本页面只读。您可以查看源文件,但不能更改它。如果您觉得这是系统错误,请联系管理员。 ====== NMAP ====== ==== 1、Nmap介绍 ==== Nmap是一款网络扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统 Nmap是一款非常强大的实用工具,可用于:检测活在网络上的主机(主机发现)检测主机上开放的端口(端口发现或枚举)检测到相应的端口(服务发现)的软件和版本检测操作系统,硬件地址,以及软件版本检测脆弱性的漏洞(Nmap的脚本)Nmap是一个非常普遍的工具,它有命令行界面和图形用户界面。本文包括以下方面的内容:介绍Nmap扫描中的重要参数操作系统检测Nmap使用教程Nmap使用不同的技术来执行扫描,包括:TCP的connect扫描,TCP反向的ident扫描,FTP反弹扫描等。所有这些扫描的类型有自己的优点和缺点,我们接下来将讨论这些问题。 Nmap的使用取决于目标主机,因为有一个简单的(基本)扫描和预先扫描之间的差异。我们需要使用一些先进的技术来绕过防火墙和入侵检测/防御系统,以获得正确的结果。 ==== 2、Nmap功能介绍 ==== * 1.主机存活检测 * 2.端口探测 * 3.服务识别 * 4.操作系统识别 * 5.硬件地址检测 * 6.服务版本识别 * 7.漏洞扫描,使用nmap自带脚本 ==== 3、简单示例 ==== 使用ping检测10.0.0.0/24这个网段 <code bash> nmap -sP 10.0.0.0/24</code> 使用SYN的方法对全端口进行扫描,在aggressive(4)的时间模板下,同时对开放的端口进行端口识别 <code bash> nmap -p1-65535 -sV -sS -T4 target </code> PS: -T代表的是扫描的时候,一些控制选项(TCP的延迟时间,探测报文之间的间隔等)的集合,具体的man nmap一下就知道了 使用SYN扫描,在aggressive(4)的时间模板下,探测操作系统的类型和版本,还有显示traceroute的结果,结果输出较为详细 <code bash> nmap -v -sS -A -T4 target </code> 使用SYN扫描,在insane(5)的时间模板下,探测操作系统的类型和版本,还有显示traceroute的结果,结果输出较为详细 <code bash> nmap -v -sS -A -T5 target </code> 使用SYN扫描,在insane(5)的时间模板下,探测操作系统的类型,还有显示traceroute的结果,操作系统的类型,结果输出较为详细 <code bash> nmap -v -sV -O -sS -T5 target </code> 使用SYN的方法对全端口进行扫描,同时对开放的端口进行端口识别,在aggressive(4)的时间模板下,探测操作系统的类型还有显示traceroute的结果,结果输出较为详细 <code bash> nmap -v -p 1-65535 -sV -O -sS -T4 target </code> 用SYN的方法对全端口进行扫描,同时对开放的端口进行端口识别,在insane(5)的时间模板下,探测操作系统的类型,还有显示traceroute的结果,结果输出较为详细 <code bash> nmap -v -p 1-65535 -sV -O -sS -T5 target</code> 从文件中读取需要扫描的IP列表 <code bash> nmap -iL ip-address.txt</code> Nmap输出格式 扫描的结果输出到屏幕,同时会存储一份到grep-output.txt <code bash> nmap -sV -p 139,445 -oG grep-output.txt 10.0.1.0/24</code> 扫描结果输出为html <code bash> nmap -sS -sV -T5 10.0.1.99 --webxml -oX - | xsltproc --output file.html </code> Nmap扫描Netbios 在子网中发现开放netbios的IP <code bash> nmap -sV -v -p139,445 10.0.0.1/24</code> 扫描指定netbios的名称 <code bash> nmap -sU --script nbstat.nse -p 137 target </code> 扫描指定的目标,同时检测相关漏洞 <code bash> nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 target</code> 将nmap的80端口的扫描结果,通过管道交给nikto进行扫描 <code bash> Nmap Nikto Scan nmap -p80 10.0.1.0/24 -oG - | nikto.pl -h - </code> 将nmap的80,443端口的扫描结果,通过管道交给nikto进行扫描 <code bash> nmap -p80,443 10.0.1.0/24 -oG - | nikto.pl -h - </code> ==== 4、Nmap参数详解 ==== Nmap支持主机名,ip,网段的表示方式 例如:blah.highon.coffee, namp.org/24, 192.168.0.1;10.0.0-25.1-254 * -iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段 * -iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描 * --exclude host1[, host2] 从扫描任务中需要排除的主机 主机发现 * -sL 仅仅是显示,扫描的IP数目,不会进行任何扫描 * -sn ping扫描,即主机发现 * -Pn 不检测主机存活 * -PS/PA/PU/PY[portlist] TCP SYN Ping/TCP ACK Ping/UDP Ping发现 * -PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机 * -PO[prococol list] 使用IP协议包探测对方主机是否开启 扫描技巧 * -sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描 * -sU UDP扫描 * -sN/sF/sX TCP Null,FIN,and Xmas扫描 * --scanflags 自定义TCP包中的flags * -sI zombie host[:probeport] Idlescan * -sY/sZ SCTP INIT/COOKIE-ECHO 扫描 * -sO 使用IP protocol 扫描确定目标机支持的协议类型 * -b “FTP relay host” 使用FTP bounce scan 指定端口和扫描顺序 * -p 特定的端口 -p80,443 或者 -p1-65535 * -p U:PORT 扫描udp的某个端口, -p U:53 * -F 快速扫描模式,比默认的扫描端口还少 * -r 不随机扫描端口,默认是随机扫描的 * --top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个 * --port-ratio "ratio" 扫描指定频率以上的端口 服务版本识别 * -sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测 * --version-intensity level 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7 * --version-light 打开轻量级模式,为--version-intensity 2的别名 * --version-all 尝试所有探测,为--version-intensity 9的别名 * --version-trace 显示出详细的版本侦测过程信息 脚本扫描 * -sC 根据端口识别的服务,调用默认脚本 * --script=”Lua scripts” 调用的脚本名 * --script-args=n1=v1,[n2=v2] 调用的脚本传递的参数 * --script-args-file=filename 使用文本传递参数 * --script-trace 显示所有发送和接收到的数据 * --script-updatedb 更新脚本的数据库 * --script-help=”Lua script” 显示指定脚本的帮助 OS识别 * -O 启用操作系统检测,-A来同时启用操作系统检测和版本检测 * --osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口) * --osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配防火墙/IDS躲避和哄骗 * -f; --mtu value 指定使用分片、指定数据包的MTU. * -D decoy1,decoy2,ME 使用诱饵隐蔽扫描 * -S IP-ADDRESS 源地址欺骗 * -e interface 使用指定的接口 Nmap 输出 * -oN 将标准输出直接写入指定的文件 * -oX 输出xml文件 * -oS 将所有的输出都改为大写 * -oG 输出便于通过bash或者perl处理的格式,非xml * -oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出 * -v 提高输出信息的详细度 * -d level 设置debug级别,最高是9 * --reason 显示端口处于带确认状态的原因 * --open 只输出端口状态为open的端口 * --packet-trace 显示所有发送或者接收到的数据包 * --iflist 显示路由信息和接口,便于调试 * --log-errors 把日志等级为errors/warings的日志输出 * --append-output 追加到指定的文件 * --resume FILENAME 恢复已停止的扫描 * --stylesheet PATH/URL 设置XSL样式表,转换XML输出 * --webxml 从namp.org得到XML的样式 * --no-sytlesheet 忽略XML声明的XSL样式表 其他nmap选项 * -6 开启IPv6 * -A OS识别,版本探测,脚本扫描和traceroute * --datedir DIRNAME 说明用户Nmap数据文件位置 * --send-eth / --send-ip 使用原以太网帧发送/在原IP层发送 * --privileged 假定用户具有全部权限 * --unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限 * -V 打印版本信息 * -h 输出帮助 ==== 5、例子 ==== 整个子网检测的Netbios <code bash> Nmap -sV -v -p 139,445 10.0.1.0/24 Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-11 21:26 GMT Nmap scan report for nas.decepticons 10.0.1.12 Host is up (0.014s latency). PORT STATE SERVICE VERSION 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: MEGATRON) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: MEGATRON) Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 256 IP addresses (1 hosts up) scanned in 28.74 seconds</code> Nmap 查找Netbios名称 <code bash> nmap -sU --script nbstat.nse -p 137 10.0.1.12 Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-11 21:26 GMT Nmap scan report for nas.decepticons 10.0.1.12 Host is up (0.014s latency). PORT STATE SERVICE VERSION 137/udp open netbios-ns Host script results: |_nbstat: NetBIOS name: STARSCREAM, NetBIOS user: unknown, NetBIOS MAC: unknown (unknown) Nmap done: 256 IP addresses (1 hosts up) scanned in 28.74 seconds</code> 如果开启Netbios服务,检查是否存在漏洞 <code bash> nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 10.0.0.1 Nmap scan report for ie6winxp.decepticons (10.0.1.1) Host is up (0.00026s latency). PORT STATE SERVICE 445/tcp open microsoft-ds Host script results: | smb-check-vulns: | MS08-067: VULNERABLE | Conficker: Likely CLEAN | regsvc DoS: NOT VULNERABLE | SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE |_ MS07-029: NO SERVICE (the Dns Server RPC service is inactive) Nmap done: 1 IP address (1 host up) scanned in 5.45 seconds</code> 根据扫描结果,发现存在MS08-067漏洞 ==== 6、相关资源 ==== [[http://drops.wooyun.org/tips/4333|Nmap速查手册]] [[http://drops.wooyun.org/tips/2188|nmap脚本使用总结]] [[http://drops.wooyun.org/tips/2002|NMAP 基础教程]] [[http://drops.wooyun.org/tools/515|Zmap详细用户手册和DDOS的可行性]]