NMAP

title: NMAP
date: 2016-06-13 10:58
tags: kali渗透测试主动信息收集

0x00 NMAP常用参数介绍

0x01 TARGET SPECIFICATION 目标发现

-iL 添加扫描待ip列表文件

-iR 随机选择目标

不用指定目标ip，nmap对自动对全球的ip随机选择100个进行扫描

root@kali:~# nmap -iR 100  -p100

--exclude 排除扫描

当想要对某个ip地址段进行扫描，但是并不扫描其中特定的一些ip

root@kali:~# nmap 192.168.1.0/24 --exclude 192.168.1.1-100

--excludefile

从文件列表中排除不需要扫描的ip

0x02 HOST DISCOVERY 主机发现

-sn 端口扫描

Ping Scan - disable port scan

-Pn 完全扫描

Treat all hosts as online -- skip host discovery
通常用于扫描防火墙

-PS/PA/PU/PY[portlist]　协议扫描

TCP SYN/ACK, UDP or SCTP discovery to given ports
基于何种协议去进行扫描

-PO[protocol list] 使用ip协议扫描

IP Protocol Ping

-n/-R

Never do DNS resolution/Always resolve [default: sometimes]

-n：不进行nds解析
-R：对其进行反向解析

--dns-servers 更换DNS服务器

<serv1[,serv2],...>: Specify custom DNS servers
更换系统默认DNS服务器，以得到不同的扫描结果

root@kali:~# nmap --dns-servers 8.8.8.8 www.sina.com

--traceroute 路由追踪

Trace hop path to each host
基本等同于traceroute命令

root@kali:~# nmap www.baidu.com --traceroute -p80

0x03 端口发现 SCAN TECHNIQUES(扫描技术)

-sS/sT/sA/sW/sM 基于TCP的端口发现

TCP SYN/Connect()/ACK/Window/Maimon scans
基于TCP的SYN/全连接/ACK/窗口/Maimon 扫描

-sU 基于UPD协议的扫描

但是UDP的扫描的准确率并不高

-sN/sF/sX 基于TCP的空/finish/xmas的扫描

TCP Null, FIN, and Xmas scans

--scanflags <flags>

Customize TCP scan flags
其实以上对于TCP的扫描都是对tcpflags位的组合，所以我们自然是可以自定义组合的。

-sI 僵尸扫描

<zombie host[:probeport]>: Idle scan

-sY/sZ 基于SCTP协议(少用)

SCTP INIT/COOKIE-ECHO scans

-b 基于FTP的中继扫描

<FTP relay host>: FTP bounce scan

0x04 指定端口和扫描菜单

PORT SPECIFICATION AND SCAN ORDER

-p 扫描特定类型端口/范围

<port ranges>: Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9

--exclude-ports 排除不需扫描的端口范围

<port ranges>: Exclude the specified ports from scanning

-F 快速扫描

Fast mode - Scan fewer ports than the default scan

-r 按顺序扫描

Scan ports consecutively - don't randomize
如果我们对1-1000个端口发起扫描，namp默认会在每次扫描中随机选择，-r会使namp按照从大到小的顺序进行。

--top-ports <number>

只扫描常用端口的top n
Scan <number> most common ports

0x05 服务/版本探测

SERVICE/VERSION DETECTION

-sV

Probe open ports to determine service/version info
-sV会使用nmap中的大量特征库去进行探测比对

--version-intensity

<level>: Set from 0 (light) to 9 (try all probes)
虽然-sV会nmap会调用自身大量的特征库资料去进行匹配，但是这样势必会增加比对的时间成本，所以我们可以探测阶段扫描的强度去最大限度的节省扫描的时间成本。

--version-trace

Show detailed version scan activity (for debugging)
对扫描过程进行跟踪，显示扫描的具体过程

0x06 SCRIPT SCAN 脚本扫描

-sC: equivalent to --script=default

--script=<Lua scripts>: <Lua scripts> is a comma separated list of directories, script-files or script-categories

具体的脚本文件

--script-args=<n1=v1,[n2=v2,...]>

provide arguments to scripts
脚本扫描的参数

--script-trace

Show all data sent and received
脚本扫描追踪

--script-updatedb

Update the script database.
更新nmap脚本库中的文件

--script-help=<Lua scripts>

Show help about scripts.
<Lua scripts> is a comma-separated list of script-files or script-categories.
脚本帮助文件，但对于一个陌生脚本时可以使用--script-help来查看该文件的使用说明

root@kali:/usr/share/nmap/scripts# nmap --script-help=http-xssed.nse

0x07 OS DETECTION 操作系统检测

-O

Enable OS detection
启用操作系统检测

--osscan-limit

Limit OS detection to promising targets
限制操作系统的检测，比如只发现Linux的或者，Windows的。

0x08 时间和性能

TIMING AND PERFORMANCE
由于nmap的强大，甚至有时会带来破坏性的扫描，因此很容易被主机发现，此时我们有必要限制nmap的扫描性能。当然也能最大限度的开放nmap的扫描性能。

Options which take <time> are in seconds, or append 'ms' (milliseconds),
's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
-T<0-5>: Set timing template (higher is faster)

--min-hostgroup/max-hostgroup <size>

Parallel host scan group sizes
指定并行扫描的主机数量，每次最大或者最小扫描多少个主机

--min-parallelism/max-parallelism <numprobes>

Probe parallelization

--max-retries <tries>

Caps number of port scan probe retransmissions.
最大的探测次数

--host-timeout <time>

Give up on target after this long
超时时间

--scan-delay/--max-scan-delay <time>

Adjust delay between probes
delay 扫描探测的延时时间/间隔时间

--min-rate <number>

Send packets no slower than <number> per second
每秒发包数不少于多少

--max-rate <number>

Send packets no faster than <number> per second
每秒发包数不多于多少

0x09 防火墙躲避/欺骗

FIREWALL/IDS EVASION AND SPOOFING

-f --mtu <val>

fragment packets (optionally w/given MTU)
设置MTU之

-D <decoy1,decoy2[,ME],...>

Cloak a scan with decoys
伪造源地址，但并不是正真的源地址，而是增加一些噪声源，用以迷惑目标ip，增加对方的分析难度。如果你始终都会发现我的话，我也会挣扎一下的，就像真假悟空一样。

-S -e -Pn 源地址ip伪造

-S <IP_Address>: Spoof source address
-e <iface>: Use specified interface
-Pn :防火墙扫描
使用指定源地址伪造源地址ip

root@kali:~# nmap -S 192.169.1.123 -e eth0 -Pn 192.168.0.1

-g/--source-port <portnum>

Use given port number
使用指定的源端口

root@kali:~# nmap -g10000 192.168.0.1

--proxies <url1,[url2],...>

Relay connections through HTTP/SOCKS4 proxies
如果软件本身不支持代理的话，那么我们只有使用系统代理链了。但，幸运的是nmap本身死支持代理的。

--data <hex string>

Append a custom payload to sent packets
添加用户自定义的数据字段,但是字段必须是16进制数。

--data-string <string>

Append a custom ASCII string to sent packets
添加用户自定义的数据字段

--spoof-mac 欺骗mac地址

<mac address/prefix/vendor name>
Spoof your MAC address
伪造一个mac地址，以混淆视听

--badsum

Send packets with a bogus TCP/UDP/SCTP checksum
差错校验值

最后编辑于：2017.12.03 06:37:11

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 217,907评论 6赞 506
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 92,987评论 3赞 395
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 164,298评论 0赞 354
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 58,586评论 1赞 293
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 67,633评论 6赞 392
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,488评论 1赞 302
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,275评论 3赞 418
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 39,176评论 0赞 276
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,619评论 1赞 314
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,819评论 3赞 336
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,932评论 1赞 348
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,655评论 5赞 346
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,265评论 3赞 329
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,871评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 32,994评论 1赞 269
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 48,095评论 3赞 370
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 44,884评论 2赞 354