端口状态信息

> open :端口开启
> closed :端口关闭
> filtered :端口被过滤,因为报文被防火墙拦截
> Unfiltered :不确定端口是否开放 没有被过滤
> open|filtered(closed|filtered) :不能确定端口是否开放(关闭)或者被过滤

目标选择

单个扫描:nmap ip

扫描主机:nmap www.XXXX.com

扫描一系列IP:nmap 192.168.1.1-20

扫描子网:nmap 192.168.1.1/20

从文本文件获得扫描目标:nmap -iL list-of-ips.txt

无ping扫描:常用于防火墙禁止ping的情况:nmap -P0 ip

端口选择

扫描单个端口:nmap -p 端口 ip

扫描一系列端口:nmap -p 1-100 192.168.1.1

扫描100个最常见的端口(快速):nmap -F ip

扫描所有65535端口:nmap -p- ip

扫描指定端口:nmap -p 80,22,3306 ip

操作系统和服务检测

检测操作系统和服务:nmap -A ip

标准服务检测:nmap -sV ip

激进的服务检测:nmap -sV –version-intensity 5 ip

轻量Banner抓取检测:nmap -sV –version-intensity 0 ip

nmap输出格式

将默认输出保存到文件:nmap -oN outputfile.txt ip

将结果保存为XML:nmap -oX outputfile.xml ip

为方便grep来保存格式:nmap -oG outputfile.txt ip

保存所有格式:nmap -oA outputfile ip

用NSE脚本深入挖掘

使用默认安全脚本扫描:nmap -sV -sC ip

获取脚本的帮助:nmap –script-help=ssl-heartbleed

使用特定的NSE脚本进行扫描:nmap -sV -p 443 –script=ssl-heartbleed.nse ip

用一组脚本进行扫描:nmap -sV –script=smb* ip

使用全部NSE脚本进行扫描:nmap -sV -p- –script=all ip

HTTP服务信息

从HTTP服务收集页面标题:nmap –script=http-title 192.168.1.0/24

获取Web服务的HTTP头:nmap –script=http-headers 192.168.1.0/24

从已知路径查找网络应用程序:nmap –script=http-enum 192.168.1.0/24

检测SSL漏洞问题的主机

Heartbleed测试:nmap -sV -p 443 –script=ssl-heartbleed 192.168.1.0/24

设备扫描

获取ip:host 网址
host 域名
dig 域名

是否存活:ping ip
nmap -sP –script discovery ip

扫描在线主机:nmap -sP 192.168.1.*

探测IP协议:nmap -PO ip

获取系统概况:(暴力形式,很容易被发现)nmap -A ip

探测是否有【】防火墙:nmap -PN ip

探测防火墙规则:nmap -sA ip

TCP Window扫描:nmap -sw ip

禁止反向域名解析:nmap -n -sL 192.168.1.1/24

FIN扫描:(FIN扫描方式用于识别端口是否关闭,收到RST回复说明该端口关闭,否则说明是open或filtered状态)nmap -sF ip

TCP扫描:nmap -sT -p 1-65535 -Pn ip
nmap -sT -p 1-65535 -Pn 192.168.1.1-254
nmap -sL 192.168.1.0/24

ARP Ping扫描:nmap -PR ip

SYN扫描:nmap -sS -p- Pn ip

TCP SYN Ping扫描:nmap -PS -v www.xxx.com

UDP扫描:(UDP扫描费时,所以去掉-p-,默认扫描)nmap -sU ip

Xmas扫描:nmap -sX -p1-65535 -Pn ip

Null扫描:nmap -sN -p 1-65535 -Pn ip

扫描所选端口 - 忽略发现:nmap -Pn -F ip

绕开鉴权:nmap –script=auth 192.168.56.*

探测操作系统:nmap -O ip

探测软件版本:nmap -V ip
nmap -sTV -p- -Pn ip

设置扫描强度强度在0~9之间,默认强度为7:nmap -V ip
nmap -sTV -p- -Pn ip

轻量级扫描:nmap -sV –version-light www.xxx.com

重量级扫描:nmap -sV –version-all www.xxx.com

版本探测:nmap -sV -A www.xxx.com

对指定的目标进行系统探测:Nmap -osscan-limit www.xxx.com

推测系统识别:Nmap -osscan-guess/–fuzzy www.xxx.com

获取详细版本信息:nmap -sV –version-trace www.xxx.com

全端口版本探测:nmap -allports -A www.xxx.com

RPC扫描:Nmap -sR www.xxx.com

调整并行扫描组的大小(默认为5-1024)最小的组:nmap –min-hostgroup 30 172.20.62.1/24

调整并行扫描组的大小(默认为5-1024)最大的组:nmap –max-hostgroup 50 172.20.62.1/24

探查局域网内更多服务:nmap -n –script=broadcast ip

碎片化:nmap -f ip
nmap –mtu 16 ip

诱饵:nmap –D RND:10 TARGET
nmap –D decoy1,decoy2,decoy3 target

MAC地址欺骗:nmap -sT -PN –spoof-mac aa:bb:cc:dd:ee:ff target
nmap -spoof-mac Scisio ip
-spoof-mac 可以根据厂商名字伪造不同mac地址

发送间隔时间控制:nmap -scan_delay 5ms ip

发送错误校验:nmap –badsum target

Http方法:nmap -p80,443 –script http-methods scanme.nmap.org

发现文件:nmap -sV –script http-enum ip

判断是否使用默认端口:nmap -sV -script=smtp-strangeport ip

利用第三方数据库:nmap –script external ip

获得PHP版本信息:nmap -sV -script=http-php-version ip

如果想对一个基于WordPress的web站点进行渗透测试,可以使用这个脚本:

nmap -sV -script=http-php-version ip
1.http-wordpress-plugins
2.http-wordpress-enum
3.http-wordpress-brute

用户发现IP地址黑名单:nmap -sn ip –script dns-blacklist

简单暴力猜解:nmap –script=brute 192.168.56.*

检查是否存在漏洞:nmap –script=vuln 192.168.56.*

路由跟踪:nmap –traceroute -sP ip

SCTP INIT Ping扫描:nmap -PY -v ip

按VNC扫描

检查vnc bypass:nmap –script=realvnc-auth-bypass ip

检查vnc认证方式:nmap –script=vnc-auth ip

获取vnc信息:nmap –script=vnc-info ip

按SMB扫描

smb破解:nmap –script=smb-brute.nse ip

smb字典破解:nmap –script=smb-brute.nse –script-args=userdb=/var/passwd,passdb=/var/passwd ip

smb已知几个严重漏洞:nmap –script=smb-check-vulns.nse –script-args=unsafe=1 ip

查看共享目录:nmap -p 445 –script smb-ls –script-args ‘share=e$,path=,smbuser=test,smbpass=test’ ip

查询主机一些敏感信息:nmap -p 445 -n –script=smb-psexec –script-args= smbuser=test,smbpass=test ip

查看会话:nmap -n -p445 –script=smb-enum-sessions.nse –script-args=smbuser=test,smbpass=test ip

系统信息:nmap -n -p445 –script=smb-os-discovery.nse –script-args=smbuser=test,smbpass=test ip

按Mssql扫描

猜解mssql用户名和密码:

nmap -p1433 –script=ms-sql-brute –script-args=userdb=/var/passwd,passdb=/var/passwd ip

xp_cmdshell 执行命令:

nmap -p 1433 –script ms-sql-xp-cmdshell –script-args mssql.username=sa,mssql.password=sa,ms-sql-xp-cmdshell.cmd=”net user” ip

dumphash值:

nmap -p 1433 –script ms-sql-dump-hashes.nse –script-args mssql.username=sa,mssql.password=sa ip

按Mysql扫描

扫描root空口令:nmap -p3306 –script=mysql-empty-password.nse ip

列出所有mysql用户:nmap -p3306 –script=mysql-users.nse –script-args=mysqluser=root ip

支持同一应用的所有脚本扫描:nmap –script=mysql-* ip

按Oracle扫描

oracle sid扫描:nmap –script=oracle-sid-brute -p 1521-1560 ip

oracle弱口令破解:

nmap –script oracle-brute -p 1521 –script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd ip

信息收集扫描

ip信息搜集:nmap –script ip-geolocation-* www.xxx.com

获得IP地址的信息:nmap –script=asn-query,whois,ip-geolocation-maxmind 192.168.1.0/24

whois查询:nmap –script whois www.xxx.com

ip反查:nmap -sn –script hostmap-ip2hosts www.xxx.com

信息搜集:nmap –script dns-brute www.xxx.com

列举dns服务器的主机名:nmap –script dns-brute –script-args dns-brute.domain=xxx.com

检索系统信息:nmap -p 445 ip –script membase-http-info

后台打印机服务漏洞:nmap –script smb-security-mode.nse -p 445 ip

smb漏洞扫描:nmap –script smb-check-vulns.nse -p 445 ip//未验证命令

通过snmp列举windows服务:nmap -sU -p 161 –script=snmp-win32-services ip

通过snmp列举windows账户:nmap -sU -p 161 –script=snmp-win32-users ip

http信息搜集,对http版本进行探测:nmap -sV -p 80 www.xxx.com

http头信息探测:nmap -p 80 –script=http-headers www.xxx.com

http目录结构探测:nmap -p 80 –script=http-sitemap-generator www.xxx.com

枚举ssl密钥ssl-enum-ciphers,SSL(Secure Sockets Layer,安全套接层,TLS(Transport Layer Security,传输层安全):nmap -p 443 –script=ssl-enum-ciphers www.xxx.com

服务器支持的密钥算法SSH服务密钥信息探测:

nmap -p 22 –script ssh-hostkey –script-args ssh_hostkey=full 127.0.0.1

其他脚本

发现网关:Nmap –script=broadcast-netbios-master-browser ip

telnet破解:nmap -sV –script=telnet-brute ip

dos攻击:nmap –script http-slowloris –max-parallelism 400 ip

破解rsync:nmap -p 873 –script rsync-brute –script-args ‘rsync-brute.module=www’ ip

informix数据库破解:nmap –script informix-brute -p 9088 ip

pgsql破解:nmap -p 5432 –script pgsql-brute ip

snmp破解:nmap -sU –script snmp-brute ip

检查http方法:nmap –script=http-methods.nse ip

查看本地路由与接口:nmap -iflist

指定网口与ip地址:nmap -e eth0 ip

产生随机ip地址:

nmap -iR 1200000 -sL -n | grep “not scanned” | awk ‘{print $2}’ | sort -n | uniq >! tp; head -25000000 tp >! tcp-allports-1M-IPs; rm tp

扫描思科路由器:思科路由器会在上述端口中运行了常见的服务。列举出上述端口开放的主机,可以定位到路由器设备可能的IP地址及端口状态。

nmap -p1-25,80,512-515,2001,4001,6001,9001 10.20.0.1/16

扫描路由器TFTP:大多数的路由器都支持TFTP协议(简单文件传输协议),该协议常用于备份和恢复路由器的配置文件,运行在UDP 69端口上。使用上述命令可以探测出路由器是否开放TFTP。

nmap –sU –p69 –nvv target

扫描路由器操作系统:与通用PC扫描方式类似,使用-O选项扫描路由器的操作系统。-F用于快速扫描最可能开放的100个端口,并根据端口扫描结果进一步做OS的指纹分析。

nmap -O -F -n 192.168.1.1

显示网络上共有多少台 Linux 及 Win 设备:

nmap -F -O 192.168.1.1-255 | grep “Running: “ > /tmp/os; echo “$(cat /tmp/os | grep Linux | wc -l) Linux device(s)”; echo “$(cat /tmp/os | grep Windows | wc -l) Window(s) devices”

技巧

发送以太网数据包:nmap –send-eth ip

网络层发送:nmap –send-ip ip

假定拥有所有权:nmap –privileged ip

设置调试级别:nmap -d 1 ip

级别范围1-9,9为最高级,产生的数据最多,跟踪发送接受的报文:(-p指定端口范围,减少产生的报文):nmap –packet-trace -p 20-30 ip

列举接口和路由:(多用于调试路由):nmap -iflist ip

指定网络接口:指定从en0发送数据:nmap -e en0 ip

探测防火墙:nmap –script=firewalk –traceroute ip

端口状态

开放:Open

关闭:Closed

可能被过滤,可能网络阻塞:Filtered

可以访问,但未知端口处于开放还是关闭状态:Unfiltered

能确定端口事开放被过滤:Open|Filtered

不能确定端口事关闭还说被过滤:Closed|Filtered