nmap操作实例

20160603 update Chenxin
http://drops.wooyun.org/tips/2002

1.扫描存活的主机
2.扫描主机操作系统
3.扫描主机名称
4.扫描主机开服端口服务

十条常用nmap命令行格式

获取远程主机的系统类型及开放端口
nmap -sS -P0 -sV -O
这里的 < target > 可以是单一 IP, 或主机名，或域名，或子网
-sS TCP SYN 扫描 (又称半开放,或隐身扫描)
-P0 允许你关闭 ICMP pings.
-sV 打开系统版本检测
-O 尝试识别远程操作系统
其它选项:
-A 同时打开操作系统指纹和版本检测
-v 详细输出扫描情况.
nmap -sS -P0 -A -v < target >
列出开放了指定端口的主机列表
nmap -sT -p 80 -oG – 192.168.1.* | grep open
在网络寻找所有在线主机
nmap -sP 192.168.0.*
或者也可用以下命令:
nmap -sP 192.168.0.0/24
指定 subnet
Ping 指定范围内的 IP 地址
nmap -sP 192.168.1.100-254
在某段子网上查找未占用的 IP
nmap -T4 -sP 192.168.2.0/24 && egrep “00:00:00:00:00:00″ /proc/net/arp
在局域网上扫找 Conficker 蠕虫病毒
nmap -PN -T4 -p139,445 -n -v –script=smb-check-vulns –script-args safe=1 192.168.0.1-254
扫描网络上的恶意接入点（rogue APs）.
nmap -A -p1-85,113,443,8080-8100 -T4 –min-hostgroup 50 –max-rtt-timeout 2000 –initial-rtt-timeout 300 –max-retries 3 –host-timeout 20m –max-scan-delay 1000 -oA wapscan 10.0.0.0/8

8 ) 使用诱饵扫描方法来扫描主机端口
sudo nmap -sS 192.168.0.10 -D 192.168.0.2

为一个子网列出反向 DNS 记录
nmap -R -sL 209.85.229.99/27 | awk ‘{if($3==”not”)print”(“$2″) no PTR”;else print$3″ is “$2}’ | grep ‘(‘
显示网络上共有多少台 Linux 及 Win 设备?
sudo nmap -F -O 192.168.0.1-255 | grep “Running: ” > /tmp/os; echo “$(cat /tmp/os | grep Linux | wc -l) Linux device(s)”; echo “$(cat /tmp/os | grep Windows | wc -l) Window(s) device”
NMAP 基础教程
he1renyagao · 2014/05/18 15:50
原文地址：http://infotechbits.wordpress.com/2014/05/04/introduction-to-basic-nmap/
0x00 nmap 介绍

Nmap （网络映射器）是由 Gordon Lyon设计，用来探测计算机网络上的主机和服务的一种安全扫描器。为了绘制网络拓扑图，Nmap的发送特制的数据包到目标主机，然后对返回数据包进行分析。Nmap是一款枚举和测试网络的强大工具。
Nmap 特点：

主机探测：探测网络上的主机，例如列出响应TCP和ICMP请求、icmp请求、开放特别端口的主机。
端口扫描：探测目标主机所开放的端口。
版本检测：探测目标主机的网络服务，判断其服务名称及版本号。
系统检测：探测目标主机的操作系统及网络设备的硬件特性。
支持探测脚本的编写：使用Nmap的脚本引擎（NSE）和Lua编程语言。
Nmap 能扫描出目标的详细信息包括、DNS反解、设备类型和mac地址。
(DNS 反解详情移步http://www.debouncer.com/reverse-dns-check)
0x01 Nmap 典型用途：

1、通过对设备或者防火墙的探测来审计它的安全性。
2、探测目标主机所开放的端口。
3、网络存储，网络映射，维护和资产管理。（这个有待深入）
4、通过识别新的服务器审计网络的安全性。
5、探测网络上的主机。
0x02 nmap 安装

nmap可以到http://nmap.org/download.html下载最新版本

Nmap 安装、根据提示向导，下一步、下一步进行安装。

进入命令提示符（cmd），输入nmap，可以看到nmap的帮助信息，说明安装成功。

0x03 nmap 命令操作

注意：请自己通过各种设备来搭建模拟实际的网络环境（如虚拟机，手机等设备），请在道德和法律的允许下进行测试。不然你懂的。
1、Nmap 简单扫描

Nmap 默认发送一个arp的ping数据包，来探测目标主机在1-10000范围内所开放的端口。
命令语法：

1
nmap

解释：Target ip address 为你目标主机的ip地址
例子：

1
nmap 10.1.1.254

效果：

2、Nmap 简单扫描，并对返回的结果详细描述输出。

命令语法：

1
nmap -vv 10.1.1.254

介绍：-vv 参数设置对结果的详细输出。
例子：

1
nmap -vv 10.1.1.254

效果：

3、nmap 自定义扫描

nmap 默认扫描目标1-10000范围内的端口号。我们则可以通过参数-p 来设置我们将要扫描的端口号。
命令语法：

1
nmap -p(range)

解释：（rangge）为要扫描的端口（范围），端口大小不能超过65535，Target ip 为目标ip地址
例子：扫描目标主机1-50号端口：
效果：

例子：扫描目标主机1-100号端口：
效果：

例子：扫描目标主机50-500号端口：
效果：

4、nmap 指定端口扫描

有时不想对所有端口进行探测，只想对80,443,1000,65534这几个特殊的端口进行扫描，我们还可以利用参数p 进行配置。
命令语法：

1
nmap -p(port1,port2,port3,...)

例子：

1
nmap -p80,443,22,21,8080,25,53 10.1.1.254

效果：

5、nmap ping 扫描

nmap 可以利用类似window/linux 系统下的ping方式进行扫描。
命令语法：

1
nmap -sP

解释：sP 设置扫描方式为ping扫描
例子：

1
nmap -sP 10.1.1.254

效果：

6、nmap 路由跟踪
路由器追踪功能，能够帮网络管理员了解网络通行情况，同时也是网络管理人员很好的辅助工具！通过路由器追踪可以轻松的查处从我们电脑所在地到目标地之间所经常的网络节点，并可以看到通过各个节点所花费的时间（百度百科）
命令语法:

1
nmap --traceroute

例子：

1
nmap --traceroute 8.8.8.8 (google dns服务器ip)

效果：

7、nmap 还可以设置扫描一个网段下的ip

命令语法：

1
nmap -sP

解释：CIDR 为你设置的子网掩码(/24 , /16 ,/8 等)
例子：

1
nmap -sP 10.1.1.0 /24

效果：

例子：

1
nmap -sP 10.1.1.1-255

效果:

上面两个都是扫描10.1.1.0/24 网络段的主机
其中
Windown:10.1.1.103

Android:10.1.1.101

8、nmap 操作系统类型的探测

nmap 通过目标开放的端口来探测主机所运行的操作系统类型。这是信息收集中很重要的一步，它可以帮助你找到特定操作系统上的含有漏洞的的服务。
命令语法：

1
nmap -O

例子：

1
nmap -O 10.1.1.254

效果：

例子：

1
nmap -O 10.1.1.101 （扫描android手机）

效果：

Nmap 默认不能扫描本机，如果你想扫描你的电脑，你可以通过虚拟机来进行扫描。
例子：

1
nmap -O 10.1.1.103（Windows 7 SP2 Home Premium ）

效果：

9、nmap 万能开关

次选项设置包含了1-10000的端口ping扫描，操作系统扫描，脚本扫描，路由跟踪，服务探测。
命令语法：

1
nmap -A

例子：

1
nmap -A 10.1.1.254

效果：

10、nmap 命令混合式扫描

命令混合扫描，可以做到类似参数-A所完成的功能，但又能细化到我们所需特殊要求。
命令语法：

1
nmap -vv -p1-1000 -O

例子：

1
nmap -vv -p1-1000 -O 10.1.1.105

效果：

例子:对目标主机的80,8080,22,23端口进行扫描，并且对目标进行路由跟踪和操作系统探测。

1
nmap -p80,8080,22,23 -traceroute -O 10.1.1.254

效果：

Nmap提供的这些参数，可根据自己的需求，灵活的组合使用。

20120924
扫描网络中存活的主机：
nmap -sn 192.168.80.2-254

针对某个主机进行扫描：
nmap -A -v 192.168.80.78

针对某个主机的某个端口扫描：
nmap -P0 -p 3306 192.168.80.78(可以使IP段)

在目标主机未开启防火墙的情况下
telnet 可以通的windows的方式如下：
TCP 192.168.80.118:139 0.0.0.0:0 LISTENING
telnet不通的如下：
UDP 192.168.80.118:137 :
目标主机开通防火墙后，通过telnet，目标主机并未进行通知说有机器试图连接目标主机的端口；

介绍
nmap是一款开源免费的网络发现（Network Discovery）和安全审计（Security Auditing）工具。软件名字Nmap是Network Mapper的简称。通常情况下，Nmap用于：
列举网络主机清单
管理服务升级调度
监控主机
服务运行状况
Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。它是网络管理员必用的软件之一，用以评估网络系统安全。
正如大多数工具被用于网络安全的工具，nmap 也是不少黑客及骇客（又称脚本小孩）爱用的工具。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。
Nmap通常用在信息搜集阶段（information gathering phase），用于搜集目标机主机的基本状态信息。扫描结果可以作为漏洞扫描(Vulnerability Scanning)、漏洞利用(Vulnerablity Exploit)、权限提升(Privilege Escalation)等阶段的输入。例如，业界流行的漏洞扫描工具Nesssus与漏洞利用工具Metasploit都支持导入Nmap的XML格式结果，而Metasploit框架内也集成了Nmap工具（支持Metasploit直接扫描）。
Nmap不仅可以用于扫描单个主机，也可以适用于扫描大规模的计算机网络（例如，扫描英特网上数万台计算机，从中找出感兴趣的主机和服务）。当然，扫描大规模的网络时，需要注意优化Nmap的各种时序及发包的参数，参数可以巨大地提高扫描性能。

主机发现（Host Discovery）
用于发现目标主机是否处于活动状态(Active)。
Nmap提供了多种检测机制，可以更有效地辨识主机。例如可用来列举目标网络中哪些主机已经开启，类似于Ping命令的功能。
端口扫描（Port Scanning）
用于扫描主机上的端口状态。
Nmap可以将端口识别为开放(Open)、关闭(Closed)、过滤（Filtered）、未过滤（Unfiltered）、开放|过滤（Open|Filtered）、关闭|过滤（Closed|Filtered）。默认情况下，Nmap会扫描1000个常用的端口，可以覆盖大多数基本应用情况。
版本侦测（Version Detection）
用于识别端口上运行的应用程序与程序版本。
Nmap目前可以识别数千种中应用的签名（Signatures）,检测数百种应用协议。而对与不识别的应用，Nmap默认会将应用的指纹(Fingerprint)打印出来，如果用于确知该应用程序，那么用户可以将信息提交到社区，为社区做贡献。
操作系统侦测（OS detection）
用于识别目标机的操作系统类型、版本编号及设备类型。
Nmap目前提供了上千种操作系统或设备的指纹数据库，可以识别通用PC系统、路由器、交换机等设备类型。
防火墙/IDS规避（Firewall/IDS evasion）
Nmap提供多种机制来规避防火墙、IDS的的屏蔽和检查，便于秘密地探查目标机的状况。
基本的规避方式包括：分片（Fragment）/IP诱骗（IP decoys）/IP伪装（IP spoofing）/MAC地址伪装（MAC spoofing）等等。
NSE脚本引擎(Nmap Scripting Engine)
NSE是Nmap最强大最灵活的特性之一，可以用于增强主机发现、端口扫描、版本侦测、操作系统侦测等功能，还可以用来扩展高级的功能如web扫描、漏洞发现、漏洞利用等等。Nmap使用Lua语言来作为NSE脚本语言，目前的Nmap脚本库已经支持350多个脚本。

Nmap基本命令和典型用法

全面进攻性扫描（包括各种主机发现、端口扫描、版本扫描、OS扫描及默认脚本扫描）:
nmap -A -v targetip
Ping扫描:
nmap -sn -v targetip
快速端口扫描:
nmap -F -v targetip
版本扫描:
nmap -sV -v targetip
操作系统扫描:
nmap -O -v targetip

Nmap 5.51 ( http://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL : Input from list of hosts/networks
-iR : Choose random targets
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks
--excludefile <exclude_file>: Exclude list from file
HOST DISCOVERY:
-sL: List Scan - simply list targets to scan
-sn: Ping Scan - disable port scan
-Pn: Treat all hosts as online -- skip host discovery
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-PO[protocol list]: IP Protocol Ping
-PR: ARP ping - does not need HW address -> IP translation
-n/-R: Never do DNS resolution/Always resolve [default: sometimes]
--dns-servers <serv1[,serv2],...>: Specify custom DNS servers
--system-dns: Use OS's DNS resolver
--traceroute: Trace hop path to each host
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sU: UDP Scan
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags : Customize TCP scan flags
-sI <zombie host[:probeport]>: Idle scan
-sY/sZ: SCTP INIT/COOKIE-ECHO scans
-sO: IP protocol scan
-b : FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
-p : Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
-F: Fast mode - Scan fewer ports than the default scan
-r: Scan ports consecutively - don't randomize
--top-ports : Scan most common ports
--port-ratio : Scan ports more common than
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info
-sR: Check what service uses opened ports using RPC scan
--version-intensity : Set from 0 (light) to 9 (try all probes)
--version-light: Limit to most likely probes (intensity 2)
--version-all: Try every single probe (intensity 9)
--version-trace: Show detailed version scan activity (for debugging)
SCRIPT SCAN:
-sC: equivalent to --script=default
--script=: is a comma separated list of
directories, script-files or script-categories
--script-args=<n1=v1,[n2=v2,...]>: provide arguments to scripts
--script-trace: Show all data sent and received
--script-updatedb: Update the script database.
OS DETECTION:
-O: Enable OS detection
--osscan-limit: Limit OS detection to promising targets
--osscan-guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
Options which take are in seconds, or append 'ms' (milliseconds),
's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
-T<0-5>: Set timing template (higher is faster)
--min-hostgroup/max-hostgroup : Parallel host scan group sizes
--min-parallelism/max-parallelism : Probe parallelization
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout : Specifies
probe round trip time.
--max-retries : Caps number of port scan probe retransmissions.
--host-timeout : Give up on target after this long
--scan-delay/--max-scan-delay : Adjust delay between probes
--min-rate : Send packets no slower than per second
--max-rate : Send packets no faster than per second
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu : fragment packets (optionally w/given MTU)
-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
-S <IP_Address>: Spoof source address
-e : Use specified interface
-g/--source-port : Use given port number
--data-length : Append random data to sent packets
--ip-options : Send packets with specified ip options
--ttl : Set IP time-to-live field
--spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address
--badsum: Send packets with a bogus TCP/UDP/SCTP checksum
OUTPUT:
-oN/-oX/-oS/-oG : Output scan in normal, XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.
-oA : Output in the three major formats at once
-v: Increase verbosity level (use -vv or more for greater effect)
-d: Increase debugging level (use -dd or more for greater effect)
--reason: Display the reason a port is in a particular state
--open: Only show open (or possibly open) ports
--packet-trace: Show all packets sent and received
--iflist: Print host interfaces and routes (for debugging)
--log-errors: Log errors/warnings to the normal-format output file
--append-output: Append to rather than clobber specified output files
--resume : Resume an aborted scan
--stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML
--webxml: Reference stylesheet from Nmap.Org for more portable XML
--no-stylesheet: Prevent associating of XSL stylesheet w/XML output
MISC:
-6: Enable IPv6 scanning
-A: Enable OS detection, version detection, script scanning, and traceroute
--datadir : Specify custom Nmap data file location
--send-eth/--send-ip: Send using raw ethernet frames or IP packets
--privileged: Assume that the user is fully privileged
--unprivileged: Assume the user lacks raw socket privileges
-V: Print version number
-h: Print this help summary page.
EXAMPLES:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
SEE THE MAN PAGE (http://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES

posted @ 2020-04-21 13:38 ChanixChen 阅读(699) 评论(0) 收藏举报

刷新页面返回顶部

热爱技术的老IT-Chanix

nmap操作实例

公告