端口扫描工具 nmap 使用手册

0x00 主机发现

-sL                         仅仅是显示,扫描的IP数目,不会进行任何扫描
-sn                         ping扫描,即主机发现
-Pn                         不检测主机存活
-PS/PA/PU/PY[portlist]      TCP SYN Ping/TCP ACK Ping/UDP Ping发现
-PE/PP/PM                   使用ICMPecho, timestamp and netmask请求包发现主机
-PO[prococol list]          使用IP协议包探测对方主机是否开启
-n/-R                       不对IP进行域名反向解析/为所有的IP都进行域名的反响解析

0x01 扫描技巧

-sS/sT/sA/sW/sM             TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCPMaimon扫描
-sU                         UDP扫描
-sN/sF/sX                   TCP Null，FIN，and Xmas扫描
--scanflags                 自定义TCP包中的flags
-sI zombie host[:probeport] Idlescan
-sY/sZ                      SCTP INIT/COOKIE-ECHO扫描
-sO                         使用IPprotocol扫描确定目标机支持的协议类型
-b "FTP relay host"         使用FTPbounce scan

0x02 指定端口和扫描顺序

-p                          特定的端口-p80,443或者-p1-65535
-p U:PORT                   扫描udp的某个端口,-p U:53
-F                          快速扫描模式,比默认的扫描端口还少
-r                          不随机扫描端口,默认是随机扫描的
--top-ports "number"        扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,
                            ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
--port-ratio "ratio"        扫描指定频率以上的端口

0x03服务版本识别

-sV                         开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
--version-intensity "level" 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。
                            数值越高，服务越有可能被正确识别。默认是7
--version-light             打开轻量级模式,为--version-intensity2的别名
--version-all               尝试所有探测,为--version-intensity9的别名
--version-trace             显示出详细的版本侦测过程信息

0x04 脚本扫描

-sC                         根据端口识别的服务,调用默认脚本
--script="Lua scripts"      调用的脚本名
--script-args=n1=v1,[n2=v2] 调用的脚本传递的参数
--script-args-file=filename 使用文本传递参数
--script-trace              显示所有发送和接收到的数据
--script-updatedb           更新脚本的数据库
--script-help="Lua script"  显示指定脚本的帮助
nmap -sV --script=ssl-heartbleed target_ip           扫描心脏滴血漏洞
nmap -p 6379 --script redis-info target_ip           扫描redis未授权访问漏
nmap -p 27017 --script mongodb-info target_ip        扫描mongodb未授权访问
nmap -p 21 --script ftp-anon.nse -v target_ip        扫描ftp匿名访问的漏洞
nmap -p 21 --script ftp-brute.nse -v target_ip       对目标IP进行ftp弱口令
nmap -p 22 --script ssh-brute.nse -v target_ip       对目标IP进行ssh口令爆破
nmap -p445 –script smb-vuln-ms17-010 target_ip/mask  对目标网段进行永恒之蓝漏洞扫描

0x05 OS识别

-O                          启用操作系统检测,-A来同时启用操作系统检测和版本检测
--osscan-limit              针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess              推测操作系统检测结果,当Nmap无法确定所检测的操作系统时，会尽可能地提供最相近的匹配，
                            Nmap默认进行这种匹配

0x06 防火墙/IDS躲避和哄骗

-f; --mtu value                 指定使用分片、指定数据包的MTU.
-D decoy1,decoy2,ME             使用诱饵隐蔽扫描
-S IP-ADDRESS                   源地址欺骗
-e interface                    使用指定的接口
-g/ --source-port PROTNUM       使用指定源端口
--proxies url1,[url2],...       使用HTTP或者SOCKS4的代理
--data-length NUM               填充随机数据让数据包长度达到NUM
--ip-options OPTIONS            使用指定的IP选项来发送数据包
--ttl VALUE                     设置IPtime-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR  MAC地址伪装
--badsum                        使用错误的checksum来发送数据包

0x07 Nmap输出

-oN                              将标准输出直接写入指定的文件
-oX                              输出xml文件
-oS                              将所有的输出都改为大写
-oG                              输出便于通过bash或者perl处理的格式,非xml
-oA                              BASENAME可将扫描结果以标准格式、XML格式和Grep格式一次性输出
-v                               提高输出信息的详细度
-d                               level设置debug级别,最高是9
--reason                         显示端口处于带确认状态的原因
--open                           只输出端口状态为open的端口
--packet-trace                   显示所有发送或者接收到的数据包
--iflist                         显示路由信息和接口,便于调试
--log-errors                     把日志等级为errors/warings的日志输出
--append-output                  追加到指定的文件
--resume FILENAME                恢复已停止的扫描
--stylesheet PATH/URL            设置XSL样式表，转换XML输出
--webxml                         从namp.org得到XML的样式
--no-sytlesheet                  忽略XML声明的XSL样式表

0x08 其他nmap选项

-6                                开启IIPV6
-A                                OS识别,版本探测,脚本扫描和traceroute
--datedir DIRNAME                 说明用户Nmap数据文件位置
--send-eth / --send-ip            使用原以太网帧发送/在原IP层发送
--privileged                      假定用户具有全部权限
--unprovoleged                    假定用户不具有全部权限,创建原始套接字需要root权限
-V                                打印版本信息
-h                                输出帮助信息

0x09 nmap常用命令

nmap -sV -sT -Pn --open -v 192.168.1.1         不使用ping对ip进行服务识别 使用tcp发包 返回端口开放的结果
nmap -sT -Pn --open -v banner.nse 192.168.1.1  获取服务器的banner信息
nmap -sP 192.168.0.0/24                        判断哪些主机存活
nmap -sT 192.168.0.3                           开放了哪些端口
nmap -sS 192.168.0.127                         开放了哪些端口（隐蔽扫描）
nmap -sU 192.168.0.127                         开放了哪些端口（UDP）
nmap -sS -O 192.168.0.127                      操作系统识别
nmap -sT -p 80 -oG – 192.168.1.* | grep open   列出开放了指定端口的主机列表
nmap -sV -p 80 baidu.com                       列出服务器类型(列出操作系统，开发端口，服务器类型,网站脚本类型等)

-iL filename                                  从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
-iR hostnum                                   随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
–exclude host1[, host2]                       从扫描任务中需要排除的主机
nmap --exclude 192.168.1.1 192.168.1.1-2      这个只扫描192.168.1.2这个IP–exculdefile exclude_file
                                              排除文件中的IP,格式和-iL指定扫描文件的格式相同
# 批量扫描
nmap -sT -sV -O -P0 --open -n -oN result.txt -p80-89,8080-8099,8000-8009,7001-7009,9000-9099,21,443,
873,2601,2604,3128,4440,6082,6379,8888,3389,9200,11211,27017,28017,389,8443,4848,8649,995,9440,9871,
2222,2082,3311,18100,9956,1433,3306,1900,49705,50030,7778,5432,7080,5900,50070,5000,5560,10000 -iL
ip.txt2 --open         只输出端口开放的结果 输出到result.txt文件

nmap -sT -sV -p80-89,8080-8099,8000-8009,7001-7009,9000-9099,21,443,873,2601,2604,3128,4440,6082,6379,
8888,3389,9200,11211,27017,28017,389,8443,4848,8649,995,9440,9871,2222,2082,3311,18100,9956,1433,3306,
1900,49705,50030,7778,5432,7080,5900,50070,5000,5560,10000 --open --max-hostgroup10 --max-parallelism
10 --max-rtt-timeout 1000ms --host-timeout 800s --max-scan-delay 2000ms -iL ~/Desktop/ip.txt
-oN ~/Desktop/result/result.txt

0x10 nmap api

nmap支持很多语言的扩展，本文简单介绍下python中如何使用nmap。

• python-nmap

  • 安装：pipinstall python-nmap

  • 作用：利用python调用nmap接口，实现端口扫描。

  • 使用：

>>> import nmap2
>>> nm = nmap.PortScanner()
>>> nm.scan('127.0.0.1', '22-443')
>>> nm.command_line()