NMAP速查手冊(cè)

1、1 常用命令1.1 簡(jiǎn)單示例使用ping檢測(cè)/24這個(gè)網(wǎng)段1nmap -sP /24使用SYN的方法對(duì)全端口進(jìn)行掃描,在aggressive(4)的時(shí)間模板下,同時(shí)對(duì)開放的端口進(jìn)行端口識(shí)別1nmap -p1-65535 -sV -sS -T4 target PS: -T代表的是掃描的時(shí)候,一些控制選項(xiàng)(TCP的延遲時(shí)間,探測(cè)報(bào)文之間的間隔等)的集合,具體的man nmap一下就知道了使用SYN掃描,在aggressive(4)的時(shí)間模板下,探測(cè)操作系統(tǒng)的類型和版本,還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -sS -A -T4 tar

2、get 使用SYN掃描,在insane(5)的時(shí)間模板下,探測(cè)操作系統(tǒng)的類型和版本,還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -sS -A -T5 target 使用SYN掃描,在insane(5)的時(shí)間模板下,探測(cè)操作系統(tǒng)的類型,還有顯示traceroute的結(jié)果,操作系統(tǒng)的類型,結(jié)果輸出較為詳細(xì)1nmap -v -sV -O -sS -T5 target 使用SYN的方法對(duì)全端口進(jìn)行掃描,同時(shí)對(duì)開放的端口進(jìn)行端口識(shí)別,在aggressive(4)的時(shí)間模板下,探測(cè)操作系統(tǒng)的類型還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -p 1-655

3、35 -sV -O -sS -T4 target 用SYN的方法對(duì)全端口進(jìn)行掃描,同時(shí)對(duì)開放的端口進(jìn)行端口識(shí)別,在insane(5)的時(shí)間模板下,探測(cè)操作系統(tǒng)的類型,還有顯示traceroute的結(jié)果,結(jié)果輸出較為詳細(xì)1nmap -v -p 1-65535 -sV -O -sS -T5 target從文件中讀取需要掃描的IP列表1nmap -iL ip-address.txt1.2 Nmap輸出格式掃描的結(jié)果輸出到屏幕,同時(shí)會(huì)存儲(chǔ)一份到grep-output.txt1nmap -sV -p 139,445 -oG grep-output.txt /24掃描結(jié)果輸出為html1n

4、map -sS -sV -T5 9 -webxml -oX - | xsltproc -output file.html 1.3 Nmap掃描Netbios在子網(wǎng)中發(fā)現(xiàn)開放netbios的IP1nmap -sV -v -p139,445 /24掃描指定netbios的名稱1nmap -sU -script nbstat.nse -p 137 target 掃描指定的目標(biāo),同時(shí)檢測(cè)相關(guān)漏洞1nmap -script-args=unsafe=1 -script smb-check-vulns.nse -p 445 target將nmap的80端口的掃描結(jié)果,通過(guò)管道

5、交給nikto進(jìn)行掃描1Nmap Nikto Scan nmap -p80 /24 -oG - | nikto.pl -h -將nmap的80,443端口的掃描結(jié)果,通過(guò)管道交給nikto進(jìn)行掃描1nmap -p80,443 /24 -oG - | nikto.pl -h -1.4 Nmap參數(shù)詳解Nmap支持主機(jī)名,ip,網(wǎng)段的表示方式例如:blah.highon.coffee, /24, ;10.0.0-25.1-2541234-iL filename從文件中讀取待檢測(cè)的目標(biāo),文件中的表示方法支持機(jī)名,ip,網(wǎng)段-iR

6、hostnum隨機(jī)選取,進(jìn)行掃描.如果-iR指定為0,則是無(wú)休止的掃描-exclude host1, host2從掃描任務(wù)中需要排除的主機(jī) -exculdefile exclude_file 排除文件中的IP,格式和-iL指定掃描文件的格式相同主機(jī)發(fā)現(xiàn)1234567-sL僅僅是顯示,掃描的IP數(shù)目,不會(huì)進(jìn)行任何掃描-snping掃描,即主機(jī)發(fā)現(xiàn)-Pn檢測(cè)主機(jī)存活-PS/PA/PU/PYportlist TCP SYN Ping/TCP ACK Ping/UDP Ping發(fā)現(xiàn)-PE/PP/PM 使用ICMPecho,timestamp andnetmask請(qǐng)求包發(fā)現(xiàn)主機(jī)-POprococol l

7、ist 使用IP協(xié)議包探測(cè)對(duì)方主機(jī)是否開啟 -n/-R 不對(duì)IP進(jìn)行域名反向解析/為所有的IP都進(jìn)行域名的反響解析掃描技巧12345678-sS/sT/sA/sW/sMTCP SYN/TCP connect()/ACK/TCP窗口掃描/TCP Maimon掃描-sU UDP掃描-sN/sF/sX TCP Null，F(xiàn)IN，and Xmas掃描-scanflags 自定義TCP包中的flags-sI zombie host:probeport Idlescan-sY/sZ SCTP INIT/COOKIE-ECHO 掃描-sO使用IPprotocol掃描確定目標(biāo)機(jī)支持的協(xié)議類型-b “FTP r

8、elay host”使用FTP bounce scan指定端口和掃描順序123456-p特定的端口 -p80,443 或者 -p1-65535-p U:PORT掃描udp的某個(gè)端口, -p U:53-F快速掃描模式,比默認(rèn)的掃描端口還少-r不隨機(jī)掃描端口,默認(rèn)是隨機(jī)掃描的-top-ports number 掃描開放概率最高的number個(gè)端口,出現(xiàn)的概率需要參考nmap-services文件,ubuntu中該文件位于/usr/share/nmap.nmap默認(rèn)掃前1000個(gè)-port-ratio ratio 掃描指定頻率以上的端口服務(wù)版本識(shí)別12345-sV開放版本探測(cè),可以直接使用-A同時(shí)打

9、開操作系統(tǒng)探測(cè)和版本探測(cè)-version-intensity level 設(shè)置版本掃描強(qiáng)度,強(qiáng)度水平說(shuō)明了應(yīng)該使用哪些探測(cè)報(bào)文。數(shù)值越高，服務(wù)越有可能被正確識(shí)別。默認(rèn)是7-version-light 打開輕量級(jí)模式,為-version-intensity 2的別名-version-all 嘗試所有探測(cè),為-version-intensity 9的別名-version-trace 顯示出詳細(xì)的版本偵測(cè)過(guò)程信息腳本掃描1234567-sC 根據(jù)端口識(shí)別的服務(wù),調(diào)用默認(rèn)腳本-script=”Lua scripts” 調(diào)用的腳本名-script-args=n1=v1,n2=v2 調(diào)用的腳本傳遞的參數(shù)-

10、script-args-file=filename 使用文本傳遞參數(shù)-script-trace 顯示所有發(fā)送和接收到的數(shù)據(jù)-script-updatedb 更新腳本的數(shù)據(jù)庫(kù)-script-help=”Lua script” 顯示指定腳本的幫助OS識(shí)別123-O 啟用操作系統(tǒng)檢測(cè),-A來(lái)同時(shí)啟用操作系統(tǒng)檢測(cè)和版本檢測(cè)-osscan-limit 針對(duì)指定的目標(biāo)進(jìn)行操作系統(tǒng)檢測(cè)(至少需確知該主機(jī)分別有一個(gè)open和closed的端口)-osscan-guess 推測(cè)操作系統(tǒng)檢測(cè)結(jié)果,當(dāng)Nmap無(wú)法確定所檢測(cè)的操作系統(tǒng)時(shí)，會(huì)盡可能地提供最相近的匹配，Nmap默認(rèn)進(jìn)行這種匹配防火墻/IDS躲避和哄騙12

11、3456789101112-f; -mtu value 指定使用分片、指定數(shù)據(jù)包的MTU.-D decoy1,decoy2,ME 使用誘餌隱蔽掃描-S IP-ADDRESS 源地址欺騙-e interface 使用指定的接口-g/ -source-port PROTNUM 使用指定源端口-proxies url1,url2,. 使用HTTP或者SOCKS4的代理-data-length NUM 填充隨機(jī)數(shù)據(jù)讓數(shù)據(jù)包長(zhǎng)度達(dá)到NUM-ip-options OPTIONS 使用指定的IP選項(xiàng)來(lái)發(fā)送數(shù)據(jù)包-ttl VALUE 設(shè)置IP time-to-live域-spoof-mac ADDR/PREF

12、IX/VEBDOR MAC地址偽裝-badsum 使用錯(cuò)誤的checksum來(lái)發(fā)送數(shù)據(jù)包Nmap 輸出1234567891011121314151617-oN 將標(biāo)準(zhǔn)輸出直接寫入指定的文件-oX 輸出xml文件-oS 將所有的輸出都改為大寫-oG 輸出便于通過(guò)bash或者perl處理的格式,非xml-oA BASENAME 可將掃描結(jié)果以標(biāo)準(zhǔn)格式、XML格式和Grep格式一次性輸出-v 提高輸出信息的詳細(xì)度-d level 設(shè)置debug級(jí)別,最高是9-reason 顯示端口處于帶確認(rèn)狀態(tài)的原因-open 只輸出端口狀態(tài)為open的端口-packet-trace 顯示所有發(fā)送或者接收到的數(shù)據(jù)包

13、-iflist 顯示路由信息和接口,便于調(diào)試-log-errors 把日志等級(jí)為errors/warings的日志輸出-append-output 追加到指定的文件-resume FILENAME 恢復(fù)已停止的掃描-stylesheet PATH/URL 設(shè)置XSL樣式表，轉(zhuǎn)換XML輸出-webxml 從得到XML的樣式-no-sytlesheet 忽略XML聲明的XSL樣式表其他nmap選項(xiàng)12345678-6 開啟IPv6-A OS識(shí)別,版本探測(cè),腳本掃描和traceroute-datedir DIRNAME 說(shuō)明用戶Nmap數(shù)據(jù)文件位置-send-eth / -send-

14、ip 使用原以太網(wǎng)幀發(fā)送/在原IP層發(fā)送-privileged 假定用戶具有全部權(quán)限-unprovoleged 假定用戶不具有全部權(quán)限,創(chuàng)建原始套接字需要root權(quán)限-V 打印版本信息-h 輸出幫助2 腳本引擎2.1 nmap按腳本分類掃描nmap腳本主要分為以下幾類，在掃描時(shí)可根據(jù)需要設(shè)置-script=類別這種方式進(jìn)行比較籠統(tǒng)的掃描：auth: 負(fù)責(zé)處理鑒權(quán)證書（繞開鑒權(quán)）的腳本 broadcast: 在局域網(wǎng)內(nèi)探查更多服務(wù)開啟狀況，如dhcp/dns/sqlserver等服務(wù) brute: 提供暴力破解方式，針對(duì)常見的應(yīng)用如http/snmp等 default: 使用-sC或-A選項(xiàng)掃描

15、時(shí)候默認(rèn)的腳本，提供基本腳本掃描能力 discovery: 對(duì)網(wǎng)絡(luò)進(jìn)行更多的信息，如SMB枚舉、SNMP查詢等 dos: 用于進(jìn)行拒絕服務(wù)攻擊 exploit: 利用已知的漏洞入侵系統(tǒng) external: 利用第三方的數(shù)據(jù)庫(kù)或資源，例如進(jìn)行whois解析 fuzzer: 模糊測(cè)試的腳本，發(fā)送異常的包到目標(biāo)機(jī)，探測(cè)出潛在漏洞 intrusive: 入侵性的腳本，此類腳本可能引發(fā)對(duì)方的IDS/IPS的記錄或屏蔽 malware: 探測(cè)目標(biāo)機(jī)是否感染了病毒、開啟了后門等信息 safe: 此類與intrusive相反，屬于安全性腳本 version: 負(fù)責(zé)增強(qiáng)服務(wù)與版本掃描（Version Detec

16、tion）功能的腳本 vuln: 負(fù)責(zé)檢查目標(biāo)機(jī)是否有常見的漏洞（Vulnerability），如是否有MS08_067部分使用截圖：（1）nmap -script=auth 192.168.137.*負(fù)責(zé)處理鑒權(quán)證書（繞開鑒權(quán)）的腳本,也可以作為檢測(cè)部分應(yīng)用弱口令（2）nmap -script=brute 192.168.137.*提供暴力破解的方式 可對(duì)數(shù)據(jù)庫(kù)，smb，snmp等進(jìn)行簡(jiǎn)單密碼的暴力猜解（3）nmap -script=default 192.168.137.*或者nmap -sC 192.168.137.*默認(rèn)的腳本掃描，主要是搜集各種應(yīng)用服務(wù)的信息，收集到后，可再針對(duì)具體服

17、務(wù)進(jìn)行攻擊（4）nmap -script=vuln 192.168.137.* 檢查是否存在常見漏洞（5）nmap -n -p445 -script=broadcast 在局域網(wǎng)內(nèi)探查更多服務(wù)開啟狀況（6）nmap -script external 10利用第三方的數(shù)據(jù)庫(kù)或資源，例如進(jìn)行whois解析2.2 nmap按應(yīng)用服務(wù)掃描（1）vnc掃描：檢查vnc bypass1nmap -script=realvnc-auth-bypass 檢查vnc認(rèn)證方式1nmap -script=vnc-auth 192.168

18、.137.4 獲取vnc信息1nmap -script=vnc-info （2）smb掃描：smb破解1nmap -script=smb-brute.nse smb字典破解1nmap -script=smb-brute.nse -script-args=userdb=/var/passwd,passdb=/var/passwd smb已知幾個(gè)嚴(yán)重漏1nmap -script=smb-check-vulns.nse -script-args=unsafe=1 查看共享目錄 1nmap -

19、p 445 -script smb-ls -script-args share=e$,path=,smbuser=test,smbpass=test 查詢主機(jī)一些敏感信息（注：需要下載nmap_service）1nmap -p 445 -n script=smb-psexec -script-args= smbuser=test,smbpass=test 查看會(huì)話1nmap -n -p445 -script=smb-enum-sessions.nse -script-args=smbuser=test,smbpass=test 192.1

20、68.137.4 系統(tǒng)信息1nmap -n -p445 -script=smb-os-discovery.nse -script-args=smbuser=test,smbpass=test （3）Mssql掃描：猜解mssql用戶名和密碼1nmap -p1433 -script=ms-sql-brute -script-args=userdb=/var/passwd,passdb=/var/passwd xp_cmdshell 執(zhí)行命令1nmap -p 1433 -script ms-sql-xp-cmdshell -script-ar

21、gs mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd=net user dumphash值1nmap -p 1433 -script ms-sql-dump-hashes.nse -script-args mssql.username=sa,mssql.password=sa （4）Mysql掃描：掃描root空口令1nmap -p3306 -script=mysql-empty-password.nse 列出所有mysql用戶1nmap -

22、p3306 -script=mysql-users.nse -script-args=mysqluser=root 支持同一應(yīng)用的所有腳本掃描1nmap -script=mysql-* （5）Oracle掃描：oracle sid掃描1nmap -script=oracle-sid-brute -p 1521-1560 oracle弱口令破解1nmap -script oracle-brute -p 1521 -script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd （6）其他一些比較好用的腳本nmap -script=broadcast-netbios-master-browser 發(fā)現(xiàn)網(wǎng)關(guān) nmap -p 873 -script rsync-brute -script-args rsync-brute.module=www 破解rsync nmap -script informix-brute -p 908