Nmap使用详解
Nmap常规用法
Nmap用于列举网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。
nmap的四项基本功能
- 主机发现
- 端口扫描
- 版本侦测
- 操作系统侦测
摘要
nmap -iflist 查看本地主机的接口信息和路由信息
-A 同时扫描端口、服务版本、操作系统信息
-T4 指定扫描过程使用的时序,总有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T4
-oX test.xml 将扫描结果生成test.xml,如果中断,则结果打不开
-oA test.xml 将扫描结果生成 test.xml 文件,中断后,结果也可保存
-oG test.txt 将扫描结果生成 test.txt 文件
-sn 只进行主机发现,不进行端口扫描
-O 指定Nmap进行系统版本扫描
-sV 指定让Nmap进行服务版本扫描
-p <port ranges> 扫描指定的端口
-sS/sT/sA/sW/sM
指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描
-sU 指定使用UDP扫描方式确定目标主机的UDP端口状况
-script <script name> 指定扫描脚本
-Pn 不进行ping扫描
-sP 用ping扫描判断主机是否存活,只有主机存活,nmap才会继续扫描,一般最好不加,因为有的主机会禁止ping
-PI 设置这个选项,让nmap使用真正的ping(ICMP echo请求)来扫描目标主机是否正在运行。
-iL 1.txt 批量扫描1.txt中的目标地址
-sL List Scan 列表扫描,仅将指定的目标的IP列举出来,不进行主机发现
-sY/sZ 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况
-sO 使用IP protocol 扫描确定目标机支持的协议类型
-PO 使用IP协议包探测对方主机是否开启
-PE/PP/PM 使用ICMP echo、 ICMP timestamp、ICMP netmask 请求包发现主机
-PS/PA/PU/PY 使用TCP SYN/TCP ACK或SCTP INIT/ECHO方式进行发现
-sN/sF/sX 指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态
-e eth0 指定使用eth0网卡进行探测
-f : --mtu <val> 指定使用分片、指定数据包的 MTU.
-b <FTP relay host> 使用FTP bounce scan扫描方式
-g 指定发送的端口号
-r 不进行端口随机打乱的操作(如无该参数,nmap会将要扫描的端口以随机顺序方式扫描,以让nmap的扫描不易被对方防火墙检测到)
-v 表示显示冗余信息,在扫描过程中显示扫描的细节,从而让用户了解当前的扫描状态
-n 表示不进行DNS解析;
-D <decoy1,decoy2[,ME],...> 用一组 IP 地址掩盖真实地址,其中 ME 填入自己的 IP 地址
-R 表示总是进行DNS解析。
-F 快速模式,仅扫描TOP 100的端口
-S <IP_Address> 伪装成其他 IP 地址
--ttl <val> 设置 time-to-live 时间
--badsum 使用错误的 checksum 来发送数据包(正常情况下,该类数据包被抛弃,如果收到回复,说明回复来自防火墙或 IDS/IPS)
--dns-servers 指定DNS服务器
--system-dns 指定使用系统的DNS服务器
--traceroute 追踪每个路由节点
--scanflags <flags> 定制TCP包的flags
--top-ports <number> 扫描开放概率最高的number个端口
--port-ratio <ratio> 扫描指定频率以上的端口。与上述--top-ports类似,这里以概率作为参数
--version-trace 显示出详细的版本侦测过程信息
--osscan-limit 限制Nmap只对确定的主机的进行OS探测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess 大胆猜测对方的主机的系统类型。由此准确性会下降不少,但会尽可能多为用户提供潜在的操作系统
--data-length <num> 填充随机数据让数据包长度达到 Num
--ip-options <options> 使用指定的 IP 选项来发送数据包
--spoof-mac <mac address/prefix/vendor name> 伪装 MAC 地址
--version-intensity <level> 指定版本侦测强度(0-9),默认为7。数值越高,探测出的服务越准确,但是运行时间会比较长。
--version-light 指定使用轻量侦测方式 (intensity 2)
--version-all 尝试使用所有的probes进行侦测 (intensity 9)
--version-trace 显示出详细的版本侦测过程信息
nmap 192.168.1.0/24 -exclude 192.168.1.10 #扫描除192.168.1.0外的该网段的其他地址
nmap 192.168.1.0/24 -excludefile f:/1.txt #扫描除给定文件中的地址以外的其他地址
nmap -sF -T4 192.168.1.0 #探测防火墙状态
1. 探测存活主机
namp -sn 192.168.111.0/24 (使用下面四种方式)
- ICMP echo request
- a TCP SYN packet to port 443(https)
- a TCP ACK packet to port 80(http)
- an ICMP timestamp request
nmap -sP 192.168.111.0/24 (使用Ping协议)
-Pn 不使用Ping连接扫描
-sT 使用TCP连接扫描,不安全,慢
-sS SYN扫描,使用最频繁,安全,快
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Hqv8D7iQ-1625752264684)(E:\desktop\file\Scrshot\20210706154306.png)]
2. 端口扫描
端口的状态:
-
open:端口是开放的。
-
closed:端口是关闭的。
-
filtered:端口被防火墙IDS/IPS屏蔽,无法确定其状态。
-
unfiltered:端口没有被屏蔽,但是否开放需要进一步确定。
-
open|filtered:端口是开放的或被屏蔽,Nmap不能识别。
-
closed|filtered :端口是关闭的或被屏蔽,Nmap不能识别
端口扫描
nmap 192.168.111.80 默认使用TCP SYN的方式扫描
nmap -p 1-65535 192.168.111.80 会扫描所有的端口,但是效率有点低
nmap -F 192.168.111.80 快速扫描最常用的100个端口
namp --top-ports 1000 192.168.111.80 1000可改变,扫描开放概率最高的1000个端口
端口扫描方式
-sS TCP SYN 扫描
-sT TCP connect 扫描
-sA TCP ACK 扫描
-sN/-sF/-sX TCP FIN/Xmas/NULL扫描
-sU UDP扫描
-sO 使用IP Protocol 扫描确定目标支持的协议类型
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ldbekn1x-1625752264695)(E:\desktop\file\Scrshot\20210706155143.png)]
3. 端口上的服务、版本信息
用于确定目标主机开放端口上运行的具体的应用程序及版本信息
nmap -sV 192.168.111.80
–version-intensity : 指定版本侦测强度(0-9),默认为7。数值越高,探测出的服务越准确,但是运行时间会比较长。
–version-light: 指定使用轻量侦测方式 (intensity 2)
–version-all: 尝试使用所有的probes进行侦测 (intensity 9)
–version-trace: 显示出详细的版本侦测过程信息
4. 操作系统
nmap -O 192.168.111.80
nmap -A 192.168.111.80 同时扫描服务版本信息,操作系统信息
Nmap高级用法
####1. 防火墙绕过
原理:数据包变换和时序变换
2. 分片
将数据包拆分,避开防火墙的检测
3. IP诱骗
在进行扫描时,将真实IP地址和其他主机的IP地址混合使用(其他主机需要在线,否则目标主机将回复大量数据包到不存在的主机,从而构成了DOS攻击)以此让目标主机的防火墙或IDS追踪大量的不同IP地址的数据包,降低器追查到自身的概率。
####4. IP伪装
将自己发送的数据包中的IP地址伪装成其他主机的地址,从而目标机认为是其他主机与之通信
如果希望接收到目标主机的回复包,那么伪装的IP需要位于统一局域网内。另外,如果既希望隐蔽自己的IP地址,又希望收到目标主机的回复包,那么可以尝试使用idle scan 或匿名代理等网络技术
5. 指定源端口
某些目标主机只允许来自特定端口的数据包通过防火墙。
6. 扫描延时
某些防火墙对于发送频繁的数据包进行严格审查,因此可以通过降低发包的频率和发包延时以降低目标主机的审查强度。
7. 规避检测技术
nmap还提供其他多种规避技巧,比如指定使用某个网络接口来发送数据包、指定发送包的最小长度、指定发包的MTU、指定TTL、指定伪装的MAC地址,使用错误检查。
-f; --mtu <val> 指定使用分片、指定数据包的 MTU.
-D <decoy1,decoy2[,ME],...> 用一组 IP 地址掩盖真实地址,其中 ME 填入自己的 IP 地址。
-S <IP_Address> 伪装成其他 IP 地址
-e <iface> 使用特定的网络接口
-g/--source-port <portnum> 使用指定源端口
--data-length <num> 填充随机数据让数据包长度达到 Num。
--ip-options <options> 使用指定的 IP 选项来发送数据包。
--ttl <val>: 设置 time-to-live 时间。
--spoof-mac <mac address/prefix/vendor name> 伪装 MAC 地址
--badsum 使用错误的 checksum 来发送数据包(正常情况下,该类数据包被抛弃,如果收到回复,说明回复来自防火墙或 IDS/IPS)
nmap -F -Pn -D 10.96.10.100,10.96.10.110,ME -e eth0 -g 5555 202.207.236.3
-F参数表示快速扫描100个端口,-Pn不进行ping扫描,-D表示使用ip诱骗方式掩饰真实ip,使用的是10.96.10.100和10.96.10.110,ME表示自己真实的ip,这里是10.96.10.234,-e 参数指定eth0网卡发送数据包,-g参数指定发送的端口号
Nmap脚本使用
NSE脚本引擎(Nmap Scripting Engine)是nmap最强大,最灵活的功能之一,允许用户执行自己编写的脚本
脚本库路径 /usr/share/nmap/scripts
脚本的功能
- 网络发现
- 更加复杂的版本侦测
- 漏洞侦测
- 后门侦测
- 漏洞利用
脚本分类
- Auth:负责处理鉴权证书(绕过鉴权)的脚本
- Broadcast:在局域网内探查更多服务去开启情况,如DHCP/DNS等
- Brute:针对常见的应用提供暴力破解方式,如HTTP/HTTPS
- Default:使用-sC或-A选项扫描时默认的脚本,提供基本的脚本扫描能力
- Discovery:对网络进行更多的信息搜集,如SMB枚举,SNMP查询等
- Dos:用于进行拒绝服务攻击
- Exploit:利用已知的漏洞入侵系统
- External:利用第三方的数据库或资源 。如,进行whois解析
- Fuzzer:模糊测试脚本,发送异常的包到目标机,探测出潜在漏洞
- Intrusive:入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
- Malware:探测目标是否感染了病毒,开启后门等
- Safe:与Intrusive相反,属于安全性脚本
- Version:负责增强服务与版本扫描功能的脚本
- Vuln:负责检查目标机是否有常见漏洞,如MS08-067
使用实例
nmap -script smb-vuln-ms17-010 192.168.10.34 #可以探测该主机是否存在ms17_010漏洞
nmap --max-parallelism 800 --script http-slowloris scanme.nmap.org #可以探测该主机是否存在http拒绝服务攻击漏洞
nmap -script http-iis-short-name-brute 192.168.10.34 #探测是否存在IIS短文件名漏洞
nmap -script mysql-empty-password 192.168.10.34 #验证mysql匿名访问
nmap -p 443 -script ssl-ccs-injection 192.168.10.34 #验证是否存在openssl CCS注入漏洞
--script=http-waf-detect #验证主机是否存在WAF
--script=http-waf-fingerprint #验证主机是否存在WAF
nmap --script-brute 192.168.1.1 #nmap可对数据库、SMB、SNMP等进行简单密码的暴力破解
nmap --script-vuln 192.168.1.1 #扫描是否有常见漏洞
nmap --script-updatedb #更新脚本数据库
nmap --script-help smb-vuln-ms17-010 #输入脚本对应的使用方法