NMAP速查手冊

1、1 常用命令1.1 簡單示例使用ping檢測/24這個網(wǎng)段1nmap -sP /24使用SYN的方法對全端口進(jìn)行掃描,在aggressive(4)的時間模板下,同時對開放的端口進(jìn)行端口識別1nmap -p1-65535 -sV -sS -T4 target PS: -T代表的是掃描的時候,一些控制選項(TCP的延遲時間,探測報文之間的間隔等)的集合,具體的man nmap一下就知道了使用SYN掃描,在aggressive(4)的時間模板下,探測操作系統(tǒng)的類型和版本,還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -sS -A -T4 tar

2、get 使用SYN掃描,在insane(5)的時間模板下,探測操作系統(tǒng)的類型和版本,還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -sS -A -T5 target 使用SYN掃描,在insane(5)的時間模板下,探測操作系統(tǒng)的類型,還有顯示traceroute的結(jié)果,操作系統(tǒng)的類型,結(jié)果輸出較為詳細(xì)1nmap -v -sV -O -sS -T5 target 使用SYN的方法對全端口進(jìn)行掃描,同時對開放的端口進(jìn)行端口識別,在aggressive(4)的時間模板下,探測操作系統(tǒng)的類型還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -p 1-655

3、35 -sV -O -sS -T4 target 用SYN的方法對全端口進(jìn)行掃描,同時對開放的端口進(jìn)行端口識別,在insane(5)的時間模板下,探測操作系統(tǒng)的類型,還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -p 1-65535 -sV -O -sS -T5 target從文件中讀取需要掃描的IP列表1nmap -iL ip-address.txt1.2 Nmap輸出格式掃描的結(jié)果輸出到屏幕,同時會存儲一份到grep-output.txt1nmap -sV -p 139,445 -oG grep-output.txt /24掃描結(jié)果輸出為html1n

4、map -sS -sV -T5 9 -webxml -oX - | xsltproc -output file.html 1.3 Nmap掃描Netbios在子網(wǎng)中發(fā)現(xiàn)開放netbios的IP1nmap -sV -v -p139,445 /24掃描指定netbios的名稱1nmap -sU -script nbstat.nse -p 137 target 掃描指定的目標(biāo),同時檢測相關(guān)漏洞1nmap -script-args=unsafe=1 -script smb-check-vulns.nse -p 445 target將nmap的80端口的掃描結(jié)果,通過管道

5、交給nikto進(jìn)行掃描1Nmap Nikto Scan nmap -p80 /24 -oG - | nikto.pl -h -將nmap的80,443端口的掃描結(jié)果,通過管道交給nikto進(jìn)行掃描1nmap -p80,443 /24 -oG - | nikto.pl -h -1.4 Nmap參數(shù)詳解Nmap支持主機名,ip,網(wǎng)段的表示方式例如:blah.highon.coffee, /24, ;10.0.0-25.1-2541234-iL filename從文件中讀取待檢測的目標(biāo),文件中的表示方法支持機名,ip,網(wǎng)段-iR

6、hostnum隨機選取,進(jìn)行掃描.如果-iR指定為0,則是無休止的掃描-exclude host1, host2從掃描任務(wù)中需要排除的主機 -exculdefile exclude_file 排除文件中的IP,格式和-iL指定掃描文件的格式相同主機發(fā)現(xiàn)1234567-sL僅僅是顯示,掃描的IP數(shù)目,不會進(jìn)行任何掃描-snping掃描,即主機發(fā)現(xiàn)-Pn檢測主機存活-PS/PA/PU/PYportlist TCP SYN Ping/TCP ACK Ping/UDP Ping發(fā)現(xiàn)-PE/PP/PM 使用ICMPecho,timestamp andnetmask請求包發(fā)現(xiàn)主機-POprococol l

7、ist 使用IP協(xié)議包探測對方主機是否開啟 -n/-R 不對IP進(jìn)行域名反向解析/為所有的IP都進(jìn)行域名的反響解析掃描技巧12345678-sS/sT/sA/sW/sMTCP SYN/TCP connect()/ACK/TCP窗口掃描/TCP Maimon掃描-sU UDP掃描-sN/sF/sX TCP Null，F(xiàn)IN，and Xmas掃描-scanflags 自定義TCP包中的flags-sI zombie host:probeport Idlescan-sY/sZ SCTP INIT/COOKIE-ECHO 掃描-sO使用IPprotocol掃描確定目標(biāo)機支持的協(xié)議類型-b “FTP r

8、elay host”使用FTP bounce scan指定端口和掃描順序123456-p特定的端口 -p80,443 或者 -p1-65535-p U:PORT掃描udp的某個端口, -p U:53-F快速掃描模式,比默認(rèn)的掃描端口還少-r不隨機掃描端口,默認(rèn)是隨機掃描的-top-ports number 掃描開放概率最高的number個端口,出現(xiàn)的概率需要參考nmap-services文件,ubuntu中該文件位于/usr/share/nmap.nmap默認(rèn)掃前1000個-port-ratio ratio 掃描指定頻率以上的端口服務(wù)版本識別12345-sV開放版本探測,可以直接使用-A同時打

9、開操作系統(tǒng)探測和版本探測-version-intensity level 設(shè)置版本掃描強度,強度水平說明了應(yīng)該使用哪些探測報文。數(shù)值越高，服務(wù)越有可能被正確識別。默認(rèn)是7-version-light 打開輕量級模式,為-version-intensity 2的別名-version-all 嘗試所有探測,為-version-intensity 9的別名-version-trace 顯示出詳細(xì)的版本偵測過程信息腳本掃描1234567-sC 根據(jù)端口識別的服務(wù),調(diào)用默認(rèn)腳本-script=”Lua scripts” 調(diào)用的腳本名-script-args=n1=v1,n2=v2 調(diào)用的腳本傳遞的參數(shù)-

10、script-args-file=filename 使用文本傳遞參數(shù)-script-trace 顯示所有發(fā)送和接收到的數(shù)據(jù)-script-updatedb 更新腳本的數(shù)據(jù)庫-script-help=”Lua script” 顯示指定腳本的幫助OS識別123-O 啟用操作系統(tǒng)檢測,-A來同時啟用操作系統(tǒng)檢測和版本檢測-osscan-limit 針對指定的目標(biāo)進(jìn)行操作系統(tǒng)檢測(至少需確知該主機分別有一個open和closed的端口)-osscan-guess 推測操作系統(tǒng)檢測結(jié)果,當(dāng)Nmap無法確定所檢測的操作系統(tǒng)時，會盡可能地提供最相近的匹配，Nmap默認(rèn)進(jìn)行這種匹配防火墻/IDS躲避和哄騙12

11、3456789101112-f; -mtu value 指定使用分片、指定數(shù)據(jù)包的MTU.-D decoy1,decoy2,ME 使用誘餌隱蔽掃描-S IP-ADDRESS 源地址欺騙-e interface 使用指定的接口-g/ -source-port PROTNUM 使用指定源端口-proxies url1,url2,. 使用HTTP或者SOCKS4的代理-data-length NUM 填充隨機數(shù)據(jù)讓數(shù)據(jù)包長度達(dá)到NUM-ip-options OPTIONS 使用指定的IP選項來發(fā)送數(shù)據(jù)包-ttl VALUE 設(shè)置IP time-to-live域-spoof-mac ADDR/PREF

12、IX/VEBDOR MAC地址偽裝-badsum 使用錯誤的checksum來發(fā)送數(shù)據(jù)包Nmap 輸出1234567891011121314151617-oN 將標(biāo)準(zhǔn)輸出直接寫入指定的文件-oX 輸出xml文件-oS 將所有的輸出都改為大寫-oG 輸出便于通過bash或者perl處理的格式,非xml-oA BASENAME 可將掃描結(jié)果以標(biāo)準(zhǔn)格式、XML格式和Grep格式一次性輸出-v 提高輸出信息的詳細(xì)度-d level 設(shè)置debug級別,最高是9-reason 顯示端口處于帶確認(rèn)狀態(tài)的原因-open 只輸出端口狀態(tài)為open的端口-packet-trace 顯示所有發(fā)送或者接收到的數(shù)據(jù)包

13、-iflist 顯示路由信息和接口,便于調(diào)試-log-errors 把日志等級為errors/warings的日志輸出-append-output 追加到指定的文件-resume FILENAME 恢復(fù)已停止的掃描-stylesheet PATH/URL 設(shè)置XSL樣式表，轉(zhuǎn)換XML輸出-webxml 從得到XML的樣式-no-sytlesheet 忽略XML聲明的XSL樣式表其他nmap選項12345678-6 開啟IPv6-A OS識別,版本探測,腳本掃描和traceroute-datedir DIRNAME 說明用戶Nmap數(shù)據(jù)文件位置-send-eth / -send-

14、ip 使用原以太網(wǎng)幀發(fā)送/在原IP層發(fā)送-privileged 假定用戶具有全部權(quán)限-unprovoleged 假定用戶不具有全部權(quán)限,創(chuàng)建原始套接字需要root權(quán)限-V 打印版本信息-h 輸出幫助2 腳本引擎2.1 nmap按腳本分類掃描nmap腳本主要分為以下幾類，在掃描時可根據(jù)需要設(shè)置-script=類別這種方式進(jìn)行比較籠統(tǒng)的掃描：auth: 負(fù)責(zé)處理鑒權(quán)證書（繞開鑒權(quán)）的腳本 broadcast: 在局域網(wǎng)內(nèi)探查更多服務(wù)開啟狀況，如dhcp/dns/sqlserver等服務(wù) brute: 提供暴力破解方式，針對常見的應(yīng)用如http/snmp等 default: 使用-sC或-A選項掃描

15、時候默認(rèn)的腳本，提供基本腳本掃描能力 discovery: 對網(wǎng)絡(luò)進(jìn)行更多的信息，如SMB枚舉、SNMP查詢等 dos: 用于進(jìn)行拒絕服務(wù)攻擊 exploit: 利用已知的漏洞入侵系統(tǒng) external: 利用第三方的數(shù)據(jù)庫或資源，例如進(jìn)行whois解析 fuzzer: 模糊測試的腳本，發(fā)送異常的包到目標(biāo)機，探測出潛在漏洞 intrusive: 入侵性的腳本，此類腳本可能引發(fā)對方的IDS/IPS的記錄或屏蔽 malware: 探測目標(biāo)機是否感染了病毒、開啟了后門等信息 safe: 此類與intrusive相反，屬于安全性腳本 version: 負(fù)責(zé)增強服務(wù)與版本掃描（Version Detec

16、tion）功能的腳本 vuln: 負(fù)責(zé)檢查目標(biāo)機是否有常見的漏洞（Vulnerability），如是否有MS08_067部分使用截圖：（1）nmap -script=auth 192.168.137.*負(fù)責(zé)處理鑒權(quán)證書（繞開鑒權(quán)）的腳本,也可以作為檢測部分應(yīng)用弱口令（2）nmap -script=brute 192.168.137.*提供暴力破解的方式 可對數(shù)據(jù)庫，smb，snmp等進(jìn)行簡單密碼的暴力猜解（3）nmap -script=default 192.168.137.*或者nmap -sC 192.168.137.*默認(rèn)的腳本掃描，主要是搜集各種應(yīng)用服務(wù)的信息，收集到后，可再針對具體服

17、務(wù)進(jìn)行攻擊（4）nmap -script=vuln 192.168.137.* 檢查是否存在常見漏洞（5）nmap -n -p445 -script=broadcast 在局域網(wǎng)內(nèi)探查更多服務(wù)開啟狀況（6）nmap -script external 10利用第三方的數(shù)據(jù)庫或資源，例如進(jìn)行whois解析2.2 nmap按應(yīng)用服務(wù)掃描（1）vnc掃描：檢查vnc bypass1nmap -script=realvnc-auth-bypass 檢查vnc認(rèn)證方式1nmap -script=vnc-auth 192.168

18、.137.4 獲取vnc信息1nmap -script=vnc-info （2）smb掃描：smb破解1nmap -script=smb-brute.nse smb字典破解1nmap -script=smb-brute.nse -script-args=userdb=/var/passwd,passdb=/var/passwd smb已知幾個嚴(yán)重漏1nmap -script=smb-check-vulns.nse -script-args=unsafe=1 查看共享目錄 1nmap -

19、p 445 -script smb-ls -script-args share=e$,path=,smbuser=test,smbpass=test 查詢主機一些敏感信息（注：需要下載nmap_service）1nmap -p 445 -n script=smb-psexec -script-args= smbuser=test,smbpass=test 查看會話1nmap -n -p445 -script=smb-enum-sessions.nse -script-args=smbuser=test,smbpass=test 192.1

20、68.137.4 系統(tǒng)信息1nmap -n -p445 -script=smb-os-discovery.nse -script-args=smbuser=test,smbpass=test （3）Mssql掃描：猜解mssql用戶名和密碼1nmap -p1433 -script=ms-sql-brute -script-args=userdb=/var/passwd,passdb=/var/passwd xp_cmdshell 執(zhí)行命令1nmap -p 1433 -script ms-sql-xp-cmdshell -script-ar

21、gs mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd=net user dumphash值1nmap -p 1433 -script ms-sql-dump-hashes.nse -script-args mssql.username=sa,mssql.password=sa （4）Mysql掃描：掃描root空口令1nmap -p3306 -script=mysql-empty-password.nse 列出所有mysql用戶1nmap -

22、p3306 -script=mysql-users.nse -script-args=mysqluser=root 支持同一應(yīng)用的所有腳本掃描1nmap -script=mysql-* （5）Oracle掃描：oracle sid掃描1nmap -script=oracle-sid-brute -p 1521-1560 oracle弱口令破解1nmap -script oracle-brute -p 1521 -script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd （6）其他一些比較好用的腳本nmap -script=broadcast-netbios-master-browser 發(fā)現(xiàn)網(wǎng)關(guān) nmap -p 873 -script rsync-brute -script-args rsync-brute.module=www 破解rsync nmap -script informix-brute -p 908