- 找出存活主机
- 开放的端口和服务
- 目标主机的操作系统
- 安全过滤机制
- 目标主机服务的版本信息
- 利用脚本扫描漏洞
前期信息收集,为后续分析和利用漏洞打下基础,如果能分析出整个拓扑结构就更好了,对于内网的渗透,就会方便很多。
如果在前期通过信息收集找到了已存在的漏洞,可直接用 EXP 去试试看能不能拿下。
- 目标说明
- 主机发现
- 端口扫描
- 端口说明和扫描顺序
- 服务与版本探测
- 脚本扫描
- 操作系统探测
- 时间和性能
- 防火墙/IDS规避和欺骗
- 输出选项
- 杂选项
4、TARGET SPECIFICATION 目标说明
-iR 随机选择目标进行扫描,num hosts表示数目,设置为0表示一直扫描
--exclude 移除某个扫描地址
--excludefile 从文件中移除某些扫描地址
Nmap 默认发送一个arp的ping数据包来探测目标主机在1-10000范围内所开放的端口
先讲第一个参数 -iL
创建一个txt文件,里面放要扫描的网址或者IP地址
命令可以这么写
nmap -iL C:UserlenovoDesktopscan-IP.txt
第三个参数是 exclude 表示从我扫描的名单中移除
nmap www.baidu.com qhdzz.top --exclude qhdzz.top
表示:一开始准备扫描 baidu.com 和 qhdzz.top ,后面移除了qhdzz.top,就不扫描它了。可以用于一个扫描列表中的白名单。
5、 HOST
DISCOVERY 主机发现
-sn 和-sP一样,只利用Ping命令进行主机发现,不扫描目标主机的端口
-Pn 将所有指定的主机视为已开启状态,跳过主机发现的过程,可用于网段的扫描
-PS TCP SYN ping 发送一个设置了 SYN 标志位的空 TCP 报文,默认端口为80,可以指定端口
-PA TCP ACK ping 发送一个设置了 ACK 标志位的 TCP 报文,默认端口为80,可以指定端口
-PU UDP ping 发送一个空的 UDP 报文到指定端口,可以穿透只过滤 TCP 的防火墙
-P0 使用 IP 协议ping
-PR 使用 ARP 来ping
-n/-R -n不用域名解析,加速扫描,-R为目标IP做反向域名解析,扫描会慢一点
-dns-servers 自定义域名解析服务器地址
-traceroute 目标主机路由追踪
nmap -sL baidu.com 列举出 IP 地址
nmap -sn baidu.com测试主机之间的连通性,相当于 Ping 命令
6、SCAN
TECHNIQUES 端口扫描
- open (开放)
- closed (关闭)
- filtered (被过滤的)
- unfiltered (未被过滤) 可访问但不确定开放情况
- open|filtered (开放或者被过滤) 无法确定端口是开放的还是被过滤的
- closed|filtered (关闭或者被过滤) 无法确定端口是关闭的还是被过滤的
-sT TCP连接扫描,容易产生记录,效率低 (慎用)
-sA TCP ACK扫描,只设置 ACK 标志位,区别被过滤和没有被过滤
-sU UDP服务扫描,例如 DNS/DHCP 等,效率低
7、PORT SPECIFICATION
AND SCAN ORDER
端口说明和扫描顺序
-p<name> 指定扫描的协议,例如-p http 即可扫描http协议的端口状态
--exclude-port 不扫描某个端口
-F 快速模式,仅扫描100个常用的端口
8、SERVICE/VERSION DETECTION 服务与版本探测
--version-intensity<level> 设置版本扫描强度,范围0-9,默认是7,强度越高,耗时越长,越准确
nmap -sV 192.168扫瞄目标主机的开启的服务和版本
--script=<Lua scripts> 使用某个或某类脚本进行扫描,支持通配符描述
10、0S DETECTION
操作与系统探测
-O 启用操作系统探测
-A 同时启用操作系统探测和服务版本探测
--osscan-limit 针对指定的目标进行操作系统探测
--osscan-guess 当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配
11、TIMING
AND PERFORMANCE
时间和性能
Nmap开发的最高优先级是性能,但实际应用中很多因素会增加扫描时间,比如特定的扫描选项,防火墙配置以及版本扫描等。
-T <0-5> 设置时间模板级数,在0-5中选择。
T0,T1用于 IDS 规避
T2降低了扫描速度以使用更少的带宽和资源。
T3是默认值,未做任何优化。
T4假设具有合适及可靠的网络从而加速扫描。
T5假设具有特别快的网络或者愿意为速度牺牲准确性
-host-timeout <time> 放弃低速目标主机,时间单位为毫秒
12 FIREWALL/IDS
EVASION AND SPOOFING 防火墙/IDS 规避和欺骗
--mtu(使用指定的MTU) 将 TCP 头分段在几个包中,使得包过滤器,IDS以及其他的检测工具更困难
-D <decoy1[,decoy2][,ME]...> 隐蔽扫描;使用逗号分隔每个诱饵主机,用自己真实的IP作为诱选项。如果6号或更后的位置使用ME选项,一些检测器就不报告真实IP。如果不使用ME,真实IP将随机放置
-S <IP_Address> 伪造数据包的源地址
-source-port<portnumber>/-g <portnumber> 伪造源端口
-oX XML输出写入指定的文件
-oS 相当于交互工具输出
-oG Grep输出
-oA 输出至所有格式
-v 提高输出信息的详细程度
-resume <filename> 继续中断的扫描
-A 开启操作系统探测,版本探测,脚本扫描和路由追踪
nmap --script=auth ip 对某个主机或某网段主机的应用进行弱口令检测
如:nmap --script=auth 192.168.0.101
2、暴力破解
nmap --script=brute ip 可以对数据库、MB、SNMP等进行简单的暴力破解
如:nmap --script=brute 192.168.0.101
3、扫描常见漏洞
nmap --script=vuln ip
如:nmap --script=vuln 192.168.0.101
4、使用脚本进行应用服务扫描
nmap --script=xxx ip 对常见应用服务进行扫描 如:VNC、MySQL、Telnet、Rync等服务
如VNC服务:nmap --script=realvnc-auth-bypass 192.168.0.101
5、探测局域网内服务开放情况
nmap -n -p xxx --script=broadcast ip
如:nmap --script=broadcast 192.168.0.101
6、Whois解析
nmap -script external url
如:nmap -script external baidu.com
7、扫描Web敏感目录
nmap -p 80 --script=http-enum.nse ip
nmap -p 80 --script=http-enum.nse 192.168.0.101
- 赞助本站
- 微信扫一扫
- 加入Q群
- QQ扫一扫
评论