Nmap与渗透测试数据库

Nmap能够很好地与Metasploit渗透测试数据库集成在一起，可以方便地在Metasploit终端中使用db_nmap，如：

msf > db_nmap -Pn -sV 10.10.10.0/24

该命令是Nmap的一个封装，与Nmap使用方法完全一致，不同的是其执行结果将自动输入到数据库中。

也可以将Nmap扫描结果导出为一个输出文件，并导入渗透测试数据库中。使用方法很简单，只需要在Nmap命令中加入-oX参数，如：

root@bt:~# nmap -Pn -sV -oX dmz 10.10.10.0/24

扫描结束后，在当前目录下将生成名称为dmz的扫描结果文件，可以在MSF终端中使用db_import命令将扫描结果导入数据库中，如代码清单3-31所示。

代码清单3-31　使用db_import命令导入Nmap扫描结果

msf > db_import /root/dmz

[*] Importing 'Nmap XML' data

[*] Import: Parsing with 'Nokogiri v1.4.3.1'

[*] Importing host 10.10.10.1

[*] Importing host 10.10.10.2

[*] Importing host 10.10.10.129

[*] Importing host 10.10.10.130

[*] Importing host 10.10.10.254

[*] Successfully imported /root/dmz

提示　db_import命令还能够识别Acunetix、Amap、Appscan、Burp Session、Microsoft Baseline Security Analyzer、Nessus、NetSparker、NeXpose、OpenVAS Report、Retina等多种扫描器的结果。