window/linux 系统下的ping方式进行扫描
nmap -sP <target ip>
一般来说 我们会用这个命令去扫描内网的一个ip范围,用来做内网的主机发现。
nmap -sP 10.130.1.1-255
![Markdown](https://i-blog.csdnimg.cn/blog_migrate/7033f814421b0ef00119460c06ea6672.png)
PING扫描不同于其它的扫描方式,因为它只用于找出主机是否是存在在网络中的.它不是用来发现是否开放端口的.PING扫描需要ROOT权限,如果用户没有ROOT权限,PING扫描将会使用connect()调用.
sS SYN半开放扫描
nmap -sS 192.168.1.1
Tcp SYN Scan (sS) 这是一个基本的扫描方式,它被称为半开放扫描,因为这种技术使得Nmap不需要通过完整的握手,就能获得远程主机的信息。Nmap发送SYN包到远程主机,但是它不会产生任何会话.因此不会在目标主机上产生任何日志记录
,因为没有形成会话。这个就是SYN扫描的优势.如果Nmap命令中没有指出扫描类型,默认的就是Tcp SYN
.但是它需要root/administrator
权限。
sT TCP扫描
nmap -sT 192.168.1.1
不同于Tcp SYN扫描,Tcp connect()扫描需要完成三次握手,并且要求调用系统的connect().Tcp connect()扫描技术只适用于找出TCP和UDP端口。
sU UDP扫描
nmap -sU 192.168.1.1
这种扫描技术用来寻找目标主机打开的UDP端口.它不需要发送任何的SYN包,因为这种技术是针对UDP端口的。UDP扫描发送UDP数据包到目标主机,并等待响应,如果返回ICMP不可达的错误消息,说明端口是关闭的,如果得到正确的适当的回应,说明端口是开放的.
sF FIN标志的数据包扫描
nmap -sF 110.130.1.43
可以看出这个扫描的话 会漏扫许多~
FIN扫描也不会在目标主机上创建日志(FIN扫描的优势之一).个类型的扫描都是具有差异性的,FIN扫描发送的包只包含FIN标识,NULL扫描不发送数据包上的任何字节,XMAS扫描发送FIN、PSH和URG标识的数据包.
sV Version版本检测扫描
nmap -sV 192.168.1.135
本检测是用来扫描目标主机和端口上运行的软件的版本
.它不同于其它的扫描技术,它不是用来扫描目标主机上开放的端口,不过它需要从开放的端口获取信息来判断软件的版本.使用版本检测扫描之前需要先用TCPSYN扫描开放了哪些端口。
这个扫描的话,速度会慢一些,67.86
秒扫一个IP。
O OS操作系统类型的探测
nmap -O 10.130.1.43
远程检测操作系统和软件,Nmap的OS检测技术在渗透测试中用来了解远程主机的操作系统和软件是非常有用的,通过获取的信息你可以知道已知的漏洞。Nmap有一个名为的nmap-OS-DB数据库,该数据库包含超过2600操作系统的信息。Nmap把TCP和UDP数据包发送到目标机器上,然后检查结果和数据库对照。
osscan-guess 猜测匹配操作系统
nmap -O --osscan-guess 192.168.1.134
通过Nmap准确的检测到远程操作系统是比较困难的,需要使用到Nmap的猜测功能选项,–osscan-guess
猜测认为最接近目标的匹配操作系统类型。
PN No ping扫描
nmap -O -PN 192.168.1.1/24
如果远程主机有防火墙,IDS和IPS系统,你可以使用-PN命令来确保不ping远程主机,因为有时候防火墙会组织掉ping请求.-PN命令告诉Nmap不用ping远程主机。使用-PN参数可以绕过PING命令,但是不影响主机的系统的发现 。
![](https://i-blog.csdnimg.cn/blog_migrate/c5dc637503cc1e14bed49d317cb7a6ff.png)
这个扫描整个c段局域网的话还是比较耗时的,但是信息收集很详细,大概耗时
9
分钟。
T 设置时间模板
nmap -sS -T<0-5> 192.168.1.134
优化时间控制选项的功能很强大也很有效,但有些用户会被迷惑。此外, 往往选择合适参数的时间超过了所需优化的扫描时间。因此,Nmap提供了一些简单的 方法,使用6个时间模板,使用时采用-T选项及数字(0 - 5) 或名称。模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)
- paranoid、sneaky模式用于IDS躲避
- Polite模式降低了扫描 速度以使用更少的带宽和目标主机资源。
- Normal为默认模式,因此-T3 实际上是未做任何优化。
- Aggressive模式假设用户具有合适及可靠的网络从而加速 扫描.
- nsane模式假设用户具有特别快的网络或者愿意为获得速度而牺牲准确性。
网段扫描格式
nmap -sP <network address > </CIDR >
解释:CIDR 为你设置的子网掩码(/24 , /16 ,/8 等)
10.1.1.0/24 = 10.1.1.1-10.1.1.255 #c段扫描
10.1.1.0/16 = 10.1.1.1-10.1.255.255 #b段扫描
10.1.1.0/8 = 10.1.1.1-10.255.255.255 #a段扫描
从文件中读取需要扫描的IP列表
nmap -iL ip-address.txt
![](https://i-blog.csdnimg.cn/blog_migrate/d89a2b231aeeacb63e1d00ca45f55ccc.png)
路由跟踪扫描
路由器追踪功能,能够帮网络管理员了解网络通行情况,同时也是网络管理人员很好的辅助工具!通过路由器追踪可以轻松的查处从我们电脑所在地到目标地之间所经常的网络节点,并可以看到通过各个节点所花费的时间
nmap -traceroute www.baidu.com
![Markdown](https://i-blog.csdnimg.cn/blog_migrate/4eb8fe3a2e9c8d97c9bad032db114ecb.png)
A OS识别,版本探测,脚本扫描和traceroute综合扫描
此选项设置包含了1-10000的端口ping扫描,操作系统扫描,脚本扫描,路由跟踪,服务探测。
nmap -A 10.130.1.43
![](https://i-blog.csdnimg.cn/blog_migrate/2e8153cb1949b296ab591c7e474d5da5.png)
命令混合式扫描
命令混合扫描,可以做到类似参数-A所完成的功能,但又能细化到我们所需特殊要求。所以一般高手选择这个混合扫描
nmap -vv -p1-100,3306,3389 -O -traceroute 10.130.1.43
这些参数都是可以灵活调用的,具体根据具体的扫描来使用各个参数。
![](https://i-blog.csdnimg.cn/blog_migrate/2da83f50e4b264061fb3a7ace30a1a3d.png)
nmap -p1-65535 -sV -sS -T4 10.130.1.134
使SYN
扫描,并进行Version版本检测 使用T4(aggressive)的时间模板对目标ip的全端口进行扫描。
输出格式
扫描的结果输出到屏幕,同时会存储一份到grep-output.txt
nmap -sV -p 139,445 -oG grep-output.txt 10.0.1.0/24
扫描结果输出为html
nmap -sS -sV -T5 10.0.1.99 --webxml -oX - | xsltproc --output file.html
nmap高级用法之脚本使用
按照脚本分类进行扫描
nmap --script 类别
nmap官方脚本文档: https://nmap.org/nsedoc/
![](https://i-blog.csdnimg.cn/blog_migrate/4c0c313640301e88338743feede13434.png)
左侧列出了脚本的分类,点击分类 可以看到每一个分类下有很多具体的脚本供我们使用。
nmap --script=类别
这里的类别,可以填写下面14大分类中的其中之一,也可以填写分类里面的具体漏洞扫描脚本。
nmap脚本分类:
- auth: 负责处理鉴权证书(绕开鉴权)的脚本
- broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务
- brute: 提供暴力破解方式,针对常见的应用如http/snmp等
- default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力
- discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等
- dos: 用于进行拒绝服务攻击
- exploit: 利用已知的漏洞入侵系统
- external: 利用第三方的数据库或资源,例如进行whois解析
- fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞
- intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
- malware: 探测目标机是否感染了病毒、开启了后门等信息
- safe: 此类与intrusive相反,属于安全性脚本
- version: 负责增强服务与版本扫描(Version Detection)功能的脚本
- vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067
使用具体脚本进行扫描
nmap --script 具体的脚本 www.baidu.com
常用脚本使用案例
扫描服务器的常见漏洞
nmap --script vuln <target>
检查FTP是否开启匿名登陆
nmap --script ftp-anon <target>
PORT STATE SERVICE
21/tcp open ftp
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| -rw-r--r-- 1 1170 924 31 Mar 28 2001 .banner
| d--x--x--x 2 root root 1024 Jan 14 2002 bin
| d--x--x--x 2 root root 1024 Aug 10 1999 etc
| drwxr-srwt 2 1170 924 2048 Jul 19 18:48 incoming [NSE: writeable]
| d--x--x--x 2 root root 1024 Jan 14 2002 lib
| drwxr-sr-x 2 1170 924 1024 Aug 5 2004 pub
|_Only 6 shown. Use --script-args ftp-anon.maxlist=-1 to see all.
对MySQL进行暴破解
nmap --script=mysql-brute <target>
3306/tcp open mysql
| mysql-brute:
| Accounts
| root:root - Valid credentials
![](https://i-blog.csdnimg.cn/blog_migrate/886d882dc55a67aa8d3058b0189be6f2.png)
可以看出已经暴力成功破解了MySQL,在368秒内进行45061次猜测,平均TPS为146.5。
对MsSQL进行暴破解
nmap -p 1433 --script ms-sql-brute --script-args userdb=customuser.txt,passdb=custompass.txt <host>
| ms-sql-brute:
| [192.168.100.128\TEST]
| No credentials found
| Warnings:
| sa: AccountLockedOut
| [192.168.100.128\PROD]
| Credentials found:
| webshop_reader:secret => Login Success
| testuser:secret1234 => PasswordMustChange
|_ lordvader:secret1234 => Login Success
对Oracle数据库进行暴破解
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL <host>
PORT STATE SERVICE REASON
1521/tcp open oracle syn-ack
| oracle-brute:
| Accounts
| system:powell => Account locked
| haxxor:haxxor => Valid credentials
| Statistics
|_ Perfomed 157 guesses in 8 seconds, average tps: 19
对pgSQL的暴力破解
nmap -p 5432 --script pgsql-brute <host>
5432/tcp open pgsql
| pgsql-brute:
| root:<empty> => Valid credentials
|_ test:test => Valid credentials
对SSH进行暴力破解
nmap -p 22 --script ssh-brute --script-args userdb=users.lst,passdb=pass.lst --script-args ssh-brute.timeout=4s <target>
22/ssh open ssh
| ssh-brute:
| Accounts
| username:password
| Statistics
|_ Performed 32 guesses in 25 seconds.
利用DNS进行子域名暴力破解
nmap --script dns-brute www.baidu.com
λ nmap --script dns-brute www.baidu.com