滲透之——Nmap+Zenmap+Amap+Zmap
轉載請註明出處:https://blog.csdn.net/l1028386804/article/details/84204992
Nmap
第一部分 Nmap基礎
一、Nmap功能
基本功能有三個:
1.探測主機是否線上;
2.掃描主機埠,嗅探所提供的網路服務
3.推斷主機作業系統
主機探測:
探測網路上的主機,例如列出相應TCP和ICMP請求,icmp請求,開放特別埠的主機
埠掃描:
探測目標主機所開放的埠
版本檢測:
探測目標主機的網路服務,判斷其服務名稱和版本號
系統檢測:
探測目標主機的作業系統及網路裝置的硬體特性
支援探測指令碼的編寫:
使用Namp的指令碼引擎(NSE)和Lua程式語言
二、安裝
到https://nmap.org 下載安裝即可。
三、更新
1.更新nmap
1-1.在windows安裝目錄下找到nmap-update.exe 基於SVN更新
1-2.手動重新安裝
2.更新nmap-script-database
nmap --script-updatedb
第二部分 主機發現掃描技術
一、主機發現
傳送簡單的ICMP回聲請求報文,這些探測的目的是獲得相應以顯示某個IP地址是否是活動的(正在被某主機或者網路裝置使用),主機發現能夠找到零星分佈與IP地址海洋上的那些機器。
二、網路原理簡介
緊急標識URGent:
當URG=1時,表明此報文應儘快傳送,而不要按本來的列隊次序傳送,與"緊急指標"欄位共同使用。
緊迫標識PSH:
當PSH = 1時,表明請求遠端TCP將本報文段立即傳送給其應用層,而不要等到全部快取都填滿了之後再向上交付。
確認標識ACK:
只有當ACK=1時,確認序號欄位才有意義。
復位標識ReSet:
當RST=1時,表明出現嚴重錯誤,必須釋放連結,然後再重建傳輸連線。復位標識還用來拒絕一個不法的報文或拒絕開啟一個連線;
同步標識SYN:
在建立連線時使用,當SYN=1而ACK=0時,表明這是一個連線請求報文段。對方若同意建立連線,在發還的報文段中使SYN=1和ACK=1.所以,SYN=1預設是一個連線請求。
終止標識FINal:
用來釋放一個連線,當FIN=1時,表明欲傳送的位元組串已經發送完成,並請求釋放傳輸連線。
ICMP差錯報文
1.ICMP目標不可達訊息
2.ICMP重定向訊息
3.ICMP超時訊息
4.源抑制訊息
ICMP查詢報文
1.ICMP回送訊息(echo)
2.ICMP地址掩碼訊息(Adress mask)
3.ICMP時間戳訊息(Time stamp)
三、Nmap選項詳解
-P*選項(用於選擇ping的型別)可以被結合使用
可以使用不同的TCP埠/標識位和ICMP碼傳送許多探測報文,目的是增加穿透防守嚴密的防火牆的機會。
-P0(無ping)
完全跳過Nmap發現階段。用-P0禁止主機發現會使Namp對每一個指定的目標IP地址進行所要求的掃描。所以,如果在命令列指定一個B類目標地址空間(/16),所有63336個IP地址都會被掃描。
-PS[portlist] (TCP SYN PING)
傳送一個設定了SYN標誌位的空TCP報文。預設目的埠是80,但不同的埠也可以作為選項指定。
在Nmap的原始碼nmap.h中,找到 #define DEFAULT_TCP_PROBE_PORT 80 我們可以將80埠改成我們想要的埠,重新編譯,從而可以修改Nmap的掃描的預設埠。
示例如下:
Starting Nmap 7.70 ( https://nmap.org ) at 2018-11-18 16:23 CST
Nmap done: 25 IP addresses (0 hosts up) scanned in 21.17 seconds
-PA[portlist] (TCP ACK Ping)
ACK報文標識確認一個建立連線的嘗試,但該連線尚未完全建立。預設埠80,也可以指定目標埠列表。
nmap -PA 180.24.67.1-254
-PU[portlist] (UDP Ping)
傳送一個空的(除非指定了--data-length)UDP報文到給定的埠。如果不指定,預設是31338
優勢:可以穿越只過濾TCP的防火牆和過濾器。
nmap -PU 180.24.67.1-254
nmap -PA12345,2298,3399 180.24.67.1-254
-PE;-PP;-PM(ICMP Ping Types)
nmap -PM -PE -PP --send-ip 180.175.10.1-254
-PR(ARP Ping)
nmap -PR --send-ip 180.175.10.1-254
-n(不用域名解析)
不對發現的IP地址進行反向域名解析
-R(為所有目標解析域名)
對目標IP地址作反向域名解析
第三部分 Nmap掃描目標
Nmap支援CIDR風格的地址,可以附加一個/<numbit>在一個IP地址或主機名後面,Nmap將會掃描所有和該參考IP地址具有<numbit>相同位元的所有IP地址或主機。例如:192.168.10.0/24將會掃描192.168.10.0,scanme.nmap.org/16也能成功使用
192.168.1,3,7.1-254等效於:
192.168.1.1-254 192.168.3.1-254 192.168.7.1-254
-iL <inputfilename> (從列表中輸入)
用-iL把檔名作為選項傳給Nmap。列表中的項可以是Nmap在命令列上接受的任何格式(IP地址,主機名,CIDR、IPv6或八位元組範圍),每一項必須以一個或多個空格,製表符或換行符隔開。
nmap -PP -PM -PE -iL ip
其中ip就是我們存放IP地址的檔案,ip檔案的內容如下:
172.17.17.24 172.17.17.10
scanme.nmap.org
172.17.1-100.1-100
-iR <hostnum> (隨機選擇目標)
<hostnum>告訴Nmap生成多少個IP
nmap -sS -PS80 -iR 0 -p 80
--exclude <host1[, host2][,host2]....>(排除主機/網路)
--excludefile <excludefile>(排除檔案中的列表)
排除的目標檔案中的IP是以換行符、空格或製表符分隔的。
nmap -PP -excludefile ip 172.17.17.1/16
第四部分 埠掃描技術
-sS (TCP SYN掃描)
SYN掃描是預設的、執行快、不易被注意到,因為它從來不完成RCP連線
nmap -sS 125.64.43.0-255
-sT (TCP connect掃描)
nmap -sT 125.64.43.0-255
-sU (UDP掃描)
nmap -sU --host-timeout 1 125.64.43.0-255
-sA (TCP ACK掃描)
-sW (TCP視窗掃描)
-sN;-sF-sX (TCP null, FIN, and Xmas)
nmap -sN 125.64.43.0-254
nmap -sF 125.64.43.0-254
nmap -sX 125.64.43.0-254
-sM (TCP Maimon掃描)
-sO (IP協議掃描)
--data-length 100
-sI <zombie host[:probeport]> (Idlescan,空閒掃描)
對目標進行真正的TCP埠盲掃描
nmap --script ipidseq 125.64.43.0-254
--scanflags(定製的TCP掃描)
nmap --scanflags URGACK 125.64.43.0-254
nmap -sS --scanflags URGACK 125.64.43.0-254
-b <ftp reply host> (FTP彈跳掃描)
引數格式:
<username>:<password>@<server IP>:<port>
-p <port ranges>(只掃描指定的埠)
當掃描TCP埠又掃描UDP埠時,可以在埠號前加上T:或者U:指定協議
-F (快速(有限的埠)掃描)
-r (按隨機順序掃描埠)
第五部分 掃描結果
open(開放的)
closed(關閉的)
關閉的埠對於Nmap也是可訪問的,但沒有應用程式在其上監聽。
open|filtered(開放或者被過濾的)
closed|filtered(關閉或者被過濾的)
第六部分 服務及版本探測掃描技術
-sV (版本探測)
開啟版本探測。 您也可以用-A同時開啟作業系統探測和版本探測。
nmap -sV www.baidu.com
--allports (不為版本探測排除任何埠)
預設情況下,Nmap版本探測會跳過9100 TCP埠,因為一些印表機簡單地列印送到該埠的 任何資料,這回導致數十頁HTTP get請求,二進位制 SSL會話請求等等被打印出來。這一行為可以通過修改或刪除nmap-service-probes 中的Exclude指示符改變, 您也可以不理會任何Exclude指示符,指定--allports掃描所有埠
nmap -sV --allports www.baidu.com
--version-intensity <intensity> (設定 版本掃描強度)
當進行版本掃描(-sV)時,nmap傳送一系列探測報文 ,每個報文都被賦予一個1到9之間的值。 被賦予較低值的探測報文對大範圍的常見服務有效,而被賦予較高值的報文 一般沒什麼用。強度水平說明了應該使用哪些探測報文。數值越高, 服務越有可能被正確識別。 然而,高強度掃描花更多時間。強度值必須在0和9之間。 預設是7。當探測報文通過nmap-service-probes ports指示符 註冊到目標埠時,無論什麼強度水平,探測報文都會被嘗試。這保證了DNS 探測將永遠在任何開放的53埠嘗試, SSL探測將在443埠嘗試,等等。
--version-light (開啟輕量級模式)
這是 --version-intensity 2的方便的別名。輕量級模式使 版本掃描快許多,但它識別服務的可能性也略微小一點。
--version-all (嘗試每個探測)
--version-intensity 9的別名, 保證對每個埠嘗試每個探測報文。
--version-trace (跟蹤版本掃描活動)
這導致Nmap打印出詳細的關於正在進行的掃描的除錯資訊。 它是您用--packet-trace所得到的資訊的子集。
-sR (RPC掃描)
這種方法和許多埠掃描方法聯合使用。 它對所有被發現開放的TCP/UDP埠執行SunRPC程式NULL命令,來試圖 確定它們是否RPC埠,如果是, 是什麼程式和版本號。因此您可以有效地獲得和rpcinfo -p一樣的資訊, 即使目標的埠對映在防火牆後面(或者被TCP包裝器保護)。Decoys目前不能和RPC scan一起工作。 這作為版本掃描(-sV)的一部分自動開啟。 由於版本探測包括它並且全面得多,-sR很少被需要。
第七部分 作業系統探測
-O (啟用作業系統檢測)
也可以使用-A來同時啟用作業系統檢測和版本檢測。
--osscan-limit (針對指定的目標進行作業系統檢測)
如果發現一個開啟和關閉的TCP埠時,作業系統檢測會更有效。 採用這個選項,Nmap只對滿足這個條件的主機進行作業系統檢測,這樣可以 節約時間,特別在使用-P0掃描多個主機時。這個選項僅在使用 -O或-A 進行作業系統檢測時起作用。
--osscan-guess; --fuzzy (推測作業系統檢測結果)
當Nmap無法確定所檢測的作業系統時,會盡可能地提供最相近的匹配,Nmap預設 進行這種匹配,使用上述任一個選項使得Nmap的推測更加有效。
第八部分 Nmap指令碼掃描
總體命令格式為:nmap --script 指令碼名稱 目標
1.獲得WHOIS記錄資訊
命令:
nmap --script whois 目標
nmap --script whois-domain 目標
nmap --script whois-ip 目標
nmap --script whois-domain 目標1 目標2 目標3 ...
2.Nmap的HTTP方法
命令:
nmap -p80,443 --script http-medthods scanme.nmap.org
nmap --script http-enum -p80 目標
指定不同的User Agent來繞過某些防火牆
nmap -p80 --script http-enum --script-args http.useragent="Mozilla 5" 目標
指定HTTP管道數目來加快掃描
nmap -p80 --script http-enum --script-args http.pipeline=25 目標
爆破HTTP身份認證
nmap -p80 --script http-brute --script-args http-brute.path=/admin/<target>
發現使用弱密碼賬戶安全的wordpress,輸入命令:
nmap -p80 --script http-wordpress-brute <target>
設定執行緒的數量,使用指令碼引數http-wordpress-brute.threads
nmap -p80 --script http-wordpress-brute --script-args http-wordpress-brute.threads=5 <target>
Joomla是在許多國家非常流行的cms,使用http-joomla-brute指令碼來檢測弱密碼賬戶
nmap -p80 --script http-joomla-brute <target>
3、檢測SQL注入
命令:
nmap -p80 --script http-sql-injection <target>
4、檢測資料庫
1.列出資料庫名稱
nmap -sV --script=mysql-databases <target>
2.使用者審計
用密碼進行身份驗證,通過爆破或者空口令獲得憑據
nmap -sV --script=mysql-users
3.檢查root空口令
sudo nmap --script mysql-empty-password <target>
4.使用Nmap指令碼爆破使用者名稱和密碼
nmap --script=mysql-brute <target>
5、漏洞利用
使用CVE-2012-2122
MySQL最可怕的漏洞CVE-2012-2122,攻擊者使用root嘗試300次登入後,成功進入了資料庫
nmap --script=mysql-vuln-cve2012-2122 <target>
6.列舉SMTP服務的使用者
將郵箱作為使用者名稱在web應用程式中非常常見,在審計郵件伺服器時,收集使用者名稱是一個必要的任務。
nmap -p25 --script smtp-enum-users <target>
檢測SMTP伺服器後門
nmap -sV --script smtp-strangeport <target>
第九部分 防火牆/IDS躲避和哄騙
-f (報文分段); --mtu (使用指定的MTU)
-f選項要求掃描時(包挺ping掃描)使用 小的IP包分段。其思路是將TCP頭分段在幾個包中,使得包過濾器、 IDS以及其它工具的檢測更加困難。必須小心使用這個選項,有些系 統在處理這些小包時存在問題,例如舊的網路嗅探器Sniffit在接收 到第一個分段時會立刻出現分段錯誤。該選項使用一次,Nmap在IP 頭後將包分成8個位元組或更小。因此,一個20位元組的TCP頭會被分成3個 包,其中2個包分別有TCP頭的8個位元組,另1個包有TCP頭的剩下4個字 節。當然,每個包都有一個IP頭。再次使用-f可使用 16位元組的分段(減少分段數量)。使用--mtu選項可 以自定義偏移的大小,使用時不需要-f,偏移量必須 是8的倍數。包過濾器和防火牆對所有的IP分段排隊,如Linux核心中的 CONFIG-IP-ALWAYS-DEFRAG配置項,分段包不會直接使用。一些網路無法 承受這樣所帶來的效能衝擊,會將這個配置禁止。其它禁止的原因有分段 包會通過不同的路由進入網路。一些源系統在核心中對傳送的報文進行 分段,使用iptables連線跟蹤模組的Linux就是一個例子。當使用類似Ethereal 的嗅探器時,掃描必須保證傳送的報文要分段。如果主機作業系統會產 生問題,嘗試使用--send-eth選項以避開IP層而直接 傳送原始的乙太網幀。
nmap -f 192.168.1.100
nmap --mtu 16 192.168.1.100
-D <decoy1 [,decoy2][,ME],...> (使用誘餌隱蔽掃描)
為使誘餌掃描起作用,需要使遠端主機認為是誘餌在掃描目標網路。 IDS可能會報個某個IP的5-10個埠掃描,但並不知道哪個IP在掃描以及 哪些不是誘餌。但這種方式可以通過路由跟蹤、響應丟棄以及其它主動 機制在解決。這是一種常用的隱藏自身IP地址的有效技術。
使用逗號分隔每個誘餌主機,也可用自己的真實IP作為誘餌,這時可使用 ME選項說明。如果在第6個位置或 更後的位置使用ME選項,一些常用 埠掃描檢測器(如Solar Designer's excellent scanlogd)就不會報告 這個真實IP。如果不使用ME選項,Nmap 將真實IP放在一個隨機的位置
注意,作為誘餌的主機須在工作狀態,否則會導致目標主機的SYN洪水攻擊。 如果在網路中只有一個主機在工作,那就很容易確定哪個主機在掃描。也可 使用IP地址代替主機名(被誘騙的網路就不可能在名字伺服器日誌中發現)。
誘餌可用在初始的ping掃描(ICMP、SYN、ACK等)階段或真正的埠掃描 階段。誘餌也可以用於遠端作業系統檢測(-O)。在進行版 本檢測或TCP連線掃描時,誘餌無效。
使用過多的誘餌沒有任何價值,反而導致掃描變慢並且結果不準確。 此外,一些ISP會過濾哄騙的報文,但很多對欺騙IP包沒有任何限制。
-S <IP_Address> (源地址哄騙)
在某些情況下,Nmap可能無法確定你的源地址(如果這樣,Nmap會給出 提示)。此時,使用-S選項並說明所需傳送包的介面IP地址。
這個標誌的另一個用處是哄騙性的掃描,使得目標認為是另 一個地址在進行掃描。可以想象某一個競爭對手在不斷掃描某個公司! -e選項常在這種情況下使用,也可採用-P0選項。
-e <interface> (使用指定的介面)
告訴Nmap使用哪個介面傳送和接收報文,Nmap可以進行自動檢測, 如果檢測不出會給出提示。
--source-port <portnumber>; -g <portnumber> (源埠哄騙)
僅依賴於源埠號就信任資料流是一種常見的錯誤配置,這個問題非常 好理解。例如一個管理員部署了一個新的防火牆,但招來了很多使用者的不滿,因為 他們的應用停止工作了。可能是由於外部的UDP DNS伺服器響應無法進入網路,而導致 DNS的崩潰。FTP是另一個常見的例子,在FTP傳輸時,遠端伺服器嘗試和內部用 建立連線以傳輸資料。
對這些問題有安全解決方案,通常是應用級代理或協議分析防火牆模組。 但也存在一些不安全的方案。注意到DNS響應來自於53埠,FTP連線 來自於20埠,很多管理員會掉入一個陷阱,即允許來自於這些埠的資料進入 網路。他們認為這些端口裡不會有值得注意的攻擊和漏洞利用。此外,管理員 或許認為這是一個短期的措施,直至他們採取更安全的方案。但他們忽視了安全的 升級。
不僅僅是工作量過多的網路管理員掉入這種陷阱,很多產品本身也會有這類 不安全的隱患,甚至是微軟的產品。Windows 2000和Windows XP中包含的IPsec過濾 器也包含了一些隱含規則,允許所有來自88埠(Kerberos)的TCP和UDP資料流。另 一個常見的例子是Zone Alarm個人防火牆到2.1.25版本仍然允許源埠53(DNS)或 67(DHCP)的UDP包進入。
Nmap提供了-g和--source-port選項(它們是 等價的),用於利用上述弱點。只需要提供一個埠號,Nmap就可以從這些 埠傳送資料。為使特定的作業系統正常工作,Nmap必須使用不同的埠號。 DNS請求會忽略--source-port選項,這是因為Nmap依靠系 統庫來處理。大部分TCP掃描,包括SYN掃描,可以完全支援這些選項,UDP掃 描同樣如此。
--data-length <number> (傳送報文時 附加隨機資料)
正常情況下,Nmap傳送最少的報文,只含一個包頭。因此TCP包通常 是40位元組,ICMP ECHO請求只有28位元組。這個選項告訴Nmap在傳送的報文上 附加指定數量的隨機位元組。作業系統檢測(-O)包不受影響, 但大部分ping和埠掃描包受影響,這會使處理變慢,但對掃描的影響較小。
--ttl <value> (設定IP time-to-live域)
設定IPv4報文的time-to-live域為指定的值。
--randomize-hosts (對目標主機的順序隨機排列)
告訴Nmap在掃描主機前對每個組中的主機隨機排列,最多可達 8096個主機。這會使得掃描針對不同的網路監控系統來說變得不是很 明顯,特別是配合值較小的時間選項時更有效。如果需要對一個較大 的組進行隨機排列,需要增大nmap.h檔案中 PING-GROUP-SZ的值,並重新編譯。另一種方法是使用列表掃描 (-sL -n -oN <filename>),產生目標IP的列表, 使用Perl指令碼進行隨機化,然後使用-iL提供給Nmap。
--spoof-mac <mac address,prefix,or vendor name> (MAC地址哄騙)
要求Nmap在傳送原乙太網幀時使用指定的MAC地址,這個選項隱含了 --send-eth選項,以保證Nmap真正傳送乙太網包。MAC地址有幾 種格式。如果簡單地使用字串“0”,Nmap選擇一個完全隨機的MAC 地址。如果給定的字元品是一個16進位制偶數(使用:分隔),Nmap將使用這個MAC地址。 如果是小於12的16進位制數字,Nmap會隨機填充剩下的6個位元組。如果引數不是0或16進 制字串,Nmap將通過nmap-mac-prefixes查詢 廠商的名稱(大小寫區分),如果找到匹配,Nmap將使用廠商的OUI(3位元組字首),然後 隨機填充剩餘的3個節字。正確的--spoof-mac引數有, Apple, 0,01:02:03:04:05:06, deadbeefcafe,0020F2, 和Cisco.
第十部分 其它選項
-6 (啟用IPv6掃描)
從2002年起,Nmap提供對IPv6的一些主要特徵的支援。ping掃描(TCP-only)、 連線掃描以及版本檢測都支援IPv6。除增加-6選項外, 其它命令語法相同。當然,必須使用IPv6地址來替換主機名,如 3ffe:7501:4819:2000:210:f3ff:fe03:14d0。 除“所關注的埠”行的地址部分為IPv6地址。
IPv6目前未在全球廣泛採用,目前在一些國家(亞洲)應用較多, 一些高階作業系統支援IPv6。使用Nmap的IPv6功能,掃描的源和目 的都需要配置IPv6。如果ISP(大部分)不分配IPv6地址,Nmap可以採用 免費的隧道代理。一種較好的選擇是BT Exact,位於https://tb.ipv6.btexact.com/。 此外,還有Hurricane Electric,位於http://ipv6tb.he.net/。6to4隧道是 另一種常用的免費方法。
-A (激烈掃描模式選項)
這個選項啟用額外的高階和高強度選項,目前還未確定代表 的內容。目前,這個選項啟用了作業系統檢測(-O) 和版本掃描(-sV),以後會增加更多的功能。 目的是啟用一個全面的掃描選項集合,不需要使用者記憶大量的 選項。這個選項僅僅啟用功能,不包含用於可能所需要的 時間選項(如-T4)或細節選項(-v)。
--datadir <directoryname> (說明使用者Nmap資料檔案位置)
Nmap在執行時從檔案中獲得特殊的資料,這些檔案有 nmap-service-probes, nmap-services, nmap-protocols, nmap-rpc, nmap-mac-prefixes和 nmap-os-fingerprints。Nmap首先 在--datadir選項說明的目錄中查詢這些檔案。 未找到的檔案,將在BMAPDIR環境變數說明的目錄中查詢。 接下來是用於真正和有效UID的~/.nmap 或Nmap可執行程式碼的位置(僅Win32);然後是是編譯位置, 如/usr/local/share/nmap 或/usr/share/nmap。 Nmap查詢的最後一個位置是當前目錄。
--send-eth (使用原乙太網幀傳送)
要求Nmap在乙太網(資料鏈路)層而不是IP(網路層)傳送 報文。預設方式下,Nmap選擇最適合其執行平臺的方式,原套接 字(IP層)是UNIX主機最有效的方式,而乙太網幀最適合Windows操作 系統,因為Microsoft禁用了原套接字支援。在UNIX中,如果沒有其 它選擇(如無乙太網連線),不管是否有該選項,Nmap都使用原IP包。
--send-ip (在原IP層傳送)
要求Nmap通過原IP套接字傳送報文,而不是低層的以 太網幀。這是--send-eth選項的補充。
--privileged (假定使用者具有全部許可權)
告訴Nmap假定其具有足夠的許可權進行源套接字包傳送、 報文捕獲和類似UNIX系統中根使用者操作的許可權。預設狀態下, 如果由getuid()請求的類似操作不為0,Nmap將退出。 --privileged在具有Linux核心效能的類似 系統中使用非常有效,這些系統配置允許非特權使用者可以進行 原報文掃描。需要明確的是,在其它選項之前使用這些需要權 限的選項(SYN掃描、作業系統檢測等)。Nmap-PRIVILEGED變數 設定等價於--privileged選項。
-V; --version (列印版本資訊)
列印Nmap版本號並退出。
-h; --help (列印幫助摘要面)
列印一個短的幫助螢幕,列出大部分常用的 命令選項,這個功能與不帶引數執行Nmap是相同的。
時間和效能
--min-hostgroup <milliseconds>; --max-hostgroup <milliseconds> (調整並行掃描組的大小)
Nmap具有並行掃描多主機埠或版本的能力,Nmap將多個目標IP地址 空間分成組,然後在同一時間對一個組進行掃描。通常,大的組更有效。缺 點是隻有當整個組掃描結束後才會提供主機的掃描結果。如果組的大小定義 為50,則只有當前50個主機掃描結束後才能得到報告(詳細模式中的補充資訊 除外)。
預設方式下,Nmap採取折衷的方法。開始掃描時的組較小, 最小為5,這樣便於儘快產生結果;隨後增長組的大小,最大為1024。確切的 大小依賴於所給定的選項。為保證效率,針對UDP或少量埠的TCP掃描,Nmap 使用大的組。
--max-hostgroup選項用於說明使用最大的組,Nmap不 會超出這個大小。--min-hostgroup選項說明最小的組,Nmap 會保持組大於這個值。如果在指定的介面上沒有足夠的目標主機來滿足所 指定的最小值,Nmap可能會採用比所指定的值小的組。這兩個引數雖然很少使用, 但都用於保持組的大小在一個指定的範圍之內。
這些選項的主要用途是說明一個最小組的大小,使得整個掃描更加快速。通常 選擇256來掃描C類網段。對於埠數較多的掃描,超出該值沒有意義。對於 埠數較少的掃描,2048或更大的組大小是有幫助的。
--min-parallelism <milliseconds>; --max-parallelism <milliseconds> (調整探測報文的並行度)
這些選項控制用於主機組的探測報文數量,可用於埠掃描和主機發現。預設狀態下, Nmap基於網路效能計算一個理想的並行度,這個值經常改變。如果報文被丟棄, Nmap降低速度,探測報文數量減少。隨著網路效能的改善,理想的探測報文數量會緩慢增加。 這些選項確定這個變數的大小範圍。預設狀態下,當網路不可靠時,理想的並行度值 可能為1,在好的條件下,可能會增長至幾百。
最常見的應用是--min-parallelism值大於1,以加快 效能不佳的主機或網路的掃描。這個選項具有風險,如果過高則影響準確度,同時 也會降低Nmap基於網路條件動態控制並行度的能力。這個值設為10較為合適, 這個值的調整往往作為最後的手段。
--max-parallelism選項通常設為1,以防止Nmap在同一時間 向主機發送多個探測報文,和選擇--scan-delay同時使用非常有用,雖然 這個選項本身的用途已經很好。
--min-rtt-timeout <milliseconds>, --max-rtt-timeout <milliseconds>, --initial-rtt-timeout <milliseconds> (調整探測報文超時)
Nmap使用一個執行超時值來確定等待探測報文響應的時間,隨後會放棄或重新 傳送探測報文。Nmap基於上一個探測報文的響應時間來計算超時值,如果網路延遲比較顯著 和不定,這個超時值會增加幾秒。初始值的比較保守(高),而當Nmap掃描無響應 的主機時,這個保守值會保持一段時間。
這些選項以毫秒為單位,採用小的--max-rtt-timeout值,使 --initial-rtt-timeout值大於預設值可以明顯減少掃描時間,特別 是對不能ping通的掃描(-P0)以及具有嚴格過濾的網路。如果使用太 小的值,使得很多探測報文超時從而重新發送,而此時可能響應訊息正在傳送,這使得整個掃描的時 間會增加。
如果所有的主機都在本地網路,對於--max-rtt-timeout值來 說,100毫秒比較合適。如果存在路由,首先使用ICMP ping工具ping主機,或使用其 它報文工具如hpings,可以更好地穿透防火牆。檢視大約10個包的最大往返時間,然後將 --initial-rtt-timeout設成這個時間的2倍,--max-rtt-timeout 可設成這個時間值的3倍或4倍。通常,不管ping的時間是多少,最大的rtt值不得小於100ms, 不能超過1000ms。
--min-rtt-timeout這個選項很少使用,當網路不可靠時, Nmap的預設值也顯得過於強烈,這時這個選項可起作用。當網路看起來不可靠時,Nmap僅將 超時時間降至最小值,這個情況是不正常的,需要向nmap-dev郵件列表報告bug。
--host-timeout <milliseconds> (放棄低速目標主機)
由於效能較差或不可靠的網路硬體或軟體、頻寬限制、嚴格的防火牆等原因, 一些主機需要很長的時間掃描。這些極少數的主機掃描往往佔 據了大部分的掃描時間。因此,最好的辦法是減少時間消耗並且忽略這些主機,使用 --host-timeout選項來說明等待的時間(毫秒)。通常使用1800000 來保證Nmap不會在單個主機上使用超過半小時的時間。需要注意的是,Nmap在這半小時中可以 同時掃描其它主機,因此並不是完全放棄掃描。超時的主機被忽略,因此也沒有針對該主機的 埠表、作業系統檢測或版本檢測結果的輸出。
--scan-delay <milliseconds>; --max-scan-delay <milliseconds> (調整探測報文的時間間隔)
這個選項用於Nmap控制針對一個主機發送探測報文的等待時間(毫秒),在頻寬 控制的情況下這個選項非常有效。Solaris主機在響應UDP掃描探測報文報文時,每秒 只發送一個ICMP訊息,因此Nmap傳送的很多數探測報文是浪費的。--scan-delay 設為1000,使Nmap低速執行。Nmap嘗試檢測頻寬控制並相應地調整掃描的延遲,但 並不影響明確說明何種速度工作最佳。
--scan-delay的另一個用途是躲閉基於閾值的入侵檢測和預防 系統(IDS/IPS)。
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> (設定時間模板)
上述優化時間控制選項的功能很強大也很有效,但有些使用者會被迷惑。此外, 往往選擇合適引數的時間超過了所需優化的掃描時間。因此,Nmap提供了一些簡單的 方法,使用6個時間模板,使用時採用-T選項及數字(0 - 5) 或名稱。模板名稱有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前兩種模式用於IDS躲避,Polite模式降低了掃描 速度以使用更少的頻寬和目標主機資源。預設模式為Normal,因此-T3 實際上是未做任何優化。Aggressive模式假設使用者具有合適及可靠的網路從而加速 掃描。Insane模式假設使用者具有特別快的網路或者願意為獲得速度而犧牲準確性。
使用者可以根據自己的需要選擇不同的模板,由Nmap負責選擇實際的時間值。 模板也會針對其它的優化控制選項進行速度微調。例如,-T4 針對TCP埠禁止動態掃描延遲超過10ms,-T5對應的值為5ms。 模板可以和優化調整控制選項組合使用,但模板必須首先指定,否則模板的標準值 會覆蓋使用者指定的值。建議在掃描可靠的網路時使用 -T4,即使 在自己要增加優化控制選項時也使用(在命令列的開始),從而從這些額外的較小的優化 中獲益。
如果用於有足夠的頻寬或乙太網連線,仍然建議使用-T4選項。 有些使用者喜歡-T5選項,但這個過於強烈。有時使用者考慮到避免使主機 崩潰或者希望更禮貌一些會採用-T2選項。他們並沒意識到-T Polite選項是如何的慢,這種模式的掃描比預設方式實際上要多花10倍的時間。預設時間 選項(-T3)很少有主機崩潰和頻寬問題,比較適合於謹慎的使用者。不進行 版本檢測比進行時間調整能更有效地解決這些問題。
雖然-T0和-T1選項可能有助於避免IDS告警,但 在進行上千個主機或埠掃描時,會顯著增加時間。對於這種長時間的掃描,寧可設定確切的時間 值,而不要去依賴封裝的-T0和-T1選項。
T0選項的主要影響是對於連續掃描,在一個時間只能掃描一個埠, 每個探測報文的傳送間隔為5分鐘。T1和T2選項比較類似, 探測報文間隔分別為15秒和0.4秒。T3是Nmap的預設選項,包含了並行掃描。 T4選項與 --max-rtt-timeout 1250 --initial-rtt-timeout 500 等價,最大TCP掃描延遲為10ms。T5等價於 --max-rtt-timeout 300 --min-rtt-timeout 50 --initial-rtt-timeout 250 --host-timeout 900000,最大TCP掃描延遲為5ms。
Nmap輸出
-oN <filespec> (標準輸出)
要求將標準輸出直接寫入指定 的檔案。如上所述,這個格式與互動式輸出 略有不同。
-oX <filespec> (XML輸出)
要求XML輸出直接寫入指定 的檔案。Nmap包含了一個文件型別定義(DTD),使XML解析器有效地 進行XML輸出。這主要是為了程式應用,同時也可以協助人工解釋 Nmap的XML輸出。DTD定義了合法的格式元素,列舉可使用的屬性和 值。最新的版本可在 http://www.insecure.org/nmap/data/nmap.dtd獲取。
XML提供了可供軟體解析的穩定格式輸出,主要的計算機 語言都提供了免費的XML解析器,如C/C++,Perl,Python和Java。 針對這些語言有一些捆綁程式碼用於處理Nmap的輸出和特定的執行程式。 例如perl CPAN中的Nmap::Scanner 和Nmap::Parser。 對幾乎所有與Nmap有介面的主要應用來說,XML是首選的格式。
XML輸出引用了一個XSL樣式表,用於格式化輸出結果,類似於 HTML。最方便的方法是將XML輸出載入到一個Web瀏覽器,如Firefox 或IE。由於nmap.xsl檔案的絕對 路徑,因此通常只能在運行了Nmap的機器上工作(或類似配置的機器)。 類似於任何支援Web機器的HTML檔案,--stylesheet 選項可用於建立可移植的XML檔案。
-oS <filespec> (ScRipT KIdd|3 oUTpuT)
指令碼小子輸出類似於互動工具輸出,這是一個事後處理,適合於 'l33t HaXXorZ, 由於原來全都是大寫的Nmap輸出。這個選項和指令碼小子開了玩笑,看上去似乎是為了 “幫助他們”。
-oG <filespec> (Grep輸出)
這種方式最後介紹,因為不建議使用。XML輸格式很強大,便於有經驗 的使用者使用。XML是一種標準,由許多解析器構成,而Grep輸屆更簡化。XML 是可擴充套件的,以支援新發布的Nmap特點。使用Grep輸出的目的是忽略這些 特點,因為沒有足夠的空間。
然面,Grep輸出仍然很常使用。它是一種簡單格式,每行一個主機,可以 通過UNIX工具(如grep、awk、cut、sed、diff)和Perl方便地查詢和分解。常可 用於在命令列上進行一次性測式。查詢ssh埠開啟或執行Sloaris的主機,只需 要一個簡單的grep主機說明,使用通道並通過awk或cut命令列印所需的域。
Grep輸出可以包含註釋(每行由#號開始)。每行由6個標記的域組成,由製表符及 冒號分隔。這些域有主機,埠, 協議,忽略狀態, 作業系統,序列號, IPID和狀態。
這些域中最重要的是Ports,它提供 了所關注的埠的細節,埠項由逗號分隔。每個埠項代表一個所關注的埠, 每個子域由/分隔。這些子域有:埠號, 狀態,協議, 擁有者,服務, SunRPCinfo和版本資訊。
對於XML輸出,本手冊無法列舉所有的格式,有關Nmap Grep輸出的更詳細資訊可 查閱http://www.unspecific.com/nmap-oG-output。
-oA <basename> (輸出至所有格式)
為使用方便,利用-oA<basename>選項 可將掃描結果以標準格式、XML格式和Grep格式一次性輸出。分別存放在 <basename>.nmap,<basename>.xml和 <basename>.gnmap檔案中。也可以在檔名前 指定目錄名,如在UNIX中,使用~/nmaplogs/foocorp/, 在Window中,使用c:\hacking\sco on Windows。
細節和除錯選項
-v (提高輸出資訊的詳細度)
通過提高詳細度,Nmap可以輸出掃描過程的更多資訊。 輸出發現的開啟埠,若Nmap認為掃描需要更多時間會顯示估計 的結束時間。這個選項使用兩次,會提供更詳細的資訊。這個選 項使用兩次以上不起作用。
大部分的變化僅影響互動式輸出,也有一些影響標準和指令碼 小子輸出。其它輸出型別由機器處理,此時Nmap預設提供詳細的信 息,不需要人工干預。然而,其它模式也會有一些變化,省略一些 細節可以減小輸出大小。例如,Grep輸出中的註釋行提供所有掃描 埠列表,但由於這些資訊過長,因此只能在細節模式中輸出。
-d [level] (提高或設定除錯級別)
當詳細模式也不能為使用者提供足夠的資料時,使用除錯可以得到更 多的資訊。使用細節選項(-v)時,可啟用命令列引數 (-d),多次使用可提高除錯級別。也可在-d 後面使用引數設定除錯級別。例如,-d9設定級別9。這是 最高的級別,將會產生上千行的輸出,除非只對很少的埠和目標進行簡單掃描。
如果Nmap因為Bug而掛起或者對Nmap的工作及原理有疑問,除錯輸出 非常有效。主要是開發人員用這個選項,除錯行不具備自我解釋的特點。 例如,Timeoutvals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000。如果對某行輸出不明白, 可以忽略、檢視原始碼或向開發列表(nmap-dev)求助。有些輸出行會有自 我解釋的特點,但隨著除錯級別的升高,會越來越含糊。
--packet-trace (跟蹤傳送和接收的報文)
要求Nmap打印發送和接收的每個報文的摘要,通常用於 除錯,有助於新使用者更好地理解Nmap的真正工作。為避免輸出過 多的行,可以限制掃描的埠數,如-p20-30。 如果只需進行版本檢測,使用--version-trace。
--iflist (列舉介面和路由)
輸出Nmap檢測到的介面列表和系統路由,用於除錯路由 問題或裝置描述失誤(如Nmap把PPP連線當作乙太網對待)。
其它輸出選項
--append-output (在輸出檔案中新增)
當使用檔案作為輸出格式,如-oX或-oN, 預設該檔案被覆蓋。如果希望檔案保留現有內容,將結果新增在現 有檔案後面,使用--append-output選項。所有指 定的輸出檔案都被新增。但對於XML(-oX)掃描輸出 檔案無效,無法正常解析,需要手工修改。
--resume <filename> (繼續中斷的掃描)
一些擴充套件的Nmap執行需要很長的時間 -- 以天計算,這類掃描 往往不會結束。可以進行一些限制,禁止Nmap在工作時間執行,導致 網路中斷、執行Nmap的主機計劃或非計劃地重啟、或者Nmap自己中斷。 執行Nmap的管理員可以因其它原因取消執行,按下ctrl-C 即可。從頭開始啟動掃描可能令人不快,幸運的是,如果標準掃描 (-oN)或Grep掃描(-oG)日誌 被保留,使用者可以要求Nmap恢復終止的掃描,只需要簡單地使用選項 --resume並說明標準/Grep掃描輸出檔案,不允許 使用其它引數,Nmap會解析輸出檔案並使用原來的格式輸出。使用方式 如nmap --resume <logfilename>。 Nmap將把新地結果新增到檔案中,這種方式不支援XML輸出格式,原因是 將兩次執行結果合併至一個XML檔案比較困難。
--stylesheet <path or URL> (設定XSL樣式表,轉換XML輸出)
Nmap提從了XSL樣式表nmap.xsl,用於檢視 或轉換XML輸出至HTML。XML輸出包含了一個xml-stylesheet, 直接指向nmap.xml檔案, 該檔案由Nmap安裝(或位於Windows當前工作目錄)。在Web瀏覽器 中開啟Nmap的XML輸出時,將會在檔案系統中尋找nmap.xsl檔案, 並使用它輸出結果。如果希望使用不同的樣式表,將它作為 --stylesheet的引數,必段指明完整的路 徑或URL,常見的呼叫方式是--stylesheet http://www.insecure.org/nmap/data/nmap.xsl。 這告訴瀏覽器從Insecire.Org中載入最新的樣式表。這使得 沒安裝Nmap(和nmap.xsl) 的機器中可以方便地檢視結果。因此,URL更方便使用,本地檔案系統 的nmap.xsl用於預設方式。
--no-stylesheet (忽略XML宣告的XSL樣式表)
使用該選項禁止Nmap的XML輸出關聯任何XSL樣式表。 xml-stylesheet指示被忽略。
Zenmap
https://www.cnblogs.com/tdcqma/p/5692546.html
Amap
對服務版本探查 amap -B IP PORT
對服務版本探查 amap -b ip port
Amap是第首款針對滲透測試人員的下一代掃描工具, 它嘗試識別即使在不同於正常埠的埠上執行應用程式。
Amap還可以通過傳送觸發資料包並在響應字串列表中查詢響應來識別基於非ascii編碼的應用程式。
amapcrap - 將隨機資料傳送到UDP,TCP或SSL埠以獲取非法響應:
[email protected]:~# amapcrap
amapcrap v5.4 (c) 2011 by van Hauser/THC <[email protected]>
語法:amapcrap [-S] [-u] [-m 0ab] [-M min,max] [-n connections] [-N delay] [-w delay] [-e] [-v] TARGET PORT
選項:
-S TCP連線後使用SSL(不能與 -u 同時使用)
-u 使用UDP協議(預設值:TCP)(不能與 -c 同時使用)
-n 連線最大連線數(預設值:無限制)
-N 連線之間的延遲(ms)(預設值:0)
-w 延遲關閉埠之前的延遲(預設值:250)
-e 當伺服器做出響應時不停止傳送
-v 詳細模式
-m 0ab 傳送為隨機垃圾資料:0-空位元組,a-字母+空格,b-二進位制
-M min,max 隨機垃圾資料的最小和最大長度
TARGET PORT 傳送隨機垃圾資料的目標(ip或dns)和埠
此工具將隨機資料傳送到靜默埠以獲取非法響應以便下一步amap檢測, 它輸出適用於amap定義的形式。
注意:預設情況下所有模式都將被啟用(0:10%,a:40% b:50%),模式'a'總是傳送以字母和空格結尾的行。
amapcrap用法示例
[email protected]:~# amapcrap -n 20 -m a 192.168.1.15 80 -v
#Starting AmapCrap on 192.168.1.15 port 80
#Writing a "+" for every 10 connect attempts
#++
done
amap – Application MAPper:滲透測試人員的下一代掃描工具
[email protected]:~# amap
amap v5.4 (c) 2011 by van Hauser <[email protected]>www.thc.org/thc-amap
語法: amap [-A|-B|-P|-W] [-1buSRHUdqv] [[-m] -o ] [-D ] [-t/-T sec] [-c cons] [-C retries] [-p proto] [-i ] [target port [port] ...]
模式:
-A 地圖應用程式:傳送觸發包和分析響應(預設)
-B 只抓取標識資訊,不傳送觸發包
-P 不抓取標識資訊橫幅或應用程式的東西 - (全連線)埠掃描器
選項:
-1 只發送觸發到埠,直到第一次標識。
-6 使用IPv6而不是IPv4
-b 列印響應的ascii標識資訊
-i FILE 輸出Nmap可讀檔案
-u 在命令列上指定的埠UDP(預設為TCP)
-R 不標識RPC服務
-H 不傳送被應用程式標記為潛在有害的觸發包
-U 不要轉儲無法識別的響應(更指令碼處理)
-d 轉儲所有響應
-v 詳細模式,使用兩次(或更多!)進行除錯(不推薦:-)
-q 不報告關閉的埠,並且不將其列印為不識別的
-o FILE [-m] 將輸出寫入檔案FILE,-m建立機器可讀輸出
-c CONS 要進行的並行連線數(預設32,最大256)
-C RETRIES 連線超時的重新連線數(請參見-T)(預設3)
-T SEC 連線嘗試的連線超時(以秒為單位)(預設為5)
-t SEC 響應等待超時(以秒為單位)(預設值為5)
-p PROTO 僅傳送此協議的觸發包(例如ftp)
TARGET PORT 要掃描的目標地址和埠(除-i之外)
amap是用於標識目標埠上的應用程式協議的工具。
注意:此版本不是使用SSL支援編譯的!
使用提示:建議使用選項“-bqv”,“-1”快速檢查。
Amap用法示例
掃描192.168.1.15 80埠,顯示接收的標識(b),不顯示關閉埠(Q),並使用詳細輸出(V):
[email protected]:~# amap -bqv 192.168.1.15 21
Using trigger file /etc/amap/appdefs.trig ... loaded 30 triggers
Using response file /etc/amap/appdefs.resp ... loaded 346 responses
Using trigger file /etc/amap/appdefs.rpc ... loaded 450 triggers
amap v5.4 (www.thc.org/thc-amap) started at 2016-10-18 14:24:02 - APPLICATION MAPPING mode
Total amount of tasks to perform in plain connect mode: 23
Waiting for timeout on 23 connections ...
Protocol on 192.168.1.15 :21/tcp matches ftp - banner: 220---------- Welcome to Pure-FTPd [privsep] ----------\r\n220-You are user number 7 of 5000 allowed.\r\n220-Local time is now 0224. Server port 21.\r\n220-This is a private system - No anonymous login\r\n220-IPv6 connections are also welcome on this ser
Protocol on 192.168.1.15 :21/tcp matches smtp - banner: 220---------- Welcome to Pure-FTPd [privsep] ----------\r\n220-You are user number 7 of 5000 allowed.\r\n220-Local time is now 0224. Server port 21.\r\n220-This is a private system - No anonymous login\r\n220-IPv6 connections are also welcome on this ser
amap v5.4 finished at 2016-10-18 14:24:02
[email protected]:~# amap -bqv 192.168.1.15 80
Using trigger file /etc/amap/appdefs.trig ... loaded 30 triggers
Using response file /etc/amap/appdefs.resp ... loaded 346 responses
Using trigger file /etc/amap/appdefs.rpc ... loaded 450 triggers
amap v5.4 (www.thc.org/thc-amap) started at 2016-10-18 14:25:57 - APPLICATION MAPPING mode
Total amount of tasks to perform in plain connect mode: 23
Waiting for timeout on 23 connections ...
Protocol on 192.168.1.15 :80/tcp matches http - banner: HTTP/1.1 400 Bad Request\r\nServer nginx\r\nDate Tue, 18 Oct 2016 182558 GMT\r\nContent-Type text/html\r\nContent-Length 166\r\nConnection close\r\n\r\n\r\n400 Bad Request\r\n\r\n400 Bad
amap v5.4 finished at 2016-10-18 14:25:57
Zmap
初識 ZMap
ZMap被設計用來針對整個IPv4地址空間或其中的大部分實施綜合掃描的工具。ZMap是研究者手中的利器,但在執行ZMap時,請注意,您很有 可能正在以每秒140萬個包的速度掃描整個IPv4地址空間 。我們建議使用者即使在實施小範圍掃描之前,也聯絡一下本地網路的管理員並參考我們列舉的最佳掃描體驗。
預設情況下,ZMap會對於指定埠實施儘可能大速率的TCP SYN掃描。較為保守的情況下,對10,000個隨機的地址的80埠以10Mbps的速度掃描,如下所示:
$ zmap --bandwidth=10M --target-port=80 --max-targets=10000 --output-file=results.csv
或者更加簡潔地寫成:
$ zmap -B 10M -p 80 -n 10000 -o results.csv
ZMap也可用於掃描特定子網或CIDR地址塊。例如,僅掃描10.0.0.0/8和192.168.0.0/16的80埠,執行指令如下:
zmap -p 80 -o results.csv 10.0.0.0/8 192.168.0.0/16
如果掃描進行的順利,ZMap會每秒輸出類似以下內容的狀態更新:
0% (1h51m left); send: 28777 562 Kp/s (560 Kp/s avg); recv: 1192 248 p/s (231 p/s avg); hits: 0.04%
0% (1h51m left); send: 34320 554 Kp/s (559 Kp/s avg); recv: 1442 249 p/s (234 p/s avg); hits: 0.04%
0% (1h50m left); send: 39676 535 Kp/s (555 Kp/s avg); recv: 1663 220 p/s (232 p/s avg); hits: 0.04%
0% (1h50m left); send: 45372 570 Kp/s (557 Kp/s avg); recv: 1890 226 p/s (232 p/s avg); hits: 0.04%
這些更新資訊提供了掃描的即時狀態並表示成:
完成進度% (剩餘時間); send: 發出包的數量 即時速率 (平均傳送速率); recv: 接收包的數量 接收率 (平均接收率); hits: 命中率
如果您不知道您所在網路能支援的掃描速率,您可能要嘗試不同的掃描速率和頻寬限制直到掃描效果開始下降,藉此找出當前網路能夠支援的最快速度。
預設情況下,ZMap會輸出不同IP地址的列表(例如,根據SYN ACK資料包的情況),像下面這樣。其輸出結果還有幾種附加的格式(如,JSON和Redis),可以用作生成程式可解析的掃描統計。 同樣,可以指定附加的輸出欄位並使用輸出過濾來過濾輸出的結果。
115.237.116.119
23.9.117.80
207.118.204.141
217.120.143.111
50.195.22.82
我們強烈建議您使用黑名單檔案,以排除預留的/未分配的IP地址空間(如,RFC1918 規定的私有地址、組播地址),以及網路中需要排除在您掃描之外的地址。預設情況下,ZMap將採用位於 /etc/zmap/blacklist.conf的這個簡單的黑名單檔案中所包含的預留和未分配地址。如果您需要某些特定設定,比如每次執行ZMap時的最大頻寬或黑名單檔案,您可以在檔案/etc/zmap/zmap.conf中指定或使用自定義配置檔案。
如果您正試圖解決掃描的相關問題,有幾個選項可