nmap基础使用

目录

什么是NMAP？

NMAP的安装

NMAP的参数

NMAP参数的基本使用

NMAP是怎样判断端口是开放的

NMAP的性能调优与显示优化

NMAP的安全检测躲避技术

NMAP的脚本扫描

NMAP的脚本扫描

---

web安全学习了解：web渗透测试

官网：宣紫科技

nmap教学视频：https://edu.csdn.net/course/detail/32446

什么是NMAP？

NMAP（Network Mapper）是诞生于1997年的一款开源的工具，起初其作者Fyodor只是将之当作一款端口扫描工具，在2003年Fyodor开始全职的维护nmap发布了3.45版本，并增加了服务检测、OS检测、时间控制等功能，自此NMAP进入了成熟期，在2006年NMAP集成了NSE脚本引擎，完成了从单一网络扫描工具，转变为可自定义、可扩展的全功能漏洞评估引擎，NMAP也有图形化界面的版本ZENMAP。

NMAP经常被我们用于以下用途：

发现主机：

探测主机上开放的端口

探测主机的服务版本

探测主机的OS版本

使用脚本扫描主机上的常见漏洞，如弱口令，匿名登陆，枚举用户，溢出漏洞等等

NMAP的安装

我们需要前往NMAP的官网下载NMAP（https://nmap.org/download.html），笔者这里使用的NMAP的7.70版本包含了ZENMAP，其安装步骤十分的简单，读者只需要按照提示一步步安装即可，在安装完成后在桌面新建一个快捷方式将目标填写为（C:\Windows\System32\cmd.exe）名字为nmap，双击打开在命令行内输入nmap -h，如若出现下图所示的帮助信息则代表nmap安装成功了。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-k3tdpKdM-1617317298325)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps13.jpg)]

注：在本章节我们还将使用Wireshark这款著名的抓包工具来对nmap的扫描原理进行分析，Wireshack可以在它的官网（www.wireshark.org）下载，安装也十分的简单按照提示一步步操作即可，笔者这里使用的是2.6.6版本。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B9Boz5bN-1617317298328)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps14.jpg)]

NMAP的参数

NMAP的参数众多，这里将介绍常用的参数、其他绝大多数的参数、性能调优与显示优化、安全检测躲避技术。首先介绍一下NMAP的使用语法、结果显示、参数的含义以及用法。

首先是NMAP的使用语法：

Nmap [scan Typy(s)] [Option] [target specification]

Scan Type(s)：指定扫描的类型

Options：指定选项

target specification：指定扫描目标

NMAP的结果显示：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-giMlh5UD-1617317298332)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps15.jpg)]

如上图所示使用NMAP的sV参数去扫描了ip为192.168.1.6的目标，第一行所示的是NMAP的版本、官网以及扫描的时间，第二行所示的是NMAP的扫描目标为192.168.1.6，第三行所示的是该主机是开启的，延迟为0.0050s，第四行所示的是NMAP没有显示剩下的994个未开启的端口（注：NMAP默认扫描1000个常用的端口），第五行所示的分别是PORT（端口以及协议）、STATE（端口的状态）、SERVICE（服务的名称）、VERSION（版本），第六行至第十二行所示的是目标ip为192.168.1.6上面开放的端口和所使用的协议，运行服务名称、以及版本，第十三行显示的是目标的MAC地址，第十四行显示的是目标的系统信息，上图所示的是目标是Unix系统，等等。

Open	打开
Closed	关闭
filtered	过滤，Nmap无法确定端口是否打开
unfiltered	未过滤可以访问端口，但Nmap无法确定它是打开还是关闭
open|filtered	开放或者过滤状态，无响应
closed|filtered	无法确定端口是关闭还是已过滤

NMAP的帮助参数：

-h（帮助，使用这个参数NMAP会列出可使用的参数以及含义，当我们忘记了某些参数或者不知道如何使用的时候可以使用这个参数）

NMAP的扫描方法参数：

-iL（列表输入扫描，这个参数允许你以一行一个ip的形式将要扫描的目标保存在TXT文件中进行批量的扫描）

-iR （随机扫描，使用这个参数NMAP会随机扫描目标，需要我们制定随机扫描的ip数量）

–exclude ,,·····（排除目标进行扫描，使用这个参数NMAP会在扫描的时候排除这些网络）

–excludefile <exclude_file> （从文件中读取排除的目标进行扫描，这个参数允许你以一行一个IP的形式将排除的目标保存在TXT文件中进行扫描）

NMAP的主机发现扫描参数：

-sL（列表扫描，这个参数允许你以一行一个ip的形式将需要扫描的目标保存在TXT文件中进行扫描）

-sn（不扫描端口，使用这个参数NMAP会在做主机发现的时候不去扫描端口只打印出响应的主机，仅使用ping扫描）

-sP（进行ping扫描，使用这个参数NMAP会仅仅对目标进行Ping扫描去发现存活的主机）

-Pn（不ping,使用这个参数NMAP会不做主机发现，只是去进行端口扫描，版本探测或者操作系统检测）

-PS（发送flag位为SYN的空TCP数据包到目标进行主机发现）

-PA（发送flag位为ACK的空TCP数据包到目标进行主机发现）

-PU（发送UDP的数据包到目标进行主机发现）

-PY（发送SCTP数据包到目标进行主机发现）

-PE（发送ICMP echo请求到目标进行主机发现）

-PP（发送ICMP timestamp（时间戳报文）到目标进行主机发现）

-PM（发送ICMP netmask报文到目标进行主机发现）

-PO（发送指定的IP协议到目标进行主机发现，我们常见的IP协议号有1（ICMP协议）6（TCP协议）17（UDP协议）等等）

-PR （发送ARP数据包到目标进行主机发现）

–disable-arp-ping （不进行ARP或者NDping进行发现）

–traceroute（路由跟踪，使用这个参数NMAP会利用ICMP协议定位本机和目标计算机之间的所有路由器）

-n（使用这个参数NMAP就不会对目标进行反向DNS解析去进行主机发现）

-R（使用这个参数NMAP就一定会对主机进行反向DNS解析来进行主机发现）

–system-dns（使用这个参数NMAP就会使用本机的DNS解析器进行反向DNS解析）

–dns-servers（使用这个参数可以指定DNS服务器来对目标进行反向DNS解析）

NMAP端口扫描参数：

-sS（使用这个参数NMAP会向目标发送一个TCP协议的SYN包来进行端口发现，但不做出回应，是一种半开放式扫描）

-sT（使用这个参数NMAP会打开一个完整的TCP连接来进行端口发现，和上面所说的-sS参数略有不同）

-sU（使用这个参数NMAP会对目标的UDP端口发送探测包，来进行端口发现）

-sN（使用这个参数NMAP会对目标发送TCP协议的空标志位的包来进行端口发现）

-sF（使用这个参数NMAP会对目标发送TCP协议的FIN标志位的包来进行端口发现）

-sX（使用这个参数NMAP会对目标进行圣诞树扫描也就是发送TCP协议的FIN,PSH,URG标志位的包来进行端口发现）

-sA （使用这个参数NMAP会对目标发送TCP协议的ACK标志位的包来进行端口发现）

–scanflags（使用这个参数可以指定NMAP发送任意flag标志位的TCP数据包来进行端口发现）

NMAP扫描的方法和顺序参数

-P（使用这个参数可以指定端口让NMAP去进行扫描）

–exclude-ports（使用这个参数可以指定NMAP在扫描时不去扫描指定的端口）

-F（快速扫描，NMAP默认扫描常见的1000个端口，使用这个参数会减少到100个来加快扫描速度）

-r（不随机扫描端口，NMAP正常情况下会随机的去安排扫描端口的顺序，使用这个参数NMAP会从低到高的扫描端口）

–top-posts（指定端口扫描数量，使用这个参数可以指定扫描端口数量进行扫描）

-e（使用这个参数可以指定网卡进行扫描）

NMAP的OS检测、服务与版本检测

-O（使用这个参数NMAP会去猜测目标的系统版本）

-sV（使用这个参数NMAP会去进行目标的系统版本、服务版本的检测）

-A（综合扫描，使用这个参数NMAP会去对目标进行OS检测（-O），版本扫描（-sV），脚本扫描（-sC）和traceroute（–traceroute）扫描）

NMAP的扫描速度控制参数

-T（使用这个参数可以对扫描的时间进行优化，分为6个等级0-5）

–scan-delay 10s/10m/10h（使用这个参数可以调整两次探测之间的延迟可以是秒、分、小时）

–min-rate（使用这个参数可以控制每秒发送数据包最小的次数）

–max-rate（使用这个参数可以控制每秒发送数据包最大的次数）

-host-timeout 10s、10m、10h（使用这个参数超时时间）

NAMP的输出参数

-oN（正常输出，将扫描的结果以 .nmap的形式输出）

-oX（XML输出，将扫描的结果以.xml文件的形式输出）

-oG（将扫描的结果以.gnmap的形式输出 注：）

-oA（将扫描的结果以 .xml、.nmap、.gnmap的形式输出）

-v （再扫描的时候显示详细信息，这个参数有显示强度分别如下（-v，-vv，-vvv，-v3）越往上越详细）

-d（显示debug信息）

–packet-trace （在扫描的时候进行数据包追踪）

–script-trace （在扫描的时候追踪脚本发出去的包）

–iflist （显示当前主机的网卡和路由信息）

–open（只显示目标打开的端口，使用这个参数NMAP只会显示目标打开了的端口）

-6（启用IPv6扫描，使用这个参数NMAP可以支持IPv6扫描）

NMAP参数的基本使用

扫描一个ip

Nmap 192.168.1.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oC7ooMhS-1617317298334)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps16.jpg)]

扫描多个ip（中间用一个空格隔开）

Nmap 192.168.1.6 192.168.1.7

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eFIDO1qH-1617317298336)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps17.jpg)]

扫描多个ip但是前三个数值相同后一个不同（使用一个英文逗号隔开）

Nmap 192.168.1.6,7

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ekt6erMd-1617317298339)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps18.jpg)]

扫描多个ip仅仅第三个数值不同（在数值范围之间用一个“-”隔开）

Nmap 192.168.1-2.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WQxOGh5I-1617317298340)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps19.jpg)]

扫描一个范围内的ip地址（在数值范围之间用一个“-”隔开）

Nmap 192.168.1.1-10

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qLqSiEnP-1617317298341)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps20.jpg)]

从TXT文件中读取目标地址进行批量扫描

注：需要以一行一个ip的形式进行保存，在使用的时候可以右键点击文件查看属性看一看所保存的位置，笔者这里是C:\Users\Administrator\Desktop

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97XSPves-1617317298343)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps21.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-e3t0jsO3-1617317298345)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps22.jpg)]

nmap -iL C:\Users\Administrator\Desktop\1.txt

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eIWm5PXK-1617317298346)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps23.jpg)]

Nmap指定端口进行扫描

注：使用-p参数，端口之间用一个英文逗号隔开

Nmap 192.168.1.6 -p21,3306,80

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2nW4KJsn-1617317298348)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps24.jpg)]

Nmap指定端口范围扫描

Nmap -192.168.1.1-6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Fe2qP0eE-1617317298349)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps25.jpg)]

Nmap扫描全端口

Nmap 192.168.1.6 -p1-65535

Nmap 192.168.1.6 -p-

注：这二者都可以实现扫描全端口，扫描全端口会有些缓慢

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZfNJydgd-1617317298351)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps26.jpg)]

排除一个目标进行扫描

Nmap 192.168.1.1-10 --exclude 192.168.1.1

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cs66p0Td-1617317298353)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps27.jpg)]

排除多个ip地址进行扫描

注：将需要排除的ip地址以一行一个的形式保存在TXT文件中

Nmap 192.168.1.1-10 --excludefile C:\Users\Administrator\Desktop\1.txt

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Tlgy5bhq-1617317298355)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps28.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LRXTuLgb-1617317298358)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps29.jpg)]

使用TCP协议的SYN标志位的数据包进行主机存活扫描

注：nmap使用TCP协议向目标IP发送请求连接来判断主机是否存活，在NMAP的整个主机发现的参数中绝大多数都是使用了TCP协议，我们在进行主机存活扫描的时候可能会因为目标IP的防火墙设置了过滤某些包的原因而要发送其他标志位的包来继续进行扫描，在下一小节“NMAP是怎样判断端口是开放的”中我们将通过理论加实验的方式来了解NMAP做主机发现的过程。

Nmap -PS 192.168.1.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DUGZuiyW-1617317298360)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps30.jpg)]

扫描目标的系统版本

Nmap -O 192.168.1.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CFG9vL8u-1617317298361)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps31.jpg)]

扫描目标的系统和服务版本

Nmap -sV 192.168.1.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DwlO93bi-1617317298363)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps32.jpg)]

NMAP是怎样判断端口是开放的

在这一小节中我们将利用Wireshark和NMAP的PS参数（发送flag标志位为SYN的空TCP数据包到目标进行主机发现）来进行分析（我们在kali liunx操作系统中进行这个实验）

首先我们来简要了解一下TCP三次握手的知识：第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认。第二次握手：服务器收到syn包，必须确认客户的SYN(ack=j+1)，同时自己也发送一个SYN包(syn=k)，即SYN+ACK包，此时服务器进入SYN_RECV状态。第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED(TCP连接成功)状态，完成三次握手。

简单了解了TCP三次握手的知识，我们开始进行实验。

首先使用ifconfig命令来查看kali liunx的ip和我们的靶机的ip。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HOwtI8WE-1617317298366)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps33.jpg)]

（kali liunx的IP）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WluEp69R-1617317298368)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps34.jpg)]

（靶机Centos5.5的IP）

打开Wirsharck并输入ip.addr == 192.168.1.111这个命令，只显示kali liunx发出和收到的数据包。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7EtdBZjK-1617317298368)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps35.jpg)]

使用-PS参数对靶机进行主机存活扫描，在返回的结果中有21.22.80.111.443.3306这6个端口是开放的。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-20P7UDwD-1617317298369)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps36.jpg)]

我们首先拿开放的端口80进行分析，在Wirshack中可以看到本机192.168.1.111向靶机的80端口发送了flag标志位为syn的数据包，我们选中这条数据包进行追踪TCP数据流操作。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yy10FBPg-1617317298370)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps37.jpg)]

靶机向我们回复了SYN+ACK的包，我们在来看下关闭了3389的端口回复的是RST+ACK的包。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XkcnqLGL-1617317298370)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps38.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SJA2x03x-1617317298371)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps39.jpg)]

由前面了解的TCP三次握手协议的知识可知，这个端口是打开的，同理端口是打开的可以进行TCP连接那么主机也是存活的。

NMAP是一款主动式的扫描工具，在通信没有阻断的情况下，短时间内可以获得结果，如今防火墙越来越强大，仅仅掌握了部分参数无法获得想要的结果，这里笔者虽未提及所有参数的使用方法，读者可以自行进行尝试。

NMAP的性能调优与显示优化

我们在使用NMAP的过程中，因所面对的环境不一样而遇到各种各样的问题和需求，例如在面对扫描一个大型网段中的主机卡在了一个地方不动了、想扫描的速度快速一点、让NMAP的现实更直观等等，在下面我们来了解一下这方面的参数的使用。

不做DNS反向查询加快扫描速度

Nmap -n 192.168.1.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lk1bMNeq-1617317298373)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps40.jpg)]

跳过被卡住的主机

注：在我们对一个大型的网络进行扫描的时候往往会因为某个主机的延迟等等原因卡住，有时候会几十分钟甚至更久，在对一个大型网络进行扫描的时候建议要加上这个参数，我们可以最大等待时间设置为10秒（s）10分（m）等，这样即便遇到卡住的情况也会在最大等待时间后继续进行扫描。

Nmap -n 192.168.1.* --host-timeout 10s

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Khuaylcc-1617317298373)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps41.jpg)]

控制NMAP的扫描速度

注：这里我们使用的是-T参数在我们想低调的进行扫描的时候、躲避防火墙的时候都可以使用这个参数，这个参数有6个等级分别从0-5，我们结合-n参数逐个-T3、-T4、-T5使用来与不使用来对比速度，下面给出的命令是最高速度的-T5参数。

Nmap -n -T5 192.168.1.*

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TYtlFJGB-1617317298374)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps42.jpg)]

（不使用-T参数耗时7.30秒）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wtshjt9D-1617317298374)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps43.jpg)]

（使用-T3参数耗时7.28秒）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3BMo8wlx-1617317298375)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps44.jpg)]

（使用-T4参数耗时6.98秒）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W0CLexqn-1617317298376)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps45.jpg)]

（使用-T5参数耗时5.95秒）

仅仅显示Open（打开）的端口

注：在一些情况下我们想忽略那些NMAP无法判断是否开放的端口可以使用这个参数，更直观的显示扫描结果。

Nmap -n -T5 192.168.1.* --open

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wrXrSDDa-1617317298377)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps46.jpg)]

显示扫描过程中的详细的信息

Nmap -n -T5 -v 192.168.1.*

（仅截取部分输出结果，读者可以自行实验）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AMVo0QGI-1617317298378)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps47.jpg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IZ4XtRio-1617317298379)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps48.jpg)]

显示NMAP的判断理由

使用–reason参数

nmap -n -T5 -sV 192.168.1.6 --reason

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4RwstUaO-1617317298381)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps49.jpg)]

NMAP的安全检测躲避技术

最为隐秘的扫描方式-僵尸机扫描

首先使用nmap自带的ipidseq.nse脚本来发现主机的ip是否是递增的情况

nmap -p445 192.168.1.6 --script=ipidseq.nse

如果回显|_ipidseq：Incremental！则说明是僵尸机下面就可以进行僵尸扫描了

nmap 192.168.1.6（目标） -p80 -sI 192.168.1.1(僵尸机)

与此同时建议进行-Pn 取消主机发现 减少僵尸机的ip递增

nmap 192.168.1.6（目标） -p80 -sI 192.168.1.1(僵尸机) -Pn

伪造多个源地址（将自己的ip隐藏其中）

注：ME代表自己的ip

Nmap -D 192.168.1.1,192.168.1.22,192.168.1.44,ME 192.168.1.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-siw3BYkY-1617317298382)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps50.jpg)]

或者使用RND：11随机生成11个ip

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-88YdNGP3-1617317298382)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps51.jpg)]

IP数据段分片

注：将自己的IP地址分成很多段发送出去并进行服务与系统版本扫描。

Nmap -f -sV 192.168.1.6

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zZc34lR9-1617317298383)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps52.jpg)]

指定IP协议

Nmap -PO1 192.168.1.6

注：-PO1代表 ICMP协议、-PO6代表 TCP协议，有些情况下我们需要利用不同的ip协议去躲避目标的防火墙。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LqelLlcf-1617317298384)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps53.jpg)]

伪造mac（网卡）地址

Nmap -sV --spoof-mac 0 192.168.1.6

注：伪造mac（网卡）地址进行服务与系统版本扫描，0代表随机分配mac地址。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QHSoJ6Sp-1617317298385)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps54.jpg)]

NMAP的脚本扫描

NMAP的脚本默认存放在nmap的安装目录下的scripts文件夹，目前有下列14大类，589个脚本（笔者这里是E:\Nmap\scripts）。

Auth、Broadcast、Brute、Default、Discovery、DoS、Exploit、External、Fuzzer、Intrusive、Malware、Safe、Version、Vuln

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gwtyl4N0-1617317298385)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps55.jpg)]

（NMAP脚本）

NMAP脚本扫描的使用方法:

nmap --script=脚本名称或者类 -v 目标IP

注：加上-v参数是为了我们更好的了解过程和进程

nmap -p445 --script=smb-vuln-ms17-010.nse -v 192.168.1.7

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Hbyk5QDU-1617317298386)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps56.jpg)]

（使用脚本扫描目标是否存在MS17-010漏洞）

-QHSoJ6Sp-1617317298385)]

NMAP的脚本扫描

NMAP的脚本默认存放在nmap的安装目录下的scripts文件夹，目前有下列14大类，589个脚本（笔者这里是E:\Nmap\scripts）。

Auth、Broadcast、Brute、Default、Discovery、DoS、Exploit、External、Fuzzer、Intrusive、Malware、Safe、Version、Vuln

[外链图片转存中…(img-Gwtyl4N0-1617317298385)]

（NMAP脚本）

NMAP脚本扫描的使用方法:

nmap --script=脚本名称或者类 -v 目标IP

注：加上-v参数是为了我们更好的了解过程和进程

nmap -p445 --script=smb-vuln-ms17-010.nse -v 192.168.1.7

[外链图片转存中…(img-Hbyk5QDU-1617317298386)]

（使用脚本扫描目标是否存在MS17-010漏洞）