nmap 速查

Posted by bfpiaoran on August 31, 2018

nmap 使用

Tags: 安全工具

[toc]

重点参数

-sT     TCP扫描
-sS     SYN扫描,速度较快
-sU     UDP扫描
-sP     ping方式扫描
-vv     结果详细输出
-O      操作系统类型的探测
-A      包含了1-10000的端口ping扫描,操作系统扫描,脚本扫描,路由跟踪,服务探测
-Pn     不检测主机存活

重点脚本

  1. 脚本分类,–script=类别 这种方式进行比较笼统的扫描 auth 负责处理鉴权证书(绕开鉴权)的脚本
    broadcast 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务
    brute 提供暴力破解方式,针对常见的应用如http/snmp等
    default 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力
    discovery 对网络进行更多的信息,如SMB枚举、SNMP查询等
    dos 用于进行拒绝服务攻击
    exploit 利用已知的漏洞入侵系统
    external 利用第三方的数据库或资源,例如进行whois解析
    fuzzer 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
    malware 探测目标机是否感染了病毒、开启了后门等信息
    safe 此类与intrusive相反,属于安全性脚本
    version 负责增强服务与版本扫描(Version Detection)功能的脚本
    vuln 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067

  2. 按应用服务扫描

    1. vnc realvnc-auth-bypass 检查vnc bypass vnc-auth 检查vnc认证方式 vnc-info 获取vnc信息
<ol start="2">
  <li>
    smb
  </li>
</ol>

smb破解

    --script=smb-brute.nse 
    

smb字典破解

    --script=smb-brute.nse --script-args=userdb=/var/passwd,passdb=/var/passwd 
    

查询敏感信息

    nmap -p 445 -n –script=smb-psexec --script-args= smbuser=test,smbpass=test
    

查看系统信息

    nmap -n -p445 --script=smb-os-discovery.nse --script-args=smbuser=test,smbpass=test 
    

<ol start="3">
  <li>
    mssql
  </li>
</ol>

猜解mssql用户名和密码

    nmap -p1433 --script=ms-sql-brute --script-args=userdb=/var/passwd,passdb=/var/passwd  
    

xp_cmdshell 执行命令

    nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd="net user" 
    

dumphash值

    nmap -p 1433 --script ms-sql-dump-hashes.nse --script-args mssql.username=sa,mssql.password=sa 
    

4)Mysql

扫描root空口令

    nmap -p3306 --script=mysql-empty-password.nse 
    

列出所有mysql用户

    nmap -p3306 --script=mysql-users.nse --script-args=mysqluser=root 192.168.137.4 
    

Mysql所有脚本应用

    nmap --script=mysql-* 
    

<ol start="5">
  <li>
    Oracle
  </li>
</ol>

sid扫描

    nmap --script=oracle-sid-brute -p 1521-1560 ip_address
    

弱口令破解

    nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd

脚本延伸

nmap --script=broadcast-netbios-master-browser 192.168.137.4   发现网关  
nmap -p 873 --script rsync-brute --script-args 'rsync-brute.module=www' 192.168.137.4  破解rsync  
nmap --script informix-brute -p 9088 192.168.137.4    informix数据库破解  
nmap -p 5432 --script pgsql-brute 192.168.137.4       pgsql破解  
nmap -sU --script snmp-brute 192.168.137.4            snmp破解  
nmap -sV --script=telnet-brute 192.168.137.4          telnet破解  
nmap --script=http-vuln-cve2010-0738 --script-args 'http-vuln-cve2010-0738.paths={/path1/,/path2/}' <target>  jboss autopwn  
nmap --script=http-methods.nse 192.168.137.4 检查http方法  
nmap --script http-slowloris --max-parallelism 400 192.168.137.4  dos攻击,对于处理能力较小的站点还挺好用的 'half-HTTP' connections   
nmap --script=samba-vuln-cve-2012-1182  -p 139 192.168.137.4

其余参数

  1. 批量扫描 -iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段 -iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描 –exclude host1[, host2] 从扫描任务中需要排除的主机
    –exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同

  2. 主机发现 -sL 仅仅是显示,扫描的IP数目,不会进行任何扫描 -sn ping扫描,即主机发现 -Pn 不检测主机存活 -PS/PA/PU/PY[portlist] TCP SYN Ping/TCP ACK Ping/UDP Ping发现 -PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机 -PO[prococol list] 使用IP协议包探测对方主机是否开启
    -n/-R 不对IP进行域名反向解析/为所有的IP都进行域名的反响解析

  3. 扫描技巧 -sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描 -sU UDP扫描 -sN/sF/sX TCP Null,FIN,and Xmas扫描 –scanflags 自定义TCP包中的flags -sI zombie host[:probeport] Idlescan -sY/sZ SCTP INIT/COOKIE-ECHO 扫描 -sO 使用IP protocol 扫描确定目标机支持的协议类型 -b “FTP relay host” 使用FTP bounce scan

  4. 指定端口和扫描顺序 -p 特定的端口 -p80,443 或者 -p1-65535 -p U:PORT 扫描udp的某个端口, -p U:53 -F 快速扫描模式,比默认的扫描端口还少 -r 不随机扫描端口,默认是随机扫描的 –top-ports “number” 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个 –port-ratio “ratio” 扫描指定频率以上的端口

  5. 服务版本识别 -sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测 –version-intensity “level” 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7 –version-light 打开轻量级模式,为–version-intensity 2的别名 –version-all 尝试所有探测,为–version-intensity 9的别名 –version-trace 显示出详细的版本侦测过程信息

  6. OS识别 -O 启用操作系统检测,-A来同时启用操作系统检测和版本检测 –osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口) –osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配

  7. 防火墙/IDS躲避和哄骗 -f; –mtu value 指定使用分片、指定数据包的MTU. -D decoy1,decoy2… 使用诱饵隐蔽扫描ip -S IP-ADDRESS 源地址欺骗 -e interface 使用指定的接口 -g/ –source-port PROTNUM 使用指定源端口
    –proxies url1,[url2],… 使用HTTP或者SOCKS4的代理

    –data-length NUM 填充随机数据让数据包长度达到NUM –ip-options OPTIONS 使用指定的IP选项来发送数据包 –ttl VALUE 设置IP time-to-live域 –spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装

  8. 输出 -oN 将标准输出直接写入指定的文件 -oX 输出xml文件 -oS 将所有的输出都改为大写 -oG 输出便于通过bash或者perl处理的格式,非xml -oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出 -v 提高输出信息的详细度 -d level 设置debug级别,最高是9 –reason 显示端口处于带确认状态的原因 –open 只输出端口状态为open的端口 –packet-trace 显示所有发送或者接收到的数据包 –iflist 显示路由信息和接口,便于调试 –log-errors 把日志等级为errors/warings的日志输出 –append-output 追加到指定的文件 –resume FILENAME 恢复已停止的扫描 –stylesheet PATH/URL 设置XSL样式表,转换XML输出 –webxml 从namp.org得到XML的样式 –no-sytlesheet 忽略XML声明的XSL样式表

FEATURED TAGS
security
FRIENDS