1.nmap语法
-A
-A 全面扫描/综合扫描 例:nmap -A 127.0.0.1
扫描指定段 例:nmap 127.0.0.1/24 或者nmap 192.168.0.1-200(扫描1-200的主机)
2.nmap主机发现
-sP
-sP ping扫描 例:nmap -sP 127.0.0.1
-P0
-P0 无ping扫描 例:nmap -P0 127.0.0.1
如果想知道这些协议是如何判断目标主机是否存在可以使用--packet-trace选项 例:nmap -P0 --packet-trace 127.0.0.1
-PS
-PS TCP SYN Ping扫描 例:nmap -PS -v 127.0.0.1 或者 指定端口:nmap -PS80,100-200 -v 127.0.0.1
-PA
-PA TCP ACK Ping扫描 例:nmap -PA -v 127.0.0.1
-PU
-PU UDP Ping扫描 例:nmap -PU -v 127.0.0.1
-PE;-PP;-PM
-PE;-PP;-PM ICMP Ping Types扫描
使用ICMP Echo扫描方式 例:nmap -PE -v 127.0.0.1
使用ICMP时间戳Ping扫描 例:nmap -PP -v 127.0.0.1
使用ICMP地址掩码Ping扫描 例:nmap -PM -v 127.0.0.1
-PR
-PR ARM Ping扫描 例:nmap -PR 127.0.0.1
-n
-n 禁止DNS反向解析(使用该选项的时候Namp永远不对目标ip地址作反向解析) 例:nmap -n 127.0.0.1
-R
-R 反向解析域名(使用该选项的时候Namp永远对目标IP地址作反向域名解析) 例:nmap -R -sL 127.0.0.1
-system-dns
-system-dns 使用系统域名解析器(如果你希望使用系统自带解析器,就制定该选项(通过getnameinfo()调用一次解析一个IP)) 例:nmap --system-dns 127.0.0.1 127.0.0.2
-sL
-sL 列表扫描 例:nmap -sL 127.0.0.1
禁止反向域名解析(使用该选项的时候Namp永远不对目标IP地址作反向域名解析) 例:nmap -n -sL 127.0.0.1
-6
-6 扫描IPv6地址 例:nmap -6 fe80::d920:6c18:1f7f:3d7c
--traceroute
--traceroute 路由跟踪(使用--traceroute选项即可进行路由跟踪.)使用路由跟踪功能可以帮助用户了解网路同行的情况。通过此选项可以轻松的查出从计算机到目标之间所经过的网络节点,并可以看到各个节点的时间。 例:nmap --traceroute -v127.0.0.1
-pY
-PY SCTP INIT Ping扫描(通过向目标发送INIT包,根据目标主机的相应判断目标主机是否存活.) 例:nmap -PY -v 127.0.0.1
3.探索网络
-T
-T 时序选项 例:nmap -T0 127.0.0.1 或nmap -T1 127.0.0.1 等等(范围T0-T5)
Namp使用-T(0-5)可以启用时序选项,对于时序选项这里有0-5不同的选项:
-T0(偏执的):非常慢的扫描,用于IDS逃逸。
-T1(鬼祟的):缓慢的扫描,用于IDS逃逸。
-T2(文雅的):降低速度以降低对带宽的消耗,此选项一般不常用。
-T3(普通的):默认,根据目标的反应自动调整时间。
-T4(野蛮的):快速扫描,常用扫描方式,需要在很好的网络环境下进行扫描,请求可能会淹没目标。
-T5(疯狂的):急速扫描,这种扫描方式以牺牲准确度来提升扫描速度。
-p
-p 常用扫描方式(-p指定扫描端口如:80,1433,1521,3306,3389等等) 例:nmap -p 3389 127.0.0.1
-F
-F 选项 使用该选项可以快速扫描端口,但并不是所有的端口都会扫描,只会扫描有限的端口,在Namp中nmap-services包含了默认扫描的端口,也可以用--datadir选项指定自己的nmap-services文件。
--top-ports选项 例:nmap --top-ports 100 127.0.0.1 (输出结果扫描100个开放率最高的端口)
-sS
-sS TCP SYN扫描 例:nmap -sT 127.0.0.1
-sU
-sU UDP扫描 例:nmap -sU -p 80-500 127.0.0.1
-sN;-sF;-sX
-sN;-sF;-sX 隐蔽扫描
-sN是Null扫描,是通过发送非常规的TCP通信数据包对计算机进行探测 例:namp -sN 127.0.0.1
-sF是FIN扫描,当我们使用TCP SYN扫描时可能会被目标主机的防火墙发现,会阻止SYN数据包,这时我们使用TCP FIN扫描方式会有很好的穿透效果。 例:namp -sF 127.0.0.1
-sX是Xmas扫描 例:nmap -sX 127.0.0.1
-sA
-sA TCP ACK扫描 例:nmap -sA -v 127.0.0.1
-sW
-sW TCP窗口扫描 例:nmap -sW -v -F 127.0.0.1
-sM
-sM TCP Maimon扫描 例:nmap -sM -T4 127.0.0.1
--scanflags
--scanflags 自定义TCP扫描(--scanflags选项可以是一个数字标记值。) 例:nmap -sT --scanflags SYNURG 127.0.0.1
-sI
-sI 空闲扫描 例:nmap -sI 192.168.1.100:80 127.0.0.1
-sO
-sO IP协议扫描 例:nmap -sO -T4 127.0.0.1
-b
-b FTP Bounce扫描(使用-b选项就可以进行FTP Bounce Scan扫描,它允许用户连接到一台FTP服务器,然后要求文件送到一台第三方服务器,这种扫描方式很少被支持,但也是躲避防火墙的办法.) 例:nmap -b 127.0.0.1
4.指纹识别与探测
-sV
-sV 版本探测 例:nmap -sV 127.0.0.1
可以借助-A选项进行操作系统探测和版本探测,结果信息更详细和直观。 例:nmap -sV -A 127.0.0.1
---allports
--allports 全端口版本扫描 例:nmap -sV --allports 127.0.0.1
--version-intensity
--version-intensity 设置扫描强度(赋予的值越高,服务越有可能被正确识别,但是时间也较长,强度在0-9之间,默认强度是7。 0代表最低强度,9代表最高强度。) 例:nmap -sV --version-intensity 5 127.0.0.1
--version-light
--version-light 轻量级扫描(对应--version-intensity,轻量级扫描会节省时间,但是准确性会降低,使用以下选项可以节约大部分时间和不会牺牲太多准确性。) 例:nmap -sV --version-light 127.0.0.1
--version-all
--version-all 重量级扫描 例:nmap -sV --version-all 127.0.0.1
--version-trace
--version-trace 获取详细版本信息 例:nmap --version-trace 127.0.0.1
-sR
-sR RPC扫描 例:nmap -sV -sR 127.0.0.1
-O
-O 启用操作系统探测 例:nmap -O 127.0.0.1
--osscan-limit
--osscan-limit 对指定的目标进行操作系统检测(该选项仅在使用-O和-A进行操作系统检测起作用。) 例:nmap -O --osscan-limit 127.0.0.1/24
--osscan-guess;--fuzzy
--osscan-guess;--fuzzy 推测系统版本(当无法准确识别的时候,nmap会从最接近数据中取值,大胆的猜测目标系统) 例:nmap -O --osscan-guess 127.0.0.1
5.伺机而动
--min-hostgroup
--min-hostgroup 调整并行扫描组的大小(扫namp默认情况下载进行扫描的是,首先开始售卖较小的组,会在最短的时间产生一个想要的结果,随后密码增加大小,最大为1024.为例保证效率,会针对UDP或少量端口的TCP扫描。) 例:nmap --min-hostgroup -30 127.0.0.1
--min-parallelism
--min-parallelism 调整探测报文的并行度。 例:nmap --min-parallelism 100 127.0.0.1
--max-parallelism
--max-parallelism 调整探测报文的并行度。 例:nmap --man-parallelism 100 127.0.0.1
--min-rtt-timeout
--min-rtt-timeout 调整探测报文超时(使用该选项时,规定100毫秒是比较合适的,rrt值不得小于100,也最好不要大于1000毫秒。) 例:nmap --min-rtt-timeout 500ms 127.0.0.1
--max-rtt-timeout
--max-rrt-timeout 调整探测报文超时 例:nmap --max-rtt-timeout 500ms 127.0.0.1
--initial-rtt-timeout
--initial-rtt-timeout 调整探测报文超时 例:nmap --initial-rtt-timeout 500ms 127.0.0.1
--host-timeout
--host-timeout 放弃低速目标主机
(单位是毫秒,一般我们设置为1800000毫秒,保证namp在对单个主机扫描的时间不会超过半个小时,在半小时后的时间内其他主机也会同时扫描。) 例:nmap --host-timeout 100ms 127.0.0.1/24
--scan-delay
--scan-delay 调整探测报文的时间间隔
(该选项可以控制Namp对一个或多个主机发送探测报文的等待时间,等待时间可以毫秒为单位。) 例:nmap --scan-delay 1s 127.0.0.1
--max-scan-delay 30s 127.0.0.1
6.防火墙/IDS逃逸
-f
-f 报文分段 例:nmap -sX -v -f 127.0.0.1(ping扫描目标主机)
如果在无法获知目标主机的端口是否开放,此时尝试使用报文分段进行扫描。 例:nmap -f -v 127.0.0.1
--mtu
--mtu 指定偏移大小 例:nmap--mtu 16 127.0.0.1
-D
-D IP欺骗(IP欺骗的语法如下:Namp -D [decoy1,decoy2...| RND:number][目标])
(使用-D选项可以指定多个IP地址,或者使用RND随机生成几个地址,在指定的诱饵之间使用逗号进行分割,需要注意的是在进行版本检测或者TCP扫描的时候诱饵是无效的。) 例:nmap -D RND:11 127.0.0.1
随机的方法容易发现,接下来将指定的IP进行对目标主机的扫描可以使用ME选项指定自己的真实IP。 例:nmap -D 127.0.0.1,127.0.0.2,127.0.0.253,ME 127.0.153.1
-sI
-sI 原地址欺骗
(使用-sI选项可以进行原地址欺骗,如果Namp无法确定你的原地址,Namp会给出相应的提示,我们使用-sI选项指定需要发包的接口IP地址。) 例:nmap -sI xssm.me:80 127.0.0.1
--source-port
--source-port 源端口欺骗
(使用--source-port选项可以进行源端口地址欺骗,也可以用-g选项,只需要提供端口,nmap就可以从端口发sing数据。) 例:nmap --source-port 53 127.0.0.1
--data-length
--data-length 指定发包长度
(使用--datalength可以在发送报文的时候指定发包长度,tcp包是40字节,ICMP Echo有28个字节。) 例:nmap --data-length 30 127.0.0.1
--randomize-hosts
--randomize-hosts 主机目标随机排序
(使用该选项可以对比主机书序进行随机的排序,最多可达8096个主机,单方面使用这个选项对防火墙/IDS逃逸效果不大,配合时间选项会有很好的效果。) 例:nmap --randomize-hosts 127.0.0.1-200
--spoof-mac
--spoof-mac MAC地址欺骗
使用该选项就可以进行MAC地址欺骗,冒失指定一个MAC地址会引起管理员怀疑,这是可以用字符串'0'随机分配一个MAC地址进行欺骗,MAC地址最好是存在的,这样才能起到欺骗的效果,使用--spoof-mac选项可以用参数包括0,MAC Address,Vendor Name. 0表示随机生成一个MAC地址,MAC Address表示用户手动指定一个MAC地址,Vendor Name表示从指定厂商生成一个MAC地址。 例:nmap -sT -PN --spoof-mac 0 127.0.0.1
7.信息收集
--script ip-geolocation-*
--script ip-geolocation-* IP信息搜集 例:nmap --script ip-geolocation-* www.xssm.me
whoise
whoise WHOIES查询
(查询目标域名whois)(有时候whois查询到信息并不准确,我们要热衷于查询历史whois记录。) 例:nmap --script whois www.xssm.me
大部分网站启用了whois保护或隐藏电话,姓名等信息,我们可以查询历史whois,例如whois可能还没有启用whois保护,我们可以启用其他几个whois查询脚本) 例:nmap --script whois --script-args whois.whodb =nofollow www.xssm.me
如果域名比较多,我们可以使用列表的方式进行查询。 例:nmap --sn --script whois -v -iL host.txt
http-email-harvest
http-email-harvest 搜集E-mail(Email查询) 例:nmap --sn --script http-email-harvest www.xssm.me
hostmap-ip2hosts
hostmap-ip2hosts IP反查 例:nmap -sn --script hostmap-ip2hosts www.xssm.me
dns-brute
dns-brute DNS信息搜集(域名系统是因特网的一项服务,他作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,dns使用tcp和udp端口53,当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。) 例:nmap --script dns-brute www.xssm.me
该脚本默认现成是5,如果需要查询多个域名可以指定一个列表;nmap --script dns-brute dns-brute.threads=10,dns-brute.hostlist www.xssm.me
membase-http-info
membase-http-info 检索系统信息 例:nmap -p 445 127.0.0.1 --script membase-http-info
smb-security-mode.nse
smb-security-mode.nse 后台打印机服务漏洞 例:nmap --script smb-security-mode.nse -p 445 127.0.0.1
smb-check-vulns.nse
smb-check.vulns.nse 系统漏洞扫描(可以使用U:或者T:进行配合,这样会得到意想不到的效果) 例:nmap --script smb-check-vulns.nse -p 445 127.0.0.1
http-stored-xss.nse
http-stored-xss.nse 扫描Web漏洞 例:nmap -p 80 --script-xss.nse www.xssm.me
snmp-win32-services
snmp-win32-service 通过Snmp列举Windows服务/账户 例:nmap -sU -p 161 --script=snmp-win32-services 127.0.0.1
dns-brute
dns-brute 枚举DNS服务器的主机名(下面的示例是对baidu.com子域名的枚举) 例:nmap --script dns-brute --script-args dns-brute.domain=baidu.com
所有有关子域名及服务器都被dns-brute脚本枚举出来,该脚本可以使用 "dns-brute.threads=线程" 指定线程来加快或较少破解速度,使用dns-brute.hostlist=./hostfile.txt指定一个需要枚举的列表。
http-header/http-sitmap-generator
http-header/http-sitmap-generator HTTP信息搜集
使用nmap扫描http版本漏洞,例如Apache,IIS7,Nginx的畸形漏洞在相应的低版本中都会存在,nmap可以非常简单的发泄这些漏洞。 例:nmap -sV -p 80 www.xssm.me
使用命令"nmap -p 80 --script=http-headers目标地址 "即可对目标地址进行HTTP头信息探测" 例:nmap -p --script=http-headers baidu.com
使用命令"nmap -p 80 --script=http-sitemap-generator目标地址"即可爬行Web目录结构。 例:nmap -p 80 --script=http-sitemap-generator www.baidu.com
ssl-enum-ciphers
ssl-enum-ciphers 枚举SSL秘钥 例:nmap -p 443 --script=ssl-enum-ciphers www.baidu.com
ssh-hostkey
ssh-hostkey SSH服务秘钥信息探测(sh-hosts可以查看SSH服务的秘钥信息) 例:nmap -p 22 --script ssh-hostkey --script-args ssh_hostkey=full 127.0.0.1
8.数据库渗透测试
mysql-databases
mysql-databases MYSQL枚举数据库(如果目标端口改变组需要-p指定相应的端口。) 例:nmap --script mysql-databases --script-args mysqluser=root,mysqlpass 127.0.0.1
mysql-variables
mysql-variables 列举MYSQL变量(如果目标端口改变组需要-p指定相应的端口) 例:nmap -p 3306 --script=mysql-variables 127.0.0.1
mysql-empty-password
mysql-empty-password 检查MYSQL密码 例:nmap -p 3306 --script=mysql-empty-password 127.0.0.1
如果无法确定目标开放的端口号,可以用-sV选项进行扫描 例:nmap -sV --script=mysql-empty-password 127.0.0.1
mysql-btute
mysql-brute 审计MYSQL密码 例:nmap --script=mysql-btute 127.0.0.1
该脚本用于MYSQL弱口令,默认查找全部端口查找MYSQL端口,但是我们可以用-p指定端口也可以自定义账号密码字典。 例:nmap -p 3306 --script=mysql-brute userdb=/root/passdb.txt passdb=/root/pass.txt 127.0.0.1
mysql-audit
mysql-audit 审计MYSQL安全配置 例:nmap -p 3306 --script mysql-audit --script-args "mysql-audit.username='root',mysql-audit.password='',mysql-audit.filename='nselib/data/mysql-cis.audit' " 127.0.0.1
oracle-brute
oracle-brute 审计Oracle密码 例:nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=test 127.0.0.1
该脚本暴力破解Oracle密码,但是我们可以用-p指定端口。也可以自定义账号密码字典,需要userdb选项指定账号字典passdb指向密码字典。 例:nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=test --script-args userdb=/tmp/usernames.txt,passdb=passwords.txt 127.0.0.1
ms-sql-brute
ms-sql-brute 审计msSQL空密码 例:nmap -p 1433 --script ms-sql-empty-password 127.0.0.1
ms-sql-empty-password
ms-sql-empty-password 检查msSQL空密码 例:nmap -p 1433 --script ms-sql-empty-password 127.0.0.1
ms-sql-tables
ms-sql-tables 读取msSQL数据 例:nmap -p -1433 --script ms-sql-tables --script-args myssql.username=sq,mssql.password=sa 127.0.0.1
ms-sql-xp-cmdshell
ms-sql-xp-cmdshell msSQL执行系统命令 例:nmap -p1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.,cmd="ipconfig" 127.0.0.1
pgsql-brute
pgsql-brute 审计PgSQL密码 例:nmap -p 5432 --script pgsql-brute 127.0.0.1
9.渗透测试
http-brute
http-brute 审计HTTP身份验证 例:nmap --script http-brute -p 80 www.xssm.me
ftp-brute
http-wordress-brute
...............明天继续
10.nmap技巧
11.nmap保存和输出