title: nmap
tags: nmap
abbrlink: 96512c85
date: 2022-07-28 16:59:38

端口扫描之王----------NMAP

  • Nmap是一款非常强大的实用工具,可用于:检测活在网络上的主机(主机发现)检测主机上开放的端口(端口发现或枚举)检测到相应的端口(服务发现)的软件和版本检测操作系统,硬件地址,以及软件版本检测脆弱性的漏洞(Nmap的脚本)Nmap是一个非常普遍的工具,它有命令行界面和图形用户界面。本人包括以下方面的内容:介绍Nmap扫描中的重要参数操作系统检测Nmap使用教程Nmap使用不同的技术来执行扫描,包括:TCP的connect()扫描,TCP反向的ident扫描,FTP反弹扫描等。所有这些扫描的类型有自己的优点和缺点,我们接下来将讨论这些问题。 Nmap的使用取决于目标主机,因为有一个简单的(基本)扫描和预先扫描之间的差异。我们需要使用一些先进的技术来绕过防火墙和入侵检测/防御系统,以获得正确的结果。

主机探测

扫描单个主机

nmap 192.168.1.2

扫描整个子网,命令如下:

nmap 192.168.1.1/24

扫描多个目标,命令如下:

nmap 192.168.1.2 192.168.1.5

扫描一个范围内的目标,如下:

nmap 192.168.1.1-100 (扫描IP地址为192.168.1.1-192.168.1.100内的所有主机)

如果你有一个ip地址列表,将这个保存为一个txt文件,和namp在同一目录下,扫描这个txt内的所有主机,命令如下:

nmap -iL target.txt

如果你想看到你扫描的所有主机的列表,用以下命令:

nmap -sL 192.168.1.1/24

扫描除过某一个ip外的所有子网主机,命令:

nmap 192.168.1.1/24 -exclude 192.168.1.1

扫描除过某一个文件中的ip外的子网主机命令

nmap 192.168.1.1/24 -excludefile xxx.txt(xxx.txt中的文件将会从扫描的主机中排除)

端口扫描

常用命令:

nmap -F -sT -v nmap.org

-F:扫描100个最有可能开放的端口 -v 获取扫描的信息 -sT:采用的是TCP扫描 不写也是可以的,默认采用的就是TCP扫描
-p: 指定要扫描的端口
-p: 80,90,3306,10-100

扫描端口状态

  • Open:端口处于开放状态,例如:当nmap使用TCP SYN对目标主机某一范围的端口进行扫描时,我们知道 TCP SYN报文是TCP建立连接的第一步,所以,如果目标主机返回SYN+ACK的报文,我们就认为此端口开放了并且使用了TCP服务。

  • Closed:端口处于关闭状态。例如:TCP SYN类型的扫描,如果返回RST类型的报文,则端口处于管理状态。这里我们值得注意的是关闭的端口也是可访问的,只是没有上层的服务在监听这个端口,而且,只是在我们扫描的这个时刻为关闭,当我们在另一个时间段进行扫描的时候,这些关闭的端口可能会处于open的状态。

  • Filtered(过滤的):由于报文无法到达指定的端口,nmap不能够决定端口的开放状态,这主要是由于网络或者主机安装了一些防火墙所导致的。当nmap收到icmp报文主机不可达报文(例如:type为3,code为13(communication administratively prohibit)报文)或者目标主机无应答,常常会将目标主机的状态设置为filtered。

  • Unfiltered(未被过滤的):当nmap不能确定端口是否开放的时候所打上的状态,这种状态和filtered的区别在于:unfiltered的端口能被nmap访问,但是nmap根据返回的报文无法确定端口的开放状态,而filtered的端口直接就没就没能够被nmap访问。端口被定义为Unfilterd只会发生在TCP ack扫描类型时当返回RST的报文。而端口被定义为filtered 状态的原因是是报文被防火墙设备,路由器规则,或者防火墙软件拦截,无法送达到端口,这通常表现为发送NMAP的主机收到ICMP报错报文,如:TYPE为3,code为13的报文(通信被认为的禁止 communication administratively prohibited),或者主机通过多次重复发送没有收到任何回应)。

  • Open|filtered状态,这种状态主要是nmap无法区别端口处于open状态还是filtered状态。这种状态只会出现在open端口对报文不做回应的扫描类型中,如:udp,ip protocol ,TCP null,fin,和xmas扫描类型。

  • Closed|filtered状态,这种状态主要出现在nmap无法区分端口处于closed还是filtered时。此状态只会出现在IP ID idle scan(这个类型我现在也不太理解,过段时间进行总结一些)中。

TCP扫描(-sT)

  • 这是一种最为普通的扫描方法,这种扫描方法的特点是:扫描的速度快,准确性高,对操作者没有权限上的要求,但是容易被防火墙和IDS(防入侵系统)发现

  • 运行的原理:通过建立TCP的三次握手连接来进行信息的传递

  • Client端发送SYN

  • Server端返回SYN/ACK,表明端口开放

  • Client端返回ACK,表明连接已建立

  • Client端主动断开连接。

SYN扫描(-sS)

  • 这是一种秘密的扫描方式之一,因为在SYN扫描中Client端和Server端没有形成3次握手,所以没有建立一个正常的TCP连接,因此不被防火墙和日志所记录,一般不会再目标主机上留下任何的痕迹,但是这种扫描是需要root权限(对于windows用户来说,是没有root权限这个概念的,root权限是linux的最高权限,对应windows的管理员权限)

端口扫描

使用UDP ping探测主机:

nmap -PU 192.168.1.0/24

服务版本探测

nmap -sV 192.168.1.1

精准地确认端口上运行的服务

nmap -sV --script unusual-port 192.168.1.1

探测目标主机的操作系统

  • OS操作系统类型的探测
nmap -O 192.168.1.19
  • osscan-guess 猜测匹配操作系统 (猜测认为最接近目标的匹配操作系统类型。)
nmap -O --osscan-guess 192.168.1.180
  • 如果远程主机有防火墙,IDS和IPS系统,你可以使用-PN命令来确保不ping远程主机,因为有时候防火墙会阻止掉ping请求.-PN命令告诉Nmap不用ping远程主机。使用-PN参数可以绕过PING命令,但是不影响主机的系统的发现。
nmap -O -PN 192.168.1.180
  • 全面扫描
nmap -A 192.168.1.19

nmap 信息收集脚本

对目标进行IP反查

nmap -sn --script hostmap-ip2hosts www.hao123.com

对目标DNS信息的收集

nmap --script dns-brute www.test.com

nmap --script dns-brute dns-brute.threads=10 www.test.com

了解目标系统的详细信息

nmap -p 445 192.168.23.1 --script membase-http-info

nmap 信息收集

检查打印服务漏洞

nmap --script smb-security-mode.nse -p 445 192.168.21.3

扫描目标的xss漏洞

nmap -p80 --script http-stored-xss.nse www.test.com

扫描目标的SQL注入漏洞

nmap -p8001 --script http-sql-injection.nse 192.168.0.200

对目标地址进行HTTP头信息探测

nmap -p 80 --script=http-headers test.com

爬行web目录结构

nmap -p 80 --script=http-sitemap-generator www.test.com

Snmp服务获取目标正在运行着的服务,通过Snmp服务对目标系统的服务或账户进行列举

nmap -sU -p 161 --script=snmp-win32-services 192.168.87.129

密码破解

暴力破解VNC

nmap --script vnc-brute --script-args brute.guesses=6,brute.emptypass=true,userdb=/root/dictionary/user.txt,brute.useraspass=true,passdb=/root/dictionary/pass.txt,brute.retries=3,brute.threads=2,brute.delay=3 42.96.170.128

破解telnet

nmap -p 23 --script telnet-brute --script-args userdb=myusers.lst,passdb=mypwds.lst --script-args telnet-brute.timeout=8s 192.168.1.1

ftp弱口令暴力破解

nmap --script ftp-brute --script-args brute.emptypass=true,ftp-brute.timeout=30,userdb=/root/dirtionary/usernames.txt,brute.useraspass=true,passdb=/root/dirtionary/passwords.txt,brute.threads=3,brute.delay=6 192.168.1.1

漏洞探测

扫描系统漏洞

nmap --script vuln 192.168.1.1

IIS 短文件泄露

nmap -p 8080 --script http-iis-short-name-brute 192.168.1.1

拒绝服务

nmap --max-parallelism 800--script http-slowloris www.xxxxx.com

验证http 中开启了put 方法

nmap --script http-put --script-args http-put.url=/uploads/testput.txt,http-put.file=/root/put.txt 218.19.141.16

验证MySQL 匿名访问

nmap --script mysql-empty-password 203.195.139.153

防火墙躲避

-f 分片绕过
-D 使用诱饵隐蔽扫描

NMAP -D 1.1.1.1,222.222.222.222 www.xxxxx.com

--source-port 源端口欺骗

高级用法

侦测服务版本

nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt

扫做系统扫描

nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt

系统和服务检测

nmap -O -sV -T4 -Pn -p U:53,111,137,T:21-25,80,139,8080 -oG OS_Service_Detect-iL LiveHosts.txt

修改默认MTU 大小,但必须为8 的倍数(8,16,24,32等等)

nmap --mtu 24

生成随机数量的欺骗

nmap -D RND:10 [target]

手动指定欺骗使用的IP

nmap -D decoy1,decoy2,decoy3 etc.

僵尸网络扫描,首先需要找到僵尸网络的IP

nmap -sI [Zombie IP] [Target IP]

指定源端口号

nmap --source-port 80 IP

在每个扫描数据包后追加随机数量的数据

nmap --data-length 25IP

MAC 地址欺骗,可以生成不同主机的MAC 地址

nmap --spoof-mac Dell/Apple/3Com IP

导出格式

-oS (ScRipT KIdd|3oUTpuT)保存扫描结果输出。
-oN 按照人们阅读的格式记录屏幕上的输出,如果是在扫描多台机器,则该选项很有用。
-oX 以xml格式向指定的文件记录信息
-oG 以一种易于检索的格式记录信息,即每台主机都以单独的行来记录所有的端口和0s信息。-oS 把输出进行傻瓜型排版
-oA 导出所有格式。普通格式(-oN)、XML格式(-oX)和易于检索的格式(-oG)jilu xinxi

思维导图