索引目录:
Nmap五大基本功能
Nmap -h(中文手册)
目标说明
主机发现
端口扫描技术
端口说明和扫描顺序
服务和版本检测
操作系统检测
时间和性能
防火墙/IDS躲避和欺骗
输出
其它选项
常用命令总结
0x01:判断目标主机是否在线
(1)单纯扫描主机是否在线,不查询端口
(2)扫描主机是否在线其它方法,(会查询端口)
(3)不隐蔽+扫描一个 段内开放指定端口的主机
0x02:确定目标主机存活后,扫描目标系统信息,端口信息
(1)使用TCP SYN扫描最常用的端口
(2)使用TCP空扫描以骗过防火墙
(3)使用TCP SYN扫描远程主机上特定的端口
(4)暴力扫描(容易被防火请和IDS发现)
(5)隐蔽+端口信息+检测操作系统版本与其信息+详细检测过程
(6)还有更暴力的(就是扫描速度很慢)
(7)不考虑防火墙和IDS的情况下,无敌扫描(这里-v参数我就不使用了,你可以添加~)
Nmap是一个 络连接端扫描软件,用来扫描 上电脑开放的端口与其服务、目标计算机的操作系统等等
Nmap五大基本功能
(1)主机探测(判断目标主机是否在线)
(2)端口扫描(判断目标开放了哪些端口与其提供的服务)
(3)版本检测(判断目标主机的系统版本)
(4)系统检测(判断目标主机的系统信息)
(5)支持探测脚本的编写(自己编写脚本)
渗透测试在前期进行信息收集时:
- 首先判断目标主机是否在线
- 其次对目标系统进行端口扫描,查看它开放了哪些开端口与服务
- 最后检测目标系统的版本与其相关敏感信息
Nmap -h(中文手册)
注:这里内 扫描时,kali(IP:192.168.1.134),目标系统(IP:192.168.1.110)
目标说明
扫描单一的一个主机,命令如下:
扫描一个范围内的目标,如下:
主机发现
-sL(列表扫描)用处不大
列表扫描是主机发现的退化形式,它仅仅列出指定 络上的每台主机,不发送任何 文到目标主机。默认情况下,Nmap仍然对主机进行反向域名解析以获取它们的名字。通俗点说,该参数就是获取目标IP与其主机名的。 “`b nmap -sL www.baidu.com “` 
-sP(Ping扫描)
该选项告诉Nmap仅仅进行ping扫描(主机发现),然后打印出对扫描做出响应的那些主机。没有进一步的测试(如端口扫描或者操作系统探测) -sP选项在默认情况下,发送一个ICMP回声请求和一个TCP 文到80端口 -sP选项可以和除-P0之外的任何发现探测类型-P *选项结合使用以达到更大的灵活性 “`b nmap -sP 192.168.1.110 “` 
-P0(无ping)
-PS [portlist](TCP SYN Ping)
该选项发送一个设置了SYN标志位的空TCP 文。默认目的端口为80,可以指定一个以逗 分隔的端口列表(如-PS22,23,25,80,113,1050,35000),在这种情况下,每个端口会被并发地扫描。
-PA [portlist](TCP ACK Ping)
TCP ACK ping和SYN ping相当类似。区别就是设置TCP的ACK标志位而不是SYN标志位。ACK 文表示确认一个建立连接的尝试,但该连接尚未完全建立。
提供SYN和ACK两种ping探测的原因是使通过防火墙的机会尽可能大,SYN探测更有可能用于这样的系统,由于没头没脑的ACK 文通常会被识别成伪造的而丢弃。解决这个两难的方法是通过即指定-PS又指定-PA来即发送SYN又发送ACK。
-PU [portlist](UDP Ping)
该扫描类型的主要优势是它可以穿越只过滤TCP的防火墙和过滤器
-PE; -PP; -PM(ICMP Ping类型)
-PR(ARP Ping)
最常见的Nmap使用场景之一是扫描一个以太局域
-n(Nmap 永不对它发现的活动IP地址进行反向域名解析)
-R(Nmap 永远对目标IP地址作反向域名解析,一般只有当发现机器正在运行时才进行这项操作)
–system-dns(使用系统域名解析器)
如果您希望使用系统自带的解析器,就指定该选项,系统解析器总是用于IPv6的扫描。
端口扫描技术
-sS(TCP SYN扫描)
SYN扫描作为默认的也是最受欢迎的扫描选项,是有充分理由的。它执行得很快,在一个没有入侵防火墙的快速 络上,每秒钟可以扫描数千个端口.SYN扫描相对来说不张扬,不易被注意到,因为它从来不完成TCP连接。
它常常被称为半开放扫描,因为它不打开一个完全的TCP连接。
如果数次重发后仍没响应,该端口就被标记为被过滤。如果收到ICMP不可到达错误(类型3,代码1,2,3,9, 10,或者13),该端口也被标记为被过滤。
-sT(TCP connect()扫描)
-sU(UDP扫描)
-sN; -sF; -sX(TCP Null,FIN和Xmas扫描)
空扫描(-sN)
不设置任何标志位(TCP标志头是0)
FIN扫描(-sF)
只设置TCP FIN标志位
圣诞扫描(-sX)
设置FIN,PSH,URG和标志位,就像点亮圣诞树上所有的灯一样
这些扫描的关键优势是它们能躲过一些无状态防火墙和 文过滤路由器。另一个优势是这些扫描类型甚至比SYN扫描还要隐秘一些。但是别依赖它 – 多数现代的IDS产品可以发现它们。这些扫描的另一个不足是它们不能判断哪些是(开放的)端口和一些特定的过滤(被过滤的)端口,从而返回open | filtered(开放或者被过滤的)。
-sA(TCP ACK扫描)
这种扫描与目前为止讨论的其它扫描的不同之处在于它不能确定open(开放的)或者open | filtered(开放或者过滤的))端口。它用于发现防火墙规则,确定它们是有状态的还是无状态的,哪些端口是被过滤的。
-sW(TCP窗口扫描)
如果大部分被扫描的端口是关闭的,而一些常见的端口(如22,25,53)是过滤的,该系统就非常可疑了。偶尔地,系统甚至会显示恰恰相反的行为。如果您的扫描显示1000个开放的端口和3个关闭的或者被过滤的端口,那么那3个很可能也是开放的端口。
-sM(TCP Maimon扫描)
这项技术和Null,FIN,以及Xmas扫描完全一样,除了探测 文是FIN / ACK。
–scanflags(定制的TCP扫描)
scanflags选项允许您通过指定任意TCP标志位来设计您自己的扫描。躲开那些仅靠本手册添加规则的入侵检测系统。
-sI
这种高级的扫描方法允许对目标进行真正的TCP端口盲扫(意味着没有 文从您的真实IP地址发送到目标)
除了极端隐蔽(由于它不从真实IP地址发送任何 文),该扫描类型可以建立机器间的基于IP的信任关系。
如果您在IPID改变希望探测zombie上的特定端口,您可以在zombie主机后加上一个冒 和端口 。否则Nmap会使用默认端口(80)。
-sO(IP协议扫描)
IP协议扫描可以让您确定目标机支持哪些IP协议(TCP,ICMP,IGMP,等等)。
-b
果您的目标是绕过防火墙,扫描目标 络上的开放的21端口(或者甚至任何ftp服务,如果您用本本探测扫描所有端口),然后对每个尝试弹跳扫描,Nmap会告诉您该主机脆弱与否。
端口说明和扫描顺序
-p (只扫描指定的端口)
该选项指明您想扫描的端口,覆盖默认值。
当既扫描TCP端口又扫描UDP端口时,您可以通过在端口 前加上T:或者U:指定协议。协议限定符一直有效您直到指定另一个。例如,参数-p U:53,111,137,T:21-25,80,139,8080将扫描UDP端口53,111和137,同时扫描列出TCP端口。注意,要既扫描UDP又扫描TCP,您必须指定-sU,以及至少一个TCP扫描类型(如-sS,-sF,或者-sT)。
-F(快速(有限的端口)扫描)
-r(不要按随机顺序扫描端口)
默认情况下,Nmap按随机顺序扫描端口(除了出于效率的考虑,常用的端口前移)。你也可以指定-r来顺序端口扫描。
服务和版本检测
-sV(版本探测)
打开版本探测。您也可以用-A同时打开操作系统探测和版本探测。 “`b nmap -sV 192.168.1.110 “`
-allports(不为版本探测排除任何端口)
默认情况下,Nmap版本探测会跳过9100 TCP端口,因为一些打印机简单地打印送到该端口的任何数据,这回导致数十页HTTP get请求,二进制SSL会话请求等等被打印出来。
-version-intensity (设置版本扫描强度)
当进行版本扫描(-sV)时,nmap发送一系列探测 文,每个 文都被赋予一个1到9之间的值。 在0和9之间。默认是7 “`b nmap -sV -version-intensity 9 192.168.1.110 “`
–version-light(打开轻量级模式)
这是–version-intensity 2的方便的别名。轻量级模式使版本扫描快许多,但它识别服务的可能性也略微小一点。
–version-all(尝试每个探测)
–version-intensity 9的别名,保证对每个端口尝试每个探测 文。
–version-trace(跟踪版本扫描活动)
这导致Nmap打印出详细的关于正在进行的扫描的调试信息。
-sR(RPC扫描)-sV包括它并且全面得多,-sR很少被需要
操作系统检测
-O(启用操作系统检测)
也可以使用-A来同时启用操作系统检测和版本检测。
–osscan-limit(针对指定的目标进行操作系统检测)
如果发现一个打开和关闭的TCP端口时,操作系统检测会更有效。采用这个选项,Nmap只对满足这个条件的主机进行操作系统检测,这样可以节约时间,特别在使用-P0扫描多个主机时。这个选项仅在使用-O或-A进行操作系统检测时起作用。
–osscan猜测/ –fuzzy(推测操作系统检测结果)
当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配,使用上述任一个选项使得Nmap的推测更加有效。
时间和性能
–min-hostgroup / –max-hostgroup (调整并行扫描组的大小)
–min-parallelism / –max-parallelism (调整探测 文的并行度)
–min-rtt-timeout / – max-rtt-timeout / – 初始 – rtt-timeout (调整探测 文超时)
–host-timeout (放弃低速目标主机)
–scan-delay / –max-scan-delay (调整探测 文的时间间隔)
-T
防火墙/ IDS逃脱和欺骗
-f( 文分段)/ –mtu(使用指定的MTU)
该选项要求扫描时(包挺ping扫描)使用小的IP包分段
-D
这是一种常用的隐藏自身IP地址的有效技术
-S
这个标志的另一个用处是哄骗性的扫描,使得目标认为是另一个地址在进行扫描。可以想象某一个竞争对手在不断扫描某个公司!-e选项常在这种情况下使用,也可采用-P0选项。
-e (使用指定的接口)
告诉Nmap可以进行自动检测,如果检测不出会给出提示
–source-port / -g (源端口哄骗)
–data-length (发送 文时附加随机数据
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!