nmap
用于端口扫描,并支持一些漏洞扫描
主机探测
端口扫描
版本检测
支持探测脚本的编写
基本扫描
# 基本快速扫描, 默认发送 一个 ARP 的 ping 数据包,探测目标主机在 1-10000 范围内开放的所有端口
nmap IP
# 快速扫描多个目标
nmap IP1 IP2....
# 详细描述输出扫描, 简单扫描,并对返回的结果详细描述输出
nmap [ -v | -vv ] IP
# 指定端口和范围扫描
nmap -p [port, port...] IP
# 扫描除某一个 IP 外的所有子网主机
nmap IP/24 -exclude IP
# 显示扫描的所有主机的列表
nmap -sL IP/24
# Ping 扫描,只检测主机是否存在于网络中
nmap -sP IP
# SYN 半开放扫描, 不会在目标主机上产生记录
nmap -sS IP
# TCP 扫描
nmap -sT IP
# UDP 扫描
nmap -sU IP
# FIN 标志的数据报扫描, 不会在目标主机创建日志
nmap -sF IP
# Version 版本检测扫描
nmap -sV IP
# 操作系统探测
nmap -O IP
# 猜测匹配操作系统
nmap -O --osscan-guess IP
# NO Ping 扫描
nmap -O -PN IP
# 设置时间模板
nmap -sS -T<0-5> IP
# 网段扫描格式
nmap -sP IP/CIDR
# 从文件中读取需要扫描的 IP 列表
nmap -iL file
# 路由跟踪扫描
nmap -traceroute IP
# 包含 OS 识别、版本探测、脚本扫描、traceroute 综合扫描
nmap -A IP脚本使用
nmap --script 类别
# 类别
- auth: 负责处理鉴权证书(绕开鉴权)的脚本
- broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务
- brute: 提供暴力破解方式,针对常见的应用如http/snmp等
- default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力
- discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等
- dos: 用于进行拒绝服务攻击
- exploit: 利用已知的漏洞入侵系统
- external: 利用第三方的数据库或资源,例如进行whois解析
- fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞
- intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
- malware: 探测目标机是否感染了病毒、开启了后门等信息
- safe: 此类与intrusive相反,属于安全性脚本,不会影响目标
- version: 负责增强服务与版本扫描(Version Detection)功能的脚本
- vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067常见的一些脚本使用
# 扫描服务器常见漏洞
nmap --script vuln IP
# 检查 FTP 是否开启匿名登陆
nmap --script ftp-anon IP
# 对 MYSQL 进行暴力破解
nmap --script mysql-brute IP
# 对 MSSQL 进行暴力破解
nmap -p 1433 --script ms-sql-brute --script-args userdb=customuser.txt,passdb=custompass.txt IP
# 对 Oracle 数据库进行暴力破解
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL IP
# 对 抛光SQL 暴力破解
nmap -p 5432 --script pgsql-brute IP
# 对 SSH 暴力破解
nmap -p 22 --script ssh-brute --script-args userdb=users.lst,passdb=pass.lst --script-args ssh-brute.timeout=4s IP
# 使用 DNS 进行子域名暴力破解
nmap --script dns-brute www.baidu.com
# 检查VMWare ESX,ESXi和服务器(CVE-2009-3733)中的路径遍历漏洞
nmap --script http-vmware-path-vuln -p80,443,8222,8333 IP
# 查询VMware服务器(vCenter,ESX,ESXi)SOAP API以提取版本信息。
nmap --script vmware-version -p443 10.0.1.4参数详解
Nmap 支持主机名 IP 网段表示方式
blah.highon.coffee, namp.org/24, 192.168.0.1;10.0.0-25.1-254
-iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
-iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
--exclude host1[, host2] 从扫描任务中需要排除的主机
--exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同1. 主机发现
-sL 仅仅是显示,扫描的IP数目,不会进行任何扫描
-sP ping扫描,即主机发现,显对扫描做出响应的主机
-P0 Nmap 默认只对确定正在运行的主机进行高强度扫描,使用该命令可以对每一个目标进行扫描
-Pn 不检测主机是否存活
-PS/PA/PU TCP SYN Ping/TCP ACK Ping/UDP Ping
-PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机
-PR ARP Ping 扫描,
-n 不对IP进行域名反向解析
-R 对目标 IP 地址进行反向域名解析,一般只有当发现机器正在运行时才进行这步操作
--system-dns 使用系统域名解析器 2. 端口扫描
状态
描述
open
这表明与扫描端口的连接已建立。这些连接可以是TCP 连接、UDP 数据报以及SCTP 关联。
closed
当端口显示为关闭时,TCP 协议表明我们收到的数据包包含一个RST标志。这种扫描方法也可以用来确定我们的目标是否还活着。
filtered
Nmap 无法正确识别扫描的端口是打开还是关闭,因为要么没有从目标返回该端口的响应,要么我们从目标获得错误代码。
unfiltered
端口的这种状态只发生在TCP-ACK扫描期间,表示该端口是可访问的,但无法确定它是打开还是关闭。
open|filtered
如果我们没有得到特定端口的响应,Nmap则将其设置为该状态。这表明防火墙或数据包过滤器可以保护端口。
closed|filtered
此状态仅出现在IP ID 空闲扫描中,表示无法确定扫描的端口是否已关闭或被防火墙过滤。
-sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
-sU UDP扫描
-sN/sF/sX TCP Null,FIN,and Xmas扫描
--scanflags 自定义TCP包中的flags
-sI zombie host[:probeport] Idlescan
-sY/sZ SCTP INIT/COOKIE-ECHO 扫描
-sO 使用IP 协议扫描确定目标机支持的协议类型
-b <ftp relay host> 使用FTP 弹跳扫描3. 端口说明和扫描顺序
-p 特定的端口 -p80,443 或者 -p1-65535
-p U:PORT 扫描udp的某个端口, -p U:53
-F 快速扫描模式,比默认的扫描端口还少
-r 不随机扫描端口,默认是随机扫描的
--top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
--port-ratio "ratio" 扫描指定频率以上的端口4. 服务版本识别
-sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
--allports 不为版本探测排除任何端口
--version-intensity [0~9] 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7
--version-light 打开轻量级模式,为--version-intensity 2的别名
--version-all 尝试所有探测,为--version-intensity 9的别名
--version-trace 显示出详细的版本侦测过程信息5. 脚本扫描
-sC 根据端口识别的服务,调用默认脚本
--script=”Lua scripts” 调用的脚本名
--script-args=n1=v1,[n2=v2] 调用的脚本传递的参数
--script-args-file=filename 使用文本传递参数
--script-trace 显示所有发送和接收到的数据
--script-updatedb 更新脚本的数据库
--script-help=”Lua script” 显示指定脚本的帮助6. OS 识别
-O 启用操作系统检测,-A来同时启用操作系统检测和版本检测
--osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配7. 时间和性能
--min-hostgroup <size>; --max-hostgroup <size> 调整并行扫描组的大小
--min-parallelism <numprobes>; --max-parallelism <numprobes> 调整探测报文的并行度
--min-rtt-timeout <milliseconds>, --max-rtt-timeout <milliseconds>, --initial-rtt-timeout <milliseconds> 调整探测报文超时
--host-timeout <milliseconds> 放弃低速目标主机
--scan-delay <milliseconds>; --max-scan-delay <milliseconds> 调整探测报文的时间间隔
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> 设置时间模板, Nmap提供了一些简单的 方法,使用6个时间模板,使用时采用-T选项及数字(0 - 5) 或名称。模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前两种模式用于IDS躲避,Polite模式降低了扫描 速度以使用更少的带宽和目标主机资源。默认模式为Normal,因此-T3 实际上是未做任何优化。Aggressive模式假设用户具有合适及可靠的网络从而加速 扫描。Insane模式假设用户具有特别快的网络或者愿意为获得速度而牺牲准确性。8. 防火墙/IDS躲避和哄骗
-f; --mtu value 指定使用分片、指定数据包的MTU.
-D decoy1,decoy2,ME 使用诱饵隐蔽扫描
-S IP-ADDRESS 源地址欺骗
-e interface 使用指定的接口
-g/ --source-port PROTNUM 使用指定源端口
--proxies url1,[url2],... 使用HTTP或者SOCKS4的代理
--data-length NUM 填充随机数据让数据包长度达到NUM
--ip-options OPTIONS 使用指定的IP选项来发送数据包
--ttl VALUE 设置IP time-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装
--badsum 使用错误的checksum来发送数据包9. Nmap 输出
# XML 转换为 HTML 展示
xsltproc target.xml -o target.html
-oN 将标准输出直接写入指定的文件
-oX 输出xml文件
-oS 将所有的输出都改为大写
-oG 输出便于通过bash或者perl处理的格式,非xml
-oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出
-v 提高输出信息的详细度
-d level 设置debug级别,最高是9
--reason 显示端口处于带确认状态的原因
--open 只输出端口状态为open的端口
--packet-trace 显示所有发送或者接收到的数据包
--iflist 显示路由信息和接口,便于调试
--log-errors 把日志等级为errors/warings的日志输出
--append-output 追加到指定的文件
--resume FILENAME 恢复已停止的扫描
--stylesheet PATH/URL 设置XSL样式表,转换XML输出
--webxml 从namp.org得到XML的样式
--no-sytlesheet 忽略XML声明的XSL样式表10. 其他 nmap 选项
-6 开启IPv6
-A OS识别,版本探测,脚本扫描和traceroute
--datedir DIRNAME 说明用户Nmap数据文件位置
--send-eth / --send-ip 使用原以太网帧发送/在原IP层发送
--privileged 假定用户具有全部权限
--unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限
-V 打印版本信息
-h 输出帮助参考文章
最后更新于
这有帮助吗?