1、1 常用命令1.1 簡單示例使用ping檢測這個網(wǎng)段1nmap -sP使用SYN的方法對全端口進行掃描,在aggressive(4)的時間模板下,同時對開放的端口進行端口識別1nmap -p1-65535 -sV -sS -T4 target PS: -T代表的是掃描的時候,一些控制選項(TCP的延遲時間,探測報文之間的間隔等)的集合,具體的man nmap一下就知道了使用SYN掃描,在aggressive(4)的時間模板下,探測操作系統(tǒng)的類型和版本,還有顯示traceroute的結果,結果輸出較為詳細1nmap -v -sS -A -T4 target 使用SYN掃描,在insane(5)的

2、時間模板下,探測操作系統(tǒng)的類型和版本,還有顯示traceroute的結果,結果輸出較為詳細1nmap -v -sS -A -T5 target 使用SYN掃描,在insane(5)的時間模板下,探測操作系統(tǒng)的類型,還有顯示traceroute的結果,操作系統(tǒng)的類型,結果輸出較為詳細1nmap -v -sV -O -sS -T5 target 使用SYN的方法對全端口進行掃描,同時對開放的端口進行端口識別,在aggressive(4)的時間模板下,探測操作系統(tǒng)的類型還有顯示traceroute的結果,結果輸出較為詳細1nmap -v -p 1-65535 -sV -O -sS -T4 targe

3、t 用SYN的方法對全端口進行掃描,同時對開放的端口進行端口識別,在insane(5)的時間模板下,探測操作系統(tǒng)的類型,還有顯示traceroute的結果,結果輸出較為詳細1nmap -v -p 1-65535 -sV -O -sS -T5 target從文件中讀取需要掃描的IP列表1nmap -iL ip-address.txt1.2 Nmap輸出格式掃描的結果輸出到屏幕,同時會存儲一份到grep-output.txt1nmap -sV -p 139,445 -oG掃描結果輸出為html1nmap -sS -sV -T5 9 -webxml -oX - | xsltproc

4、-output file.html 1.3 Nmap掃描Netbios在子網(wǎng)中發(fā)現(xiàn)開放netbios的IP1nmap -sV -v 掃描指定netbios的名稱1nmap -sU -script nbstat.nse -p 137 target 掃描指定的目標,同時檢測相關漏洞1nmap -script-args=unsafe=1 -script smb-check-vulns.nse -p 445 target將nmap的80端口的掃描結果,通過管道交給nikto進行掃描1Nmap Nikto Scan nmap -oG - | nikto.pl -h -將nmap的80,443端口的掃描結

5、果,通過管道交給nikto進行掃描1nmap -oG - | nikto.pl -h -1.4 Nmap參數(shù)詳解Nmap支持主機名,ip,網(wǎng)段的表示方式例如:-25.1-2541234-iL filename   從文件中讀取待檢測的目標,文件中的表示方法支持機名,ip,網(wǎng)段-iR hostnum        隨機選取,進行掃描.如果-iR指定為0,則是無休止的掃描-exclude host1, host2     從掃描任務中需要排

6、除的主機           -exculdefile exclude_file 排除文件中的IP,格式和-iL指定掃描文件的格式相同主機發(fā)現(xiàn)1234567-sL            僅僅是顯示,掃描的IP數(shù)目,不會進行任何掃描-sn            

7、 ping掃描,即主機發(fā)現(xiàn)-Pn               檢測主機存活-PS/PA/PU/PYportlist  TCP SYN Ping/TCP ACK Ping/UDP Ping發(fā)現(xiàn)-PE/PP/PM               使用ICMP echo, tim

8、estamp and netmask 請求包發(fā)現(xiàn)主機-POprococol list      使用IP協(xié)議包探測對方主機是否開啟   -n/-R                   不對IP進行域名反向解析/為所有的IP都進行域名的反響解析掃描技巧12345678-sS/sT/sA/sW/sM   

9、;           TCP SYN/TCP connect()/ACK/TCP窗口掃描/TCP Maimon掃描-sU                          UDP掃描-sN/sF/sX   &

10、#160;                   TCP Null，F(xiàn)IN，and Xmas掃描-scanflags            自定義TCP包中的flags-sI zombie host:probeport     Idlescan-sY/sZ &#

11、160;                        SCTP INIT/COOKIE-ECHO 掃描-sO         使用IP protocol 掃描確定目標機支持的協(xié)議類型-b “FTP relay host”   &

12、#160;   使用FTP bounce scan指定端口和掃描順序123456-p         特定的端口 -p80,443 或者 -p1-65535-p U:PORT        掃描udp的某個端口, -p U:53-F             快速掃描模式

13、,比默認的掃描端口還少-r             不隨機掃描端口,默認是隨機掃描的-top-ports "number"    掃描開放概率最高的number個端口,出現(xiàn)的概率需要參考nmap-services文件,ubuntu中該文件位于/usr/share/nmap.nmap默認掃前1000個-port-ratio "ratio"    掃描指定頻率以上的端口服

14、務版本識別12345-sV                   開放版本探測,可以直接使用-A同時打開操作系統(tǒng)探測和版本探測-version-intensity "level"     設置版本掃描強度,強度水平說明了應該使用哪些探測報文。數(shù)值越高，服務越有可能被正確識別。默認是7-version-light   &#

15、160;             打開輕量級模式,為-version-intensity 2的別名-version-all                   嘗試所有探測,為-version-intensity 9的別名-version-trace    &

16、#160;            顯示出詳細的版本偵測過程信息腳本掃描1234567-sC                             根據(jù)端口識別的服務,調用默認腳本-script=”Lua sc

17、ripts”          調用的腳本名-script-args=n1=v1,n2=v2     調用的腳本傳遞的參數(shù)-script-args-file=filename     使用文本傳遞參數(shù)-script-trace                 

18、 顯示所有發(fā)送和接收到的數(shù)據(jù)-script-updatedb               更新腳本的數(shù)據(jù)庫-script-help=”Lua script”      顯示指定腳本的幫助OS識別123-O              啟用操作系統(tǒng)檢測,-A來同時啟用操作系統(tǒng)檢測和版

19、本檢測-osscan-limit  針對指定的目標進行操作系統(tǒng)檢測(至少需確知該主機分別有一個open和closed的端口)-osscan-guess  推測操作系統(tǒng)檢測結果,當Nmap無法確定所檢測的操作系統(tǒng)時，會盡可能地提供最相近的匹配，Nmap默認進行這種匹配防火墻/IDS躲避和哄騙123456789101112-f; -mtu value                 指定使用分片、指定數(shù)據(jù)包的MTU.-D

20、 decoy1,decoy2,ME             使用誘餌隱蔽掃描-S IP-ADDRESS                   源地址欺騙-e interface          

21、60;         使用指定的接口-g/ -source-port PROTNUM       使用指定源端口  -proxies url1,url2,.       使用HTTP或者SOCKS4的代理  -data-length NUM          

22、;     填充隨機數(shù)據(jù)讓數(shù)據(jù)包長度達到NUM-ip-options OPTIONS            使用指定的IP選項來發(fā)送數(shù)據(jù)包-ttl VALUE                     設置IP time-to-live域-spoof-

23、mac ADDR/PREFIX/VEBDOR  MAC地址偽裝-badsum                        使用錯誤的checksum來發(fā)送數(shù)據(jù)包Nmap 輸出1234567891011121314151617-oN          

24、0;          將標準輸出直接寫入指定的文件-oX                     輸出xml文件-oS                

25、;     將所有的輸出都改為大寫-oG                     輸出便于通過bash或者perl處理的格式,非xml-oA BASENAME            可將掃描結果以標準格式、XML格式和Grep格式一次性輸出-v

26、60;                     提高輸出信息的詳細度-d level                設置debug級別,最高是9-reason       

27、0;        顯示端口處于帶確認狀態(tài)的原因-open                  只輸出端口狀態(tài)為open的端口-packet-trace          顯示所有發(fā)送或者接收到的數(shù)據(jù)包-iflist    

28、0;           顯示路由信息和接口,便于調試-log-errors            把日志等級為errors/warings的日志輸出-append-output         追加到指定的文件-resume FILENAME     

29、60; 恢復已停止的掃描-stylesheet PATH/URL   設置XSL樣式表，轉換XML輸出-webxml                從得到XML的樣式-no-sytlesheet         忽略XML聲明的XSL樣式表其他nmap選項12345678-6     

30、;                 開啟IPv6-A                      OS識別,版本探測,腳本掃描和traceroute-datedir DIRNAME    &#

31、160;  說明用戶Nmap數(shù)據(jù)文件位置-send-eth / -send-ip  使用原以太網(wǎng)幀發(fā)送/在原IP層發(fā)送-privileged            假定用戶具有全部權限-unprovoleged          假定用戶不具有全部權限,創(chuàng)建原始套接字需要root權限-V       

32、0;              打印版本信息-h                      輸出幫助2 腳本引擎2.1 nmap按腳本分類掃描nmap腳本主要分為以下幾類，在掃描時可根據(jù)需要設置-script=類別這種方式進行比較籠統(tǒng)的掃描：auth: 負責處

33、理鑒權證書（繞開鑒權）的腳本 broadcast: 在局域網(wǎng)內探查更多服務開啟狀況，如dhcp/dns/sqlserver等服務 brute: 提供暴力破解方式，針對常見的應用如http/snmp等 default: 使用-sC或-A選項掃描時候默認的腳本，提供基本腳本掃描能力 discovery: 對網(wǎng)絡進行更多的信息，如SMB枚舉、SNMP查詢等 dos: 用于進行拒絕服務攻擊 exploit: 利用已知的漏洞入侵系統(tǒng) external: 利用第三方的數(shù)據(jù)庫或資源，例如進行whois解析 fuzzer: 模糊測試的腳本，發(fā)送異常的包到目標機，探測出潛在漏洞 intrusive: 入侵性的腳

34、本，此類腳本可能引發(fā)對方的IDS/IPS的記錄或屏蔽 malware: 探測目標機是否感染了病毒、開啟了后門等信息 safe: 此類與intrusive相反，屬于安全性腳本 version: 負責增強服務與版本掃描（Version Detection）功能的腳本 vuln: 負責檢查目標機是否有常見的漏洞（Vulnerability），如是否有MS08_067部分使用截圖：（1） nmap -script=auth 192.168.137.*負責處理鑒權證書（繞開鑒權）的腳本,也可以作為檢測部分應用弱口令（2）nmap -script=brute 192.168.137.*提供暴力破

35、解的方式  可對數(shù)據(jù)庫，smb，snmp等進行簡單密碼的暴力猜解（3）nmap -script=default 192.168.137.* 或者 nmap -sC 192.168.137.*默認的腳本掃描，主要是搜集各種應用服務的信息，收集到后，可再針對具體服務進行攻擊（4）nmap -script=vuln 192.168.137.*    檢查是否存在常見漏洞（5）nmap在局域網(wǎng)內探查更多服務開啟狀況（6）nmap 利用第三方的數(shù)據(jù)庫或資源，例如進行whois解析2.2 nmap按應用服務掃描（1）vnc掃描：檢查vn

36、c bypass1nmap  -script=realvnc-auth-bypass  檢查vnc認證方式1nmap  -script=vnc-auth    獲取vnc信息1nmap  -script=vnc-info    （2）smb掃描：smb破解1nmap  -script=smb-brute.nse   smb字典破解1nmap -script=smb-brute.ns

37、e -script-args=userdb=/var/passwd,passdb=/var/passwd  smb已知幾個嚴重漏1nmap  -script=smb-check-vulns.nse -script-args=unsafe=1    查看共享目錄  1nmap -p 445  -script smb-ls -script-args share=e$,path=,smbuser=test,smbpass=test    

38、查詢主機一些敏感信息（注：需要下載nmap_service）1nmap -p 445 -n script=smb-psexec -script-args= smbuser=test,smbpass=test   查看會話1nmap -n -p445 -script=smb-enum-sessions.nse -script-args=smbuser=test,smbpass=test    系統(tǒng)信息1nmap -n -p445 -script=smb-os-discovery.nse -script

39、-args=smbuser=test,smbpass=test  （3）Mssql掃描：猜解mssql用戶名和密碼1nmap -p1433 -script=ms-sql-brute -script-args=userdb=/var/passwd,passdb=/var/passwd    xp_cmdshell 執(zhí)行命令 1nmap -p 1433 -script ms-sql-xp-cmdshell -script-args mssql.username=sa,mssql.password=sa,

40、ms-sql-xp-cmdshell.cmd="net user"       dumphash值1nmap -p 1433 -script ms-sql-dump-hashes.nse -script-args mssql.username=sa,mssql.password=sa        （4）Mysql掃描：掃描root空口令1nmap -p3306 -script=mysql-empty-password.nse   列出所有mysql用戶1nmap -p3306 -script=mysql-users.nse -script-args=mysqluser=root   支持同一應用的所有腳本掃描1nmap -script=mysql-*  （5）Oracle掃