NMAP速查手册

精品文档 1欢迎下载 1 1 常用命令常用命令 1 1 简单示例 使用 ping 检测 10 0 0 0 24 这个网段 1nmap sP 10 0 0 0 24 使用 SYN 的方法对全端口进行扫描 在 aggressive 4 的时间模板下 同时对开放的端口进行端口识别 1nmap p1 65535 sV sS T4 target PS T 代表的是扫描的时候 一些控制选项 TCP 的延迟时间 探测报文之间的间隔等 的集合 具体的 man nmap 一下就知道了 使用 SYN 扫描 在 aggressive 4 的时间模板下 探测操作系统的类型和版本 还有显示 traceroute 的结果 结果输出较为详细 1nmap v sS A T4 target 使用 SYN 扫描 在 insane 5 的时间模板下 探测操作系统的类型和版本 还有显示 traceroute 的结果 结果输出较为详细 精品文档 2欢迎下载 1nmap v sS A T5 target 使用 SYN 扫描 在 insane 5 的时间模板下 探测操作系统的类型 还有显示 traceroute 的结果 操作系统的类型 结果输出较为详细 1nmap v sV O sS T5 target 使用 SYN 的方法对全端口进行扫描 同时对开放的端口进行端口识别 在 aggressive 4 的时间模板下 探测操作系统的类型还有显示 traceroute 的结果 结果输出较为详细 1nmap v p 1 65535 sV O sS T4 target 用 SYN 的方法对全端口进行扫描 同时对开放的端口进行端口识别 在 insane 5 的时间模板下 探测操作系统的类型 还有显示 traceroute 的结果 结果 输出较为详细 1nmap v p 1 65535 sV O sS T5 target 从文件中读取需要扫描的 IP 列表 1nmap iL ip address txt 精品文档 3欢迎下载 1 2Nmap 输出格式 扫描的结果输出到屏幕 同时会存储一份到 grep output txt 1nmap sV p 139 445 oG grep output txt 10 0 1 0 24 扫描结果输出为 html 1nmap sS sV T5 10 0 1 99 webxml oX xsltproc output file html 1 3Nmap 扫描 Netbios 在子网中发现开放 netbios 的 IP 1nmap sV v p139 445 10 0 0 1 24 扫描指定 netbios 的名称 1nmap sU script nbstat nse p 137 target 精品文档 4欢迎下载 扫描指定的目标 同时检测相关漏洞 1nmap script args unsafe 1 script smb check vulns nse p 445 target 将 nmap 的 80 端口的扫描结果 通过管道交给 nikto 进行扫描 1Nmap Nikto Scan nmap p80 10 0 1 0 24 oG nikto pl h 将 nmap 的 80 443 端口的扫描结果 通过管道交给 nikto 进行扫描 1nmap p80 443 10 0 1 0 24 oG nikto pl h 1 4 Nmap 参数详解 Nmap 支持主机名 ip 网段的表示方式 例如 blah highon coffee namp org 24 192 168 0 1 10 0 0 25 1 254 1 2 iL filename 从文件中读取待检测的目标 文件中的表示方法支持机名 ip 网段 iR hostnum 随机选取 进行扫描 如果 iR 指定为 0 则是无休止的扫描 精品文档 5欢迎下载 3 4 exclude host1 host2 从扫描任务中需要排除的主机 exculdefile exclude file 排除文件中的 IP 格式和 iL 指定扫描文件的格式相同 主机发现 1 2 3 4 5 6 7 sL 仅仅是显示 扫描的 IP 数目 不会进行任何扫描 sn ping 扫描 即主机发现 Pn 检测主机存活 PS PA PU PY portlist TCP SYN Ping TCP ACK Ping UDP Ping 发现 PE PP PM 使用 ICMP echo timestamp and netmask 请求包发现主机 PO prococol list 使用 IP 协议包探测对方主机是否开启 n R 不对 IP 进行域名反向解析 为所有的 IP 都进行域名的反响解析 扫描技巧 1 2 sS sT sA sW sM TCP SYN TCP connect ACK TCP 窗口扫描 TCP Maimon 扫描 sU UDP 扫描 精品文档 6欢迎下载 3 4 5 6 7 8 sN sF sX TCP Null FIN and Xmas 扫描 scanflags 自定义 TCP 包中的 flags sI zombie host probeport Idlescan sY sZ SCTP INIT COOKIE ECHO 扫描 sO 使用 IP protocol 扫描确定目标机支持的协议类型 b FTP relay host 使用 FTP bounce scan 指定端口和扫描顺序 1 2 3 4 5 6 p 特定的端口 p80 443 或者 p1 65535 p U PORT 扫描 udp 的某个端口 p U 53 F 快速扫描模式 比默认的扫描端口还少 r 不随机扫描端口 默认是随机扫描的 top ports number 扫描开放概率最高的 number 个端口 出现的概率需要参考 nmap services 文 件 ubuntu 中该文件位于 usr share nmap nmap 默认扫前 1000 个 port ratio ratio 扫描指定频率以上的端口 精品文档 7欢迎下载 服务版本识别 1 2 3 4 5 sV 开放版本探测 可以直接使用 A 同时打开操作系统探测和版本探测 version intensity level 设置版本扫描强度 强度水平说明了应该使用哪些探测报文 数值 越高 服务越有可能被正确识别 默认是 7 version light 打开轻量级模式 为 version intensity 2 的别名 version all 尝试所有探测 为 version intensity 9 的别名 version trace 显示出详细的版本侦测过程信息 脚本扫描 1 2 3 4 5 6 sC 根据端口识别的服务 调用默认脚本 script Lua scripts 调用的脚本名 script args n1 v1 n2 v2 调用的脚本传递的参数 script args file filename 使用文本传递参数 script trace 显示所有发送和接收到的数据 script updatedb 更新脚本的数据库 精品文档 8欢迎下载 7 script help Lua script 显示指定脚本的帮助 OS 识别 1 2 3 O 启用操作系统检测 A 来同时启用操作系统检测和版本检测 osscan limit 针对指定的目标进行操作系统检测 至少需确知该主机分别有一个 open 和 closed 的 端口 osscan guess 推测操作系统检测结果 当 Nmap 无法确定所检测的操作系统时 会尽可能地提供最 相近的匹配 Nmap 默认进行这种匹配 防火墙 IDS 躲避和哄骗 1 2 3 4 5 f mtu value 指定使用分片 指定数据包的 MTU D decoy1 decoy2 ME 使用诱饵隐蔽扫描 S IP ADDRESS 源地址欺骗 e interface 使用指定的接口 g source port PROTNUM 使用指定源端口 精品文档 9欢迎下载 6 7 8 9 10 11 12 proxies url1 url2 使用 HTTP 或者 SOCKS4 的代理 data length NUM 填充随机数据让数据包长度达到 NUM ip options OPTIONS 使用指定的 IP 选项来发送数据包 ttl VALUE 设置 IP time to live 域 spoof mac ADDR PREFIX VEBDOR MAC 地址伪装 badsum 使用错误的 checksum 来发送数据包 Nmap 输出 1 2 3 4 5 6 oN 将标准输出直接写入指定的文件 oX 输出 xml 文件 oS 将所有的输出都改为大写 oG 输出便于通过 bash 或者 perl 处理的格式 非 xml oA BASENAME 可将扫描结果以标准格式 XML 格式和 Grep 格式一次性输出 v 提高输出信息的详细度 精品文档 10欢迎下载 7 8 9 10 11 12 13 14 15 16 17 d level 设置 debug 级别 最高是 9 reason 显示端口处于带确认状态的原因 open 只输出端口状态为 open 的端口 packet trace 显示所有发送或者接收到的数据包 iflist 显示路由信息和接口 便于调试 log errors 把日志等级为 errors warings 的日志输出 append output 追加到指定的文件 resume FILENAME 恢复已停止的扫描 stylesheet PATH URL 设置 XSL 样式表 转换 XML 输出 webxml 从 namp org 得到 XML 的样式 no sytlesheet 忽略 XML 声明的 XSL 样式表 其他 nmap 选项 1 2 6 开启 IPv6 A OS 识别 版本探测 脚本扫描和 traceroute 精品文档 11欢迎下载 3 4 5 6 7 8 datedir DIRNAME 说明用户 Nmap 数据文件位置 send eth send ip 使用原以太网帧发送 在原 IP 层发送 privileged 假定用户具有全部权限 unprovoleged 假定用户不具有全部权限 创建原始套接字需要 root 权限 V 打印版本信息 h 输出帮助 精品文档 12欢迎下载 2 2 脚本引擎脚本引擎 2 1 nmap 按脚本分类扫描 nmap 脚本主要分为以下几类 在扫描时可根据需要设置 script 类别这种方式进行比较笼统的扫描 auth 负责处理鉴权证书 绕开鉴权 的脚本 broadcast 在局域网内探查更多服务开启状况 如 dhcp dns sqlserver 等服务 brute 提供暴力破解方式 针对常见的应用如 http snmp 等 default 使用 sC 或 A 选项扫描时候默认的脚本 提供基本脚本扫描能力 discovery 对网络进行更多的信息 如 SMB 枚举 SNMP 查询等 dos 用于进行拒绝服务攻击 精品文档 13欢迎下载 exploit 利用已知的漏洞入侵系统 external 利用第三方的数据库或资源 例如进行 whois 解析 fuzzer 模糊测试的脚本 发送异常的包到目标机 探测出潜在漏洞 intrusive 入侵性的脚本 此类脚本可能引发对方的 IDS IPS 的记 录或屏蔽 malware 探测目标机是否感染了病毒 开启了后门等信息 safe 此类与 intrusive 相反 属于安全性脚本 version 负责增强服务与版本扫描 Version Detection 功能的脚本 vuln 负责检查目标机是否有常见的漏洞 Vulnerability 如是否有 MS08 067 部分使用截图 1 nmap script auth 192 168 137 负责处理鉴权证书 绕开鉴权 的脚本 也可以作为检测部分应用弱口令 精品文档 14欢迎下载 精品文档 15欢迎下载 2 nmap script brute 192 168 137 精品文档 16欢迎下载 提供暴力破解的方式 可对数据库 smb snmp 等进行简单密码的暴力猜解 3 nmap script default 192 168 137 或者 nmap sC 192 168 137 精品文档 17欢迎下载 默认的脚本扫描 主要是搜集各种应用服务的信息 收集到后 可再针对具体服务进行攻击 精品文档 18欢迎下载 精品文档 19欢迎下载 4 nmap script vuln 192 168 137 检查是否存在常见漏洞 精品文档 20欢迎下载 精品文档 21欢迎下载 5 nmap n p445 script broadcast 192 168 137 4 精品文档 22欢迎下载 在局域网内探查更多服务开启状况 6 nmap script external 202 103 243 110 精品文档 23欢迎下载 利用第三方的数据库或资源 例如进行 whois 解析 精品文档 24欢迎下载 精品文档 25欢迎下载 2 2nmap 按应用服务扫描 1 vnc 扫描 检查 vnc bypass 1nmap script realvnc auth bypass 192 168 137 4 精品文档 26欢迎下载 检查 vnc 认证方式 1nmap script vnc auth 192 168 137 4 获取 vnc 信息 1nmap script vnc info 192 168 137 4 2 smb 扫描 精品文档 27欢迎下载 smb 破解 1nmap script smb brute nse 192 168 137 4 smb 字典破解 1 nmap script smb brute nse script args userdb var passwd passdb var passwd 192 168 137 4 smb 已知几个严重漏 精品文档 28欢迎下载 1nmap script smb check vulns nse script args unsafe 1 192 168 137 4 查看共享目录 1 nmap p 445 script smb ls script args share e path smbuser test smbpass test 精品文档 29欢迎下载 192 168 137 4 查询主机一些敏感信息 注 需要下载 nmap service 1 nmap p 445 n script smb psexec script args smbuser test smbpass test 192 168 137 4 精品文档 30欢迎下载 查看会话 1 nmap n p445 script smb enum sessions nse script args smbuser test smbpass test 192 168 137 4 精品文档 31欢迎下载 系统信息 1 nmap n p445 script smb os discovery nse script args smbuser test smbpass test 192 168 137 4 3 Mssql 扫描 猜解 mssql 用户名和密码 1 nmap p1433 script ms sql brute script args userdb var passwd passdb var passwd 192 168 137 4 精品文档 32欢迎下载 xp cmdshell 执行命令 1 nmap p 1433 script ms sql xp cmdshell script args mssql username sa mssql password sa ms sql xp cmdshell cmd net user 192 168 137 4 精品文档 33欢迎下载 dumphash 值 1 nmap p 1433 script ms sql dump hashes nse script args mssql username sa mssql password sa 192 168 137 4 精品文档 34欢迎下载 4 Mysql 扫描 扫描 root 空口令 1nmap p3306 script mysql empty password nse 192 168 137 4 精品文档 35欢迎下载 列出所有 mysql 用户 1nmap p3306 script mysql users nse script args mysqluser root 192 168 137 4 支持同一应用的所有脚本扫描 1nmap script mysql 192 168 137 4 精品文档 36欢迎下载 5 Oracle 扫描 oracle sid 扫描 精品文档 37欢迎下载 1nmap script oracle sid brute p 1521 1560 192 168 137 5 oracle 弱口令破解 1 nmap script oracle brute p 1521 script args oracle brute sid ORCL userdb var passwd passdb var passwd 192 168 137 5 精品文档 38欢迎下载 6 其他一些比较好用的脚本 nmap script broadcast netbios master browser 192 168 137 4 发现网关 nmap p 873 script rsync brute script args rsync brute module www 192 168 137 4 破解 rsync nmap script informix brute p 9088 192 168 137 4 informix 数据库破解 精品文档 39欢迎下载 nmap p 5432 sc