🔬
JTZ
  • 启航
    • 💻介绍
    • 🔧路径以及总结
    • 🏆日记
      • 😀2022-12-26
      • 😀2022-11-13
      • 😀2022-11-4
  • 网络&系统
    • 🔧端口&协议
      • NFS 介绍
      • Kerberos 介绍
      • WINRM 介绍
      • Telnet 协议
      • CDN 介绍
      • ICMP 介绍
      • DNS
      • RDP
      • SNMP
      • FTP
      • SMB
      • WMI
      • SSH
    • 🔧计算机网络
      • 计算机网络
        • 什么是网络
          • 什么是网络
          • 什么是交换机
          • 什么是路由器
          • 什么是防火墙
        • Model
          • 什么是TCP/IP模型?什么是OSI模型?
        • IP
          • IP地址
      • 资源
        • Postman
        • 思科模拟器 8.2
        • Cisco Packet Tracer
        • 视频
        • WireShark
      • 协议
        • MAC
        • DHCP
        • 端口转发
        • ARP
        • ICMP
      • 第一章--概述
      • 第二章--物理层
      • 第三章--数据链路层
      • 第四章--网络层
      • 第五章--传输层
      • 第六章--应用层
    • 🔧操作系统
    • 🔧Windows
      • 工具
        • WSL 安装 kail
          • Windows 端口转发 WSL 流量
          • 使用远程桌面连接 kali
        • VMware
        • WizTree
        • Beyond Compare 4
        • 画图软件
        • 记笔记软件
          • Typora 插件
          • Typora 图床
        • 文本编辑器
        • 视频播放器
        • VPN
        • 录屏工具
        • Wise Disk Cleaner
        • WinHex
        • Custom Cursor
        • RAMMap
        • Snipaste
        • PowerTotys
        • 浏览器
          • 浏览器插件
      • Windows
    • 🔧Linux
      • 杂类
        • linux中mnt,media以及dev目录的区别
        • 如何在 SSH 身份验证后运行脚本
        • 探索 Reverse SHELL
        • 恢复文件
        • PID 介绍
        • sudo配置文件/etc/sudoers
        • 定时任务
      • 权限
        • Linux 访问控制列表 (ACL) 简介
      • 目录
        • /mnt
        • /media
        • /etc
        • /usr
        • /proc
      • 工具推荐
        • linux下使用clash(GUI)
        • 终端模拟程序
      • Linux命令
        • 查看文件信息
        • 磁盘信息
      • Linux
  • 工具
    • 🔧端口&服务
      • 22 -- SSH
        • ssh-audit
      • 25/465/587 -- SMTP/s
        • SMTP 命令
        • sendEmail
        • swaks
      • 53 -- DNS
      • 80/443 -- WEB 服务
        • CURL
        • CMS
          • droopescan
          • JoomlaScan
          • WPScan
        • 扫描工具
          • feroxbuster
          • WFUZZ
          • gobuster
          • FFUF
      • 88 tcp/udp -- Kerberos
      • 139/445 -- SMB
        • enum4linux-ng
        • smbClient
        • smbmap
        • rpcclient
      • 873--Rsync
        • Rsync
      • 2049-TCP/UDP-NFS
        • NFS no_root_squash/no_all_squash 错误配置
      • 5985/5986 -- WINRM
        • evil-winrm
        • 内网移动
      • 云服务
        • AWS
    • 端口扫描
      • masscan
      • nmap
        • 研究
        • nmap-common
        • ndiff
        • nping
    • SHELL
      • Windows 交互 SHELL
      • pwncat-cs
      • Netcat
      • MSF
      • Socat
    • 脚本工具包
      • 🔧Impacket
        • Hunting for Impacket
    • 📖字典
      • CEWL
    • 自动化扫描工具
      • nikto
      • SQLMAP
    • 密码&解密&爆破
      • 识别 Hash
        • hash-identifier
        • hashid
      • 破解 Hash
        • John
        • Hashcat
        • Hydra
      • DomainPasswordSpray
    • 渗透框架工具
      • Searchsploit
      • Metasploit
        • Msfvenom
    • 文件
      • Imagemagick
      • Exiftool
    • 开发工具
      • Git
    • 浏览器
      • 浏览器密码&历史等信息
    • crackmapexec
    • OPENSSL
      • Heartbleed
    • 文件隐写术
      • binwalk
      • Exiftool
      • Steghide
    • 频谱分析
  • 🛸权限提升
    • 🔧Active Directory
      • 🦯AD 枚举和攻击 -- 工具
        • BloodHound
        • Kerbrute
    • 🔧Windows
      • 🦯Windows 权限提升工具
    • 🔧Linux
      • 提权
        • Linux 提权思路
        • Linux 提权备忘录
      • 资料
        • Linux 权限: SUID, SGID, sticky
      • 🦯Linux 提权工具
        • 📱Pspy
  • 🕶️HTB 学院
    • SHELLS&Payloads
    • 文件传输
    • 足迹
    • Pivoting &隧道和端口转发
    • 密码攻击
  • 🖥️WEB 渗透测试
    • 命令注入(RCE)
      • 🚚资源
    • 身份验证
    • 信息泄露
      • 信息泄露工具
    • XXE
      • 资源
      • XML 介绍
    • XSS
      • 资源
    • IDOR
    • CORS
      • 资源
    • IDOR
    • SSRF
      • 资源
    • Page 1
    • 目录遍历
    • 访问控制
    • 文件上传
      • 资源
      • WAF 绕过
    • 点击劫持
    • CSRF
      • 资源
        • 同源策略
    • SSTI
      • 资源
    • WebSocket
    • 逻辑缺陷
    • 反序列化
    • 文件包含
      • /proc/self/envirom
    • 文件隐写术
  • 🔧编程语言
    • 编程工具
      • Vs-Code
      • Jetbrains
      • Navicat Premium 15
    • C/C++
      • Linux C 一站式编程学习
    • Java
      • 资源
        • JDK
        • 画类图软件
    • Python
      • 资源
        • Python 环境
        • Python 虚拟环境
    • SHELL 教程
      • SHELL 教程
      • 高级Bash脚本编程指南
      • 1.1 变量
      • 1.2 特殊字符
      • 1.3 正则表达式
      • 1.4 数组
      • 1.5 字符串
      • 1.6 函数
      • 1.7 循环判断
      • 扩展
        • 执行命令
        • 子 SHELL
  • 🔧云开发
    • 🔧Docker
      • 🔧Docker
  • 🔧信息收集
    • 网站内容
    • OSINT
    • 侦查
      • Shodan.io
      • google 语法
    • 子域枚举
      • dig
  • 🔧逆向
    • 工具
      • GDB
        • PEDA
      • ghidra
  • 🔧杂章
    • 杂章
      • 区域传输
      • XFF&Referer
      • VHOST
      • ASN
      • Shadow Defender
      • WinHex
由 GitBook 提供支持
在本页
  • 基本扫描
  • 脚本使用
  • 参数详解
  • 1. 主机发现
  • 2. 端口扫描
  • 3. 端口说明和扫描顺序
  • 4. 服务版本识别
  • 5. 脚本扫描
  • 6. OS 识别
  • 7. 时间和性能
  • 8. 防火墙/IDS躲避和哄骗
  • 9. Nmap 输出
  • 10. 其他 nmap 选项
  • 参考文章

这有帮助吗?

在GitHub上编辑
  1. 工具
  2. 端口扫描

nmap

用于端口扫描,并支持一些漏洞扫描

  • 主机探测

  • 端口扫描

  • 版本检测

  • 支持探测脚本的编写

基本扫描

# 基本快速扫描, 默认发送 一个 ARP 的 ping 数据包,探测目标主机在 1-10000 范围内开放的所有端口
nmap IP

# 快速扫描多个目标
nmap IP1 IP2....

# 详细描述输出扫描, 简单扫描,并对返回的结果详细描述输出
nmap [ -v | -vv ] IP 

# 指定端口和范围扫描
nmap -p [port, port...] IP

# 扫描除某一个 IP 外的所有子网主机
nmap IP/24 -exclude IP

# 显示扫描的所有主机的列表
nmap -sL IP/24

# Ping 扫描,只检测主机是否存在于网络中
nmap -sP IP

# SYN 半开放扫描, 不会在目标主机上产生记录
nmap -sS IP

# TCP 扫描
nmap -sT IP
# UDP 扫描
nmap -sU IP

# FIN  标志的数据报扫描, 不会在目标主机创建日志
nmap -sF IP

# Version 版本检测扫描
nmap -sV IP

# 操作系统探测
nmap -O IP

# 猜测匹配操作系统
nmap -O --osscan-guess IP

# NO Ping 扫描
nmap -O -PN IP

# 设置时间模板
nmap -sS -T<0-5> IP

# 网段扫描格式
nmap -sP IP/CIDR

# 从文件中读取需要扫描的 IP 列表
nmap -iL file

# 路由跟踪扫描
nmap -traceroute IP

# 包含 OS 识别、版本探测、脚本扫描、traceroute 综合扫描
nmap -A IP

脚本使用

nmap --script 类别
# 类别
- auth: 负责处理鉴权证书(绕开鉴权)的脚本  
- broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务  
- brute: 提供暴力破解方式,针对常见的应用如http/snmp等  
- default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力  
- discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等  
- dos: 用于进行拒绝服务攻击  
- exploit: 利用已知的漏洞入侵系统  
- external: 利用第三方的数据库或资源,例如进行whois解析  
- fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞
- intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
- malware: 探测目标机是否感染了病毒、开启了后门等信息  
- safe: 此类与intrusive相反,属于安全性脚本,不会影响目标
- version: 负责增强服务与版本扫描(Version Detection)功能的脚本  
- vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067

常见的一些脚本使用

# 扫描服务器常见漏洞
nmap --script vuln IP
# 检查 FTP 是否开启匿名登陆
nmap --script ftp-anon IP
# 对 MYSQL 进行暴力破解
nmap --script mysql-brute IP
# 对 MSSQL 进行暴力破解
nmap -p 1433 --script ms-sql-brute --script-args userdb=customuser.txt,passdb=custompass.txt IP
# 对 Oracle 数据库进行暴力破解
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL IP

# 对 抛光SQL 暴力破解
nmap -p 5432 --script pgsql-brute IP

# 对 SSH 暴力破解
nmap -p 22 --script ssh-brute --script-args userdb=users.lst,passdb=pass.lst --script-args ssh-brute.timeout=4s IP

# 使用 DNS 进行子域名暴力破解
nmap --script dns-brute www.baidu.com

# 检查VMWare ESX,ESXi和服务器(CVE-2009-3733)中的路径遍历漏洞
nmap --script http-vmware-path-vuln -p80,443,8222,8333 IP

# 查询VMware服务器(vCenter,ESX,ESXi)SOAP API以提取版本信息。
nmap --script vmware-version -p443 10.0.1.4

参数详解

Nmap 支持主机名 IP 网段表示方式

blah.highon.coffee, namp.org/24, 192.168.0.1;10.0.0-25.1-254

-iL filename                    从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
-iR hostnum                     随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
--exclude host1[, host2]        从扫描任务中需要排除的主机           
--exculdefile exclude_file      排除文件中的IP,格式和-iL指定扫描文件的格式相同

1. 主机发现

-sL                     仅仅是显示,扫描的IP数目,不会进行任何扫描
-sP                     ping扫描,即主机发现,显对扫描做出响应的主机
-P0                     Nmap 默认只对确定正在运行的主机进行高强度扫描,使用该命令可以对每一个目标进行扫描
-Pn                     不检测主机是否存活
-PS/PA/PU               TCP SYN Ping/TCP ACK Ping/UDP Ping
-PE/PP/PM               使用ICMP echo, timestamp and netmask 请求包发现主机
-PR                     ARP Ping 扫描,
-n                      不对IP进行域名反向解析
-R                      对目标 IP 地址进行反向域名解析,一般只有当发现机器正在运行时才进行这步操作
--system-dns            使用系统域名解析器  

2. 端口扫描

状态
描述

open

这表明与扫描端口的连接已建立。这些连接可以是TCP 连接、UDP 数据报以及SCTP 关联。

closed

当端口显示为关闭时,TCP 协议表明我们收到的数据包包含一个RST标志。这种扫描方法也可以用来确定我们的目标是否还活着。

filtered

Nmap 无法正确识别扫描的端口是打开还是关闭,因为要么没有从目标返回该端口的响应,要么我们从目标获得错误代码。

unfiltered

端口的这种状态只发生在TCP-ACK扫描期间,表示该端口是可访问的,但无法确定它是打开还是关闭。

open|filtered

如果我们没有得到特定端口的响应,Nmap则将其设置为该状态。这表明防火墙或数据包过滤器可以保护端口。

closed|filtered

此状态仅出现在IP ID 空闲扫描中,表示无法确定扫描的端口是否已关闭或被防火墙过滤。

-sS/sT/sA/sW/sM                 TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
-sU                             UDP扫描
-sN/sF/sX                       TCP Null,FIN,and Xmas扫描
--scanflags                     自定义TCP包中的flags
-sI zombie host[:probeport]     Idlescan
-sY/sZ                          SCTP INIT/COOKIE-ECHO 扫描
-sO                             使用IP 协议扫描确定目标机支持的协议类型
-b <ftp relay host>             使用FTP 弹跳扫描

3. 端口说明和扫描顺序

-p                      特定的端口 -p80,443 或者 -p1-65535
-p U:PORT               扫描udp的某个端口, -p U:53
-F                      快速扫描模式,比默认的扫描端口还少
-r                      不随机扫描端口,默认是随机扫描的
--top-ports "number"    扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
--port-ratio "ratio"    扫描指定频率以上的端口

4. 服务版本识别

-sV                             开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
--allports                      不为版本探测排除任何端口
--version-intensity [0~9]     设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7
--version-light                 打开轻量级模式,为--version-intensity 2的别名
--version-all                   尝试所有探测,为--version-intensity 9的别名
--version-trace                 显示出详细的版本侦测过程信息

5. 脚本扫描

-sC                             根据端口识别的服务,调用默认脚本
--script=”Lua scripts”          调用的脚本名
--script-args=n1=v1,[n2=v2]     调用的脚本传递的参数
--script-args-file=filename     使用文本传递参数
--script-trace                  显示所有发送和接收到的数据
--script-updatedb               更新脚本的数据库
--script-help=”Lua script”      显示指定脚本的帮助

6. OS 识别

-O              启用操作系统检测,-A来同时启用操作系统检测和版本检测
--osscan-limit  针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess  推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配

7. 时间和性能

--min-hostgroup <size>; --max-hostgroup <size>        调整并行扫描组的大小
--min-parallelism <numprobes>; --max-parallelism <numprobes>        调整探测报文的并行度
--min-rtt-timeout <milliseconds>, --max-rtt-timeout <milliseconds>, --initial-rtt-timeout <milliseconds>        调整探测报文超时
--host-timeout <milliseconds>        放弃低速目标主机
--scan-delay <milliseconds>; --max-scan-delay <milliseconds>        调整探测报文的时间间隔
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane>        设置时间模板, Nmap提供了一些简单的 方法,使用6个时间模板,使用时采用-T选项及数字(0 - 5) 或名称。模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前两种模式用于IDS躲避,Polite模式降低了扫描 速度以使用更少的带宽和目标主机资源。默认模式为Normal,因此-T3 实际上是未做任何优化。Aggressive模式假设用户具有合适及可靠的网络从而加速 扫描。Insane模式假设用户具有特别快的网络或者愿意为获得速度而牺牲准确性。

8. 防火墙/IDS躲避和哄骗

-f; --mtu value                 指定使用分片、指定数据包的MTU.
-D decoy1,decoy2,ME             使用诱饵隐蔽扫描
-S IP-ADDRESS                   源地址欺骗
-e interface                    使用指定的接口
-g/ --source-port PROTNUM       使用指定源端口  
--proxies url1,[url2],...       使用HTTP或者SOCKS4的代理
--data-length NUM               填充随机数据让数据包长度达到NUM
--ip-options OPTIONS            使用指定的IP选项来发送数据包
--ttl VALUE                     设置IP time-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR  MAC地址伪装
--badsum                        使用错误的checksum来发送数据包

9. Nmap 输出

# XML  转换为 HTML 展示
xsltproc target.xml -o target.html

-oN                     将标准输出直接写入指定的文件
-oX                     输出xml文件
-oS                     将所有的输出都改为大写
-oG                     输出便于通过bash或者perl处理的格式,非xml
-oA BASENAME            可将扫描结果以标准格式、XML格式和Grep格式一次性输出
-v                      提高输出信息的详细度
-d level                设置debug级别,最高是9
--reason                显示端口处于带确认状态的原因
--open                  只输出端口状态为open的端口
--packet-trace          显示所有发送或者接收到的数据包
--iflist                显示路由信息和接口,便于调试
--log-errors            把日志等级为errors/warings的日志输出
--append-output         追加到指定的文件
--resume FILENAME       恢复已停止的扫描
--stylesheet PATH/URL   设置XSL样式表,转换XML输出
--webxml                从namp.org得到XML的样式
--no-sytlesheet         忽略XML声明的XSL样式表

10. 其他 nmap 选项

-6                      开启IPv6
-A                      OS识别,版本探测,脚本扫描和traceroute
--datedir DIRNAME       说明用户Nmap数据文件位置
--send-eth / --send-ip  使用原以太网帧发送/在原IP层发送
--privileged            假定用户具有全部权限
--unprovoleged          假定用户不具有全部权限,创建原始套接字需要root权限
-V                      打印版本信息
-h                      输出帮助

参考文章

上一页masscan下一页研究

最后更新于2年前

这有帮助吗?

官方脚本文档
nmap 超详细使用教程
NMAP 官网