读书笔记 ~ Nmap渗透测试指南
记录Nmap选项及脚本使用,仅供参考...
除了端口扫描,好像其它脚本都比较鸡肋,用途感觉应该没有专用的小工具好用,不过还是可以看看,选项和脚本还是相当的丰富的。
Nmap 使用帮助
starnight:~ starnight$ nmap
Nmap 7.40 ( https://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <inputfilename>: Input from list of hosts/networks
-iR <num hosts>: Choose random targets
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks
--excludefile <exclude_file>: Exclude list from file
HOST DISCOVERY:
-sL: List Scan - simply list targets to scan
-sn: Ping Scan - disable port scan
-Pn: Treat all hosts as online -- skip host discovery
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-PO[protocol list]: IP Protocol Ping
-n/-R: Never do DNS resolution/Always resolve [default: sometimes]
--dns-servers <serv1[,serv2],...>: Specify custom DNS servers
--system-dns: Use OS's DNS resolver
--traceroute: Trace hop path to each host
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sU: UDP Scan
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags <flags>: Customize TCP scan flags
-sI <zombie host[:probeport]>: Idle scan
-sY/sZ: SCTP INIT/COOKIE-ECHO scans
-sO: IP protocol scan
-b <FTP relay host>: FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
-p <port ranges>: Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
--exclude-ports <port ranges>: Exclude the specified ports from scanning
-F: Fast mode - Scan fewer ports than the default scan
-r: Scan ports consecutively - don't randomize
--top-ports <number>: Scan <number> most common ports
--port-ratio <ratio>: Scan ports more common than <ratio>
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info
--version-intensity <level>: Set from 0 (light) to 9 (try all probes)
--version-light: Limit to most likely probes (intensity 2)
--version-all: Try every single probe (intensity 9)
--version-trace: Show detailed version scan activity (for debugging)
SCRIPT SCAN:
-sC: equivalent to --script=default
--script=<Lua scripts>: <Lua scripts> is a comma separated list of
directories, script-files or script-categories
--script-args=<n1=v1,[n2=v2,...]>: provide arguments to scripts
--script-args-file=filename: provide NSE script args in a file
--script-trace: Show all data sent and received
--script-updatedb: Update the script database.
--script-help=<Lua scripts>: Show help about scripts.
<Lua scripts> is a comma-separated list of script-files or
script-categories.
OS DETECTION:
-O: Enable OS detection
--osscan-limit: Limit OS detection to promising targets
--osscan-guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
Options which take <time> are in seconds, or append 'ms' (milliseconds),
's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
-T<0-5>: Set timing template (higher is faster)
--min-hostgroup/max-hostgroup <size>: Parallel host scan group sizes
--min-parallelism/max-parallelism <numprobes>: Probe parallelization
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: Specifies
probe round trip time.
--max-retries <tries>: Caps number of port scan probe retransmissions.
--host-timeout <time>: Give up on target after this long
--scan-delay/--max-scan-delay <time>: Adjust delay between probes
--min-rate <number>: Send packets no slower than <number> per second
--max-rate <number>: Send packets no faster than <number> per second
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu <val>: fragment packets (optionally w/given MTU)
-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
-S <IP_Address>: Spoof source address
-e <iface>: Use specified interface
-g/--source-port <portnum>: Use given port number
--proxies <url1,[url2],...>: Relay connections through HTTP/SOCKS4 proxies
--data <hex string>: Append a custom payload to sent packets
--data-string <string>: Append a custom ASCII string to sent packets
--data-length <num>: Append random data to sent packets
--ip-options <options>: Send packets with specified ip options
--ttl <val>: Set IP time-to-live field
--spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address
--badsum: Send packets with a bogus TCP/UDP/SCTP checksum
OUTPUT:
-oN/-oX/-oS/-oG <file>: Output scan in normal, XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.
-oA <basename>: Output in the three major formats at once
-v: Increase verbosity level (use -vv or more for greater effect)
-d: Increase debugging level (use -dd or more for greater effect)
--reason: Display the reason a port is in a particular state
--open: Only show open (or possibly open) ports
--packet-trace: Show all packets sent and received
--iflist: Print host interfaces and routes (for debugging)
--append-output: Append to rather than clobber specified output files
--resume <filename>: Resume an aborted scan
--stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML
--webxml: Reference stylesheet from Nmap.Org for more portable XML
--no-stylesheet: Prevent associating of XSL stylesheet w/XML output
MISC:
-6: Enable IPv6 scanning
-A: Enable OS detection, version detection, script scanning, and traceroute
--datadir <dirname>: Specify custom Nmap data file location
--send-eth/--send-ip: Send using raw ethernet frames or IP packets
--privileged: Assume that the user is fully privileged
--unprivileged: Assume the user lacks raw socket privileges
-V: Print version number
-h: Print this help summary page.
EXAMPLES:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
SEE THE MAN PAGE (https://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES
nmap -h
具体使用如下:
1、 -A : 全面扫描/综合扫描 [-A: Enable OS detection, version detection, script scanning, and traceroute]
2、 Nmap TCP/IP协议栈指纹
测试 | 描述 |
T1 | 发送TCP数据包(Flag = SYN)到开放TCP端口 |
T2 | 发送一个空的TCP数据包到开放TCP端口 |
T3 | 发送TCP数据包(Flag=SYN,URG,PSH,FIN)到开放端口 |
T4 | 发送TCP数据包(Flag=ACK)到开放TCP端口 |
T5 | 发送TCP数据包(Flag=SYN)到关闭的TCP端口 |
T6 | 发送TCP数据包(Flag=ACK)到关闭TCP端口 |
T7 | 发送TCP数据包(Flag=URG,PSH,PSH,FIN)到关闭的TCP端口 |
3、--packet-trace : 查看交互的数据包
选项 | 解释 |
-sP | ping 扫描 [探测主机存活,不容易被发现] |
-P0 | 无ping扫描[用于防火墙禁止ping的情况下,可以穿透防火墙,避免被防火墙发现] |
-PS | TCP SYN Ping扫描[通过SYN/ACK和RST相应来对目标主机是否存活进行判断] |
-PA | TCP ACK Ping扫描 |
-PU | UDP Ping扫描[发送一个空的UDP报文到指定端口,默认40125, 如果目标主机响应则返回一个ICMP端口不可达错误,如果目标主机不是存活状态则会返回各种ICMP错误信息] |
-PE;-PP;-PM | ICMP Ping Type扫描 |
-PR | ARP Ping扫描[内网使用] |
-sL | 列表扫描 |
-n | 禁止DNS反向解析[较少使用] |
-R | 反向解析域名[] |
--system-dns | 使用系统域名解析器 |
-6 | 扫描IPv6地址 |
--traceroute | 路由跟踪 |
-PY | SCTP INIT Ping 扫描 |
4、时序选项 -T (0-5)
-T0(偏执的):非常慢的扫描,用于IDS逃避。
-T1(鬼祟的):缓慢的扫描,用于IDS逃避。
-T2(文雅的):降低速度以降低对带宽的消耗,此选项一般不常用。
-T3(普通的):默认,根据目标的反应自动调整时间。
-T4(野蛮的):快速扫描,常用扫描方式,需要在很好的网络环境下进行扫描,请求可能会淹没目标。【在带宽允许的情况下,一般可以使用-T4进行扫描】
-T5(疯狂的):急速扫描,这种扫描方式以牺牲准确度来提升扫描速度。
5、
-sI: 空闲扫描, 允许进行端口完全欺骗扫描 nmap -sI www.0day.co:80 192.168.1.205 [并未成功]
-sO:IP协议扫描
选项 | 解释 |
-p | -F | 常用的扫描方式[-p指定端口 | -F 执行快速扫描] |
-sS | TCP SYN扫描[半开放扫描,扫描速度高且隐蔽性好] |
-sT | TCP 连接扫描[最基础、最稳定的扫描方式] |
-sU | UDP端口扫描 |
-sN;-sF;-sX | 隐蔽扫描 -sN:Null扫描 ,-sF:FIN扫描,穿透效果好,-sX:Xmas扫描 |
-sA | TCP ACK扫描 |
-sW | TCP 窗口扫描 |
-sM | TCP Maimon扫描 |
--scanflags | 自定义TCP扫描[只要是URG、ACK、PSH、RST、SYN、FIN的任何组合都可以] |
6、指纹识别与探测
选项 | 解释 |
-sV | 版本探测 |
--allports | 全端口版本探测,扫描全部端口,除了TCP 9100 |
--version-intensity | 设置扫描强度 (0~9,默认7) |
--version-light | 轻量级扫描 |
--version-all | 重量级扫描 |
--version-trace | 获取详细版本信息 |
-sR | RPC扫描[用于确认是否是RPC端口] |
-O | 启用操作系统探测 |
--osscan-limit | 对指定的目标系统进行操作系统探测 |
--osscan-guess; --fuzzy | 推荐系统识别 |
7、定时选项
选项 | 解释 |
--min-hostgroup | 调整并行扫描组的大小 |
--min-parallelism --max-parallelism |
调整探测报文的并行度 |
--min-rtt-timeout --max-rtt-timeout --initial-rtt-timeout |
调整探测报文超时 |
--host-timeout | 放弃低俗目标机器 |
--scan-delay --max-scan-delay |
调整探测报文的时间间隔 |
8、防火墙/IDS逃逸
选项 | 解释 |
-f | 报文分段[一些主机会禁止ICMP请求,可以使用报文分段的方法来逃避目标防火墙的规则] |
--mtu | 指定偏移大小[偏移量为8的整数倍,用来逃逸防火墙/IDS] |
-D nmap -D [decoy1, decoy2...|RND:number][destination] |
IP欺骗 nmap -D RND:11 192.168.1.111 [随机构造11个IP对目标进行扫描] |
-sI | 源地址欺骗 |
--source-port | 源端口欺骗 |
--data-length | 指定发包长度[通常TCP包是40字节,ICMP Echo 28字节,可以指定附加随机数据来达到规避防火墙的目的] |
--randomize-hosts | 目标主机随机排序[ 配合时间选项使用更好 ] |
--spoof-mac |
MAC地址欺骗 [0:随机生成一个MAC地址、MAC Address:指定一个MAC地址、Vendor Name:从指定厂商生成一个MAC地址] |
9、信息收集: 脚本在 kali : /usr/share/nmap/scripts
脚本 | 解释 |
--script ip-geolocation-* |
IP信息收集 |
whois-domain / whois-ip | WHOIS查询 |
http-email-harvest [not found] | 收集E-mail信息 |
hostmap-ip2hosts | IP反查 |
dns-brute |
DNS信息收集 [默认五个线程] nmap --script dns-brute dns-brute.threads=10 www.xxx.com |
membase-http-info | 检索系统信息 |
smb-security-mode | 后台打印机服务漏洞 |
http-stored-xss | 扫描web漏洞 |
snmp-win32-services | 通过snmp列举Windows服务/账户 |
dns-brute |
枚举DNS服务器的主机名 nmap --script dns-brute --script-args dns-brute.domain=baidu.com |
http-headers/http-sitemap-generator | HTTP信息收集 |
ssl-enum-ciphers | 枚举SSL密钥 |
ssh-hostkey | SSH服务密钥信息探测 |
10、 数据库渗透测试
脚本 | 解释 |
mysql-databases |
MySQL列举数据库 nmap -p3306 --script mysql-databases --script-args mysqluser=root,mysqlpass= 192.168.1.110 |
mysql-variables | 列举MySQL变量[好像并未成功] |
mysql-empty-password | 检查MySQL空密码 |
mysql-brute |
审计MySQL密码 mysql -p3306 --script=mysql-brute 192.168.1.110 nmap -p3306 --script=mysql-brute userdb=/root/user.txt passdb=/root/pass.txt 192.168.1.110 |
mysql-audit | 设计MySQL安全配置[未成功] |
oracle-brute | 审计Oracle密码[未测试] |
ms-sql-brute | 设计MSSQL密码[未测试] |
ms-sql-empty-password | 检查MSSQL密码[未测试] |
ms-sql-tables | 读取MSSQL数据[未测试] |
ms-sql-xp-cmdshell | MSSQL执行系统命令[未测试] |
pgsql-brute | 设计postgresql密码[未测试] |
11、渗透测试
脚本 | 解释 |
http-brute | 审计HTTP身份验证 |
ftp-brute | 审计FTP服务器 |
http-wordpress-brute | 审计WordPress程序 |
http-joomla-brute | 审计Joomla程序 |
pop3-brute | 设计邮件服务器 |
smb-brute | 审计SMB口令 |
vns-brute | 审计VNC服务器 |
smtp-brute smtp-enum-users |
审计SMTP服务器 |
stuxnet-detect | 检测Stuxnet蠕虫 |
snmp-netstat snmp-process snmp-win32-services snmp-brute |
SNMP服务安全审计 |
12、--iflist : 列举接口和路由
13、-oG : 继续终端扫描
nmap -oG 1.txt -v 192.168.1.110
nmap --resume 1.txt
14、firewalk : 探测防火墙
nmap --script=firewalk --traceroute 192.168.1.110
15、-oN 标准格式保存扫描结果
nmap -oN 1.txt 192.168.1.110
读书笔记 ~ Nmap渗透测试指南的更多相关文章
- 读书笔记——商广明《Nmap渗透测试指南》
一 Nmap基础学习 1.简介及安装 Nmap是一款由C语言编写的.开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具.软件名字Nmap是Ne ...
- 读书笔记--Android Gradle权威指南(下)
前言 最近看了一本书<Android Gradle 权威指南>,收获挺多,就想着来记录一些读书笔记,方便后续查阅. 本篇内容是基于上一篇:读书笔记--Android Gradle权威指南( ...
- 不老的神器:安全扫描器Nmap渗透使用指南【转】
介绍 nmap是用来探测计算机网络上的主机和服务的一种安全扫描器.为了绘制网络拓扑图Nmap的发送特制的数据包到目标主机然后对返回数据包进行分析.Nmap是一款枚举和测试网络的强大工具. 特点 主机探 ...
- 《软件测试自动化之道》读书笔记 之 XML测试
<软件测试自动化之道>读书笔记 之 XML测试 2014-10-07 待测程序测试程序 通过XmlTextReader解析XML 通过XmlDocument解析XML 通过XmlPa ...
- Nmap渗透测试使用方法
Nmap渗透测试使用方法 目标选择2 端口选择2 操作系统和服务检测2 Nmap输出格式2 用NSE脚本深入挖掘2 HTTP服务信息3 检测SSL漏洞问题的主机3 设备扫描3 按VNC扫描5 按SMB ...
- 读书笔记--Android Gradle权威指南(上)
本篇文章已授权微信公众号 dasu_Android(大苏)独家发布 最近看了一本书<Android Gradle 权威指南>,对于 Gradle 理解又更深了,但不想过段时间就又忘光了,所 ...
- metasploit渗透测试指南概要整理
一.名词解释 exploit 测试者利用它来攻击一个系统,程序,或服务,以获得开发者意料之外的结果.常见的 有内存溢出,网站程序漏洞利用,配置错误exploit. payload 我们想让被攻击系统执 ...
- kafka读书笔记《kafka权威指南》2018
1.有了分区,可以多个client消费一个topic,有了分区,可以将一个topic 分散在多个broker 2.kafka通过复制实现可靠,通过横向扩展提高性能(如增加分区.客户端.增加broker ...
- 读书笔记《CSS权威指南》
阅读本书主要目的: 自从学会CSS以来,虽然熟练掌握了其使用方法和技巧,但对其底层的原理和实现并不清晰,阅读本书想进一步系统化的学习和深入研究其本质,对这门前端基础语言从熟练使用到真正理解. 第1章 ...
随机推荐
- 这些天php面试的总结
面试总结 记录一些本人在面试中遇到的觉得有些掌握不好的面试题,下面的答案都是本人回答的,如果哪里不对的话,希望各位能够指出. 1.Git fetch和git pull的区别 Git fetch相当于从 ...
- 将Python项目生成所有依赖包的清单requirements .txt文件
在开发中不同的项目总会牵扯到各种不同作用的包安装,下面是总结一下对写好的项目自动生成依赖清单,以及在新环境下解决依赖的方法: 一:生成所有依赖清单requirements.txt 这里需要使用到的工具 ...
- PHP中类中成员及常量
类中成员概述 面向对象编程,是需要通过“对象”去做什么事情(以完成某种任务): 而: 对象总是来源于类: 所以: 面向对象的编程,一切都是从定义类开始: 类中成员分为3大类: 属性: 方法: 常量: ...
- Mysql 学习之 SQL的执行顺序
mysql的json查询: 1.一条普通的SQL SELEC ...
- HTTP摘要认证原理以及HttpClient4.3实现
基本认证便捷灵活,但极不安全.用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改.安全使用基本认证的唯一方式就是将其与 SSL 配合使用. 摘要认证是另一种HTTP认证协议,它试图修 ...
- [AT2304] [agc010_c] Cleaning
题目链接 AtCoder:https://agc010.contest.atcoder.jp/tasks/agc010_c 洛谷:https://www.luogu.org/problemnew/sh ...
- [洛谷P4626]一道水题 II
题目大意:求$lcm(1,2,3,\cdots,n)\pmod{100000007}$,$n\leqslant10^8$ 题解:先线性筛出质数,然后求每个质数最多出现的次数,可以用$\log_in$来 ...
- 【WebAPI】新手入门WebAPI
一.前言 工作也有一年多了,从进入公司就一直进行BIM(建筑信息模型)C/S产品的研发,平时写的最多的就是Dev WPF.一个偶然的时机,产品需要做支付宝扫码与微信扫码,所以需要了解产品服 ...
- 2017-2018-2 20165218 实验四《Android开发基础》实验报告
实验三 Android开发基础 课程:java程序设计 姓名:赵冰雨 学号:20165218 指导教师:娄嘉鹏 实验日期:2018.4.14 实验内容: 1.基于Android Studio开发简单的 ...
- 常用Actoin算子 与 内存管理 、共享变量、内存机制
一.常用Actoin算子 (reduce .collect .count .take .saveAsTextFile . countByKey .foreach ) collect:从集群中将所有的计 ...