nmap是我们最熟悉但同时又比较陌生的工具,为什么这样说呢?熟悉是因为我们都知道它是一个端口扫描工具,陌生是因为我们对它的功能了解还较为局限。实际上nmap的功能极为强大,接下来,让我们一起走进nmap之旅。
记得我当时用nmap的时候常常就那么几个命令,最开始的时候甚至还不知道加什么选项,其实nmap是一块存在于我们身边的宝藏,等待有心人去发现它。
nmap主要功能有以下几种:
接下来我将带领大家一起开启nmap奇妙之旅,打开nmap不为常人所知道的一面
任何时候,一次渗透测试都要从信息收集开始,而主机存活与否的探测又是重中之重。nmap主机发现支持多种扫描方式。
-sP(ping扫描):
ping扫描可以说是最常见的一种主机发现探测方式。但是现在的服务器基本都开启了防ping,所以基本的ping扫描对于主机发现来说效果不如以前,但仍是一个最直接的方法。
-P0(无ping):
nmap默认情况时只对存活的主机进行更高强度的探测,如端口探测,服务探测等。但如果使用了这个选项,那么nmap就会对自己设定的目标每个主机进行高强度探测,无论它存活与否
-PS(TCP SYN Ping):
这个方式发送的是一个SYN标志位为空的TEP报文。那么nmap是如何根据返回结果来判断主机是否存活呢?由于再UNIX系统的主机上,只有root用户能发送和接收原始的TCP报文,所以实际过程中nmap会为每个主机建立一个connect()
请求,如果返回成功或者返回一个ECONNREFUSED
失败,则改主机被判定为存在。如果连接超时了,那么则判定改主机不在线。关于SYN包发送和接收的整个过程这里不再详述。
-PA(TCP ACK Ping):
这个和上个选项类似,只不过这个选项设置的是TCP报文的ACK位。如果主机正在运行,并且收到了一个ACK,那么就会返回一个RST,进而就能判断主机存在。当SYN被防火墙阻挡时,可用这个选项,当然两个一起用效果更佳
-PU(UDP Ping):
UDP扫描,原理就是发送一个空的UDP报文到目标的指定端口,默认是31338,如果目标机器的端口是关闭的,那么就能马上得到一个ICMP端口无法到达的回应报文,这样就可以判定主机存在。当然也存在误判的情况,比如TTL超时或者网络的确不可达,这个时候就没有回应了,那么也被识别为主机存在。大部分开放端口对这样一个UDP报文不进行回应。
-PE;-PP;-PM(ICMP Ping Types):
-PE是ICMP回声请求ping查询,-PP是时间戳ping查询,-PM是地址掩码ping查询
-PR(ARP Ping):
内网中最常用的一扫描,原理想必不用再详细阐述了
-n:
禁止DNS反向解析
-R:
反向解析域名
-system-dns:
只用系统域名解析器
-6:
扫描IPv6地址
-PY(SCTP INIT Ping扫描):
向目标主机发送INIT包,通过响应包判断主机是否存活。
-sS(TCP SYN扫描):
又叫做半开放式扫描,不建立一个完全的TCP连接。它发送一个SYN报文,然后等待响应。SYN/ACK表示端口在开放,而 RST (复位)表示没有关闭。如果数次重发后仍没响应, 该端口就被标记为被过滤。如果收到ICMP不可到达错误 (类型3,代码1,2,3,9,10,或者13),该端口也被标记为被过滤。
-sT(TCP connect()扫描):
默认TCP扫描,即建立TCP连接,但是这种方式通常会在目标主机上留下日志,容易被发现。
-sU(UDP扫描):
虽然很多端口都是运行的TCP服务,但是也有很多端口在运行着UDP服务。但是UDP扫描比较慢,有的系统限制一秒钟一个报文,倘若扫描65535个端口,岂不要上天。因为常用的UDP服务基本就那几个,比较普遍,所以指定端口扫描即可。
-sN;-sF;-sX(隐蔽扫描):
-sN是Null扫描,通过发送常规TCP报文对计算机进行探测
-sF是FIN扫描,比如有些防火墙会组织SYN数据包,那么这个时候我们就可用尝试使用FIN扫描
-sX是Xmas扫描,设置FIN,PSH,URG标志位
对于判定的原理这三个扫描是相同的,当收到一个RST,则认为该端口是关闭的,若没有响应,则意味着该端口是开放或者被过滤了。
-sA(TCP ACK扫描):
这个扫描不能确定端口开放状态,一般是用来跟防火墙玩的,用来判断防火墙是有状态还是无状态,哪些端口是被过滤的。
-sW(TCP窗口扫描):
通过检查返回的RST报文的TCP窗口域来实现扫描。开放端口用正数来表示窗口大小,而关闭窗口则为0.
-sM(TCP Maimon扫描):
据RFC 793 (TCP),无论端口开放或者关闭,都应该对这样的探测响应RST报文。 然而,如果端口开放,许多基于BSD的系统只是丢弃该探测报文。
-scanflags(定制的TCP扫描):
如果你发现了更好的标志位,或者通过包某个信息能更好的判断端口情况,你便可以使用该选项,定制符合自己情况的TCP扫描
-sI:
这是一种一段隐蔽的扫描方式,如果你向扫描足够隐蔽不被发现,那么可以用这种扫描方式,具体实现原理,可查看此文章
-sO(IP协议扫描):
自己指定协议来进行扫描
-O(启用操作系统检测):
可配合-A同时启用版本检测
--osscan-limit(针对指定的目标进行操作系统检测)
--osscan-guess; --fuzzy(推测操作系统检测结果)
-f(报文分段); --mtu(使用指定的MTU)
使用小的IP包分段来进行扫描,从而躲避IDS及其他工具
-D(使用诱饵隐蔽扫描,在进行版本检测或TCP连接扫描时诱饵无效)
例如:nmap 127.0.0.1,127.0.0.2,127.0.0.3
-S(源地址欺骗)
-e(使用指定的接口)
--source-port ; -g(源端口欺骗)
--data-length(发送报文时 附加随机数据)
--ttl(设置IP time-to-live域)
--randomize-hosts(对目标主机的顺序随机排列)
--spoof-mac(MAC地址欺骗)
-oN(标准输出)
将标准输出直接写入指定 的文件
-oX(XML输出)
-oS(ScRipT KIdd|3 oUTpuT)
-oG(Grep输出)
曾经网鼎杯有一道CTF题目就是利用这个选项将后门写入,然后连接后门取得flag
-oA(输出至所有格式)
上述都是nmap的一些基本选项和使用方式,下面才是平常我们所忽略的nmap的高级功能。
smb相关脚本
后台打印机服务漏洞
nmap --script smb-security-mode.nse -p 445 192.168.74.133
系统漏洞扫描
nmap --script smb-check-vulns.nse -p 445 192.168.74.133
http相关脚本
xss检测
nmap --script http-stored-xss.nse www.example.com
HTTP头信息检测
nmap -p 80 --script=http-headers www.example.com
web目录结构爬取
nmap -p 80 --script=http-sitemap-generator www.example.com
弱口令爆破
http-wordpress-brute
http-joomla-brute
ssl相关脚本
枚举ssl密钥
nmap -p 443 --script=ssl-enum-ciphers www.example.com
ssh相关脚本
ssh服务密钥信息探测
nmap -p 22 --script ssh-hostkey --script-args ssh_hostkey=full www.example.com
mysql数据库
列举mysql数据库
nmap -p 3306 --script mysql-database --script-args mysqluser=root,mysqlpass www.example.com
列举mysql变量
nmap -p 3306 --script=mysql-variables ww.example.com
mysql弱口令爆破(可使用userdb=xx/xx.txt passdb=xx/xx.txt指定字典爆破)
nmap --script=mysql-brute www.example
mysql安全配置审计
nmap -p 3306 --script mysql-audit --script-args "mysql-audit.username=‘root‘,mysql-audit.password=‘‘,mysql-audit.filename=‘nselib/data/mysql-cis.audit‘" www.example.com
oracle数据库
爆破orcal密码
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=test www.example.com
mssql数据库
mssql空密码
nmap -p 1433 --script ms-sql-brute --script-args userdb=username.txt,passdb=password.txt www.example.com
其实nmap的使用远远不止文章所属这点,nmap的强大之处在于我们能够将自己的工具和编写的脚本或者字典与nmap相结合,从而极大的发挥出nmap功能。
原文:https://www.cnblogs.com/Jleixin/p/14300047.html