kali渗透测试日记 - Nmap高级使用

Nmap 常用高级技巧

nmap 192.168.3.53

默认情况下，Nmap 会扫描目标服务器的1000个最有可能开放的 TCP 端口。

nmap -v 192.168.1.63 

参数说明：
-v 表示显示冗余信息，在扫描过程中显示扫描的细节，从而让用户了解当前的扫描状态。

nmap -p 1-65535 192.168.1.63

扫描一个范围的端口

注：生产环境下，我们只需要开启正在提供服务的端口，其他端口都关闭。

思路：用于找出黑客监听的后门端口和木马存放的路径

# 查看端口占用(如22) “list opened files”的缩写
lsof -i :22 
# 比如发现22端口正在运行PID为1089的进程，通过 ps 命令查找对应的进程文件
ps -axu | grep 1089 
#如果没有看到此命令的具体执行路径，说明此（木马）进程可以在 bash 终端下直接执行，通过 which 和 rpm -qf 来查看命令的来源，如下：
which vim
# kill 进程
kill -9 1089
# 如果认识某服务，可以关闭某服务
systemctl stop rpcbind 

扫描一台机器：查看此服务器开放的端口号和操作系统类型。

nmap -sS -O www.target.cn

参数说明：
-O： 显示出操作系统的类型。 每一种操作系统都有一个指纹。
-sS：半开扫描(half-open)
Tcp SYN Scan (sS)
这是一个基本的扫描方式,它被称为半开放扫描，因为这种技术使得Nmap不需要通过完整的握手，就能获得远程主机的信息。Nmap发送SYN包到远程主机，但是它不会产生任何会话.因此不会在目标主机上产生任何日志记录,因为没有形成会话。这个就是SYN扫描的优势.

nmap -sS -O 192.168.3.0/24

扫描一个网段中所有机器是什么类型的操作系统。

nmap -v -p 80 192.168.1.62-67

-v 细节扫描
-p指定端口

更隐藏的去扫描

--randomize_hosts # 随机扫描，对目标主机的顺序随机划分

nmap -v --randomize-hosts -p 80 192.168.1.62-69

--scan-delay #延时扫描，单位秒，调整探针之间的延迟

nmap -v --randomize-hosts --scan-delay 3000ms -p 80 192.168.1.62-69

使用通配符指定IP地址

nmap -v --randomize-hosts --scan-delay 30 -p 80 1.*.2.3-8

延迟30s，80端口，1.1-254.2.3-8

细节+完全扫描+扫描速度可控

nmap -T4 -A -v target.cn

-A 完全扫描，对操作系统和软件版本号进行检测，并对目标进行 traceroute 路由探测，-O 参数
仅识别目标操作系统，并不做软件版本检测和路由探测。
-T4 指定扫描过程使用的时序（Timing），总有 6 个级别（0-5），级别越高，扫描速度越快，但也
容易被防火墙或 IDS 检测并屏蔽掉，在网络通讯状况良好的情况推荐使用 T4。
-v 表示显示冗余（verbosity）信息，在扫描过程中显示扫描的细节，从而让用户了解当前的扫描状
态。

UDP扫描

nmap -sS -sU -T4 -A -v

-sS TCP SYN 扫描
-sU UDP 扫描

TCP所有端口（1-65535），速度较慢

nmap -p 1-65536 -T4 -A -v

连续端口用-
不连续端口用，

非ping扫描 -Pn

nmap -T4 -A -v -Pn

无ping扫描可以躲避某些防火墙的防护，可以在目标主机禁止ping的情况下使用。

ping扫描，速度快，容易被防火墙屏蔽，导致无结果

nmap -sn

快速扫描，仅扫描TOP 100的端口

nmap -T4 -F

快速扫描加强模式

nmap -sV -T4 -O -F --version-light

-sV 探测端口及版本服务信息
--version-light 设定侦测等级为2

路由跟踪

nmap -sn --traceroute

-sn Ping 扫描，关闭端口扫描
-traceroute 显示本机到目标的路由跃点。

常规扫描，1000个端口

nmap target_IP