NMAP 学习笔记

本文仅记录一些容易被遗忘或者容易被忽略的那些用法，详细用法请查看man手册或者官方文档

主机发现

-sP ping扫描，不会返回太多的信息，比较高效，不加参数默认是ping可以返回很多信息
-P0 无ping扫描，可以躲避防火墙的拦截，在主机禁止ping的情况下可以使用，
-F可以快速扫描。扫描过程中可以按p查看扫描详情
-PR arp扫描，局域网内最有效，一般局域网内不会禁止arp扫描。-n可以禁止dns反向解析，加快扫描效率
-PU udp扫描
-PA、PS、 发送syn、ack包主机探测

端口扫描

端口分为数据端口、控制端口、状态端口，用来提供特定的各种网络服务
首先看看端口的状态，open close，filtered等不解释

序号	状态	说明
04	unfiltered	数据到达了主机，但不能识别端口状态
05	open/filtered	端口没有返回值，主要发生在udp、ip、fin、null和xmas扫描中
06	closed/filtered	只发生在ip id idle扫描

-T 时序选项，可以-T0~T5 ,T0最慢，用来躲避IDS检测，五分钟一个包，默认T3
-p 指定端口扫描 , -p- 也是扫描所有端口另外一种
-F 快速扫描， 只扫描概率统计的高频率使用的端口 -top-ports 扫描指定端口范围内的最高频率的

-sT tcp很稳的扫描方法，完整的三次握手
-sS syn扫描端口，速度快，隐蔽，不建立三次握手，不会被日志记录
-sU udp扫描容易被网管忽视，非常慢，一般只扫描特别的端口
-sN 空扫描，隐蔽
-sF fin扫描，很好的穿透效果，隐蔽
-sI 空闲扫描，非常隐蔽，通过僵尸主机反射，首先寻找空闲主机全网段寻找nmap -p80 -script ipidseq 192.168.100.0/24或者网上随机扫描nmap -p80 -open -script ipidseq -iR 2000,2000是随机选择的目标数量，找状态为incremental的主机
找到僵尸主机后使用nmap -Pn -sI 僵尸主机 目标网络命令来扫描

版本探测

目的是为了搜集版本信息，找到对应的服务可能存在的历史漏洞，针对性的进行渗透测试

-sV 版本探测，一般服务和端口的对应是根据表定义的，文件名nmap-services, 版本是根据端口返回的指纹信息来区分，文件名nmap-service-probes(可以仔细研究一下)
–allports 全端口版本探测需要加，只有加上这个参数才能扫描所有的端口
–version-intersity 扫描强度默认为7 ，0~9 越大越可能被识别，时间也越长，–version-light为2，–version-all为9级
–version-trace 跟踪探测的过程
-sR RPC扫描，判断开放端口是否为rpc端口，如果是，返回程序和版本号nmap -sS -sR 目标ip

操作系统识别

一般操作系统识别可以通过TTL, TCP数据包、ACK序号，ICMP报文、IPID、Windows大小等
在nmap中，操作系统探测可以
-O 启用操作系统探测，nmap-os-db是对应的文件
–osscan-limit 只对“有端口开放”条件的主机进行操作系统检测，节省时间 nmap -O --osscan-limit 目标
–osscan-guess 或者–fuzzy 推测系统识别，给出一个概率，目的提高探测的准确性

扫描优化

并行组大小优化

默认为5，随后增加 <1024
–min-hostgroup
–max-hostgrou[

并行度优化

–min-parallelism
–max-parallelism

探测报文超时优化

–min-rtt-timeout
–max-rtt-timeout
–initial-rtt-timeout
一般这个选项在程序运行时会自动根据上一次接受报文自动调整

放弃低速目标主机

–host-timeout
一般设置1800000ms

####探测报文的时间间隔优化
–scan-delay
–max-scan-delay
对比前面的T0-T5

防火墙和IDS绕过

测试可以使用securityonion系统
-f 报文分段,一个f是8个字节，两个f就是一个mtu(最大传输单元)
–mtu 指定偏移大小，偏移量应该是8的倍数
如nmap -sX -F -v 目标扫不到结果，加上-f或者-mtu参数就可以扫描出结果

-D ip欺骗 RND:5 随机生成五个ip地址nmap -D RND：5 目标，也可以指定特定的地址
-sI 源地址欺骗，关键是找空闲主机
–source-port 源端口欺骗，如使用dns53端口发动攻击可以隐藏自己。
–date-length 指定发包长度，一般tcp包40个字节，icmp28个字节，都是规律性的，容易被识别，如果长度换成50就有一定的绕过效果
–randomize-hosts 目标地址随机排序，规则的扫描很容易被识别出来
–spoof-mac mac地址欺骗，0是随机mac, 也可以直接跟mac地址，vendor构建特定厂商的macnmap -sT -PN --spoof-mac vendor cisco 目标

nmap信息搜集

–script ip-geolocation-* IP信息搜集，*是执行这一类型所有脚本，所有脚本在/usr/share/nmap/script目录下，nmap --script ip-geolocation-* www.baidu.com
dns-brute dns信息搜集 --script
http-headers http头信息收集，可以收集服务器时间，http程序，内容长度，内容类型
http-sitemap-generator http目录结构收集
smb-security-mode 一般加上-p 445 nmap -p 445 --script smb-security-mode www.baidu.com 检查后台打印机服务漏洞
http-stored -xss xss 漏洞搜集
–script=http-sql-injection sql注入漏洞信息
snmp-win32-services window服务信息
snmp-win32-user windows 用户信息搜集