02Nmap

## 概述

Nmap（network mapper，网络映射器），一款开放源代码的网络探测和安全审核工具。

**作用**

被设计用来快速扫描大型网络，包括主机探测与发现、开放的端口情况，操作系统与应用服务指纹识别、WAF识别以及常见安全漏洞

**特点**

- 主机探测：探测网络上的主机
- 端口扫描：探测目标主机开放的端口
- 版本检测：探测目标主机的网络服务，判断其服务名称和版本号
- 系统检测：探测目标主机的操作系统及网络设备的硬件特性
- 支持探测脚本的编写

> kali中 脚本存放路径

usr/share/nmap/scripts

.nse---->lua语言

> 参数

**主机探测**

| 参数                        | 说明                                                     |
| --------------------------- | -------------------------------------------------------- |
| iL                          | 从文件中导入目标主机或网段                               |
| iR                          | 随机选择目标主机                                         |
| --exclude                   | 排除                                                     |
| --ecludefile                | 导入的文件不在该扫描范围内                               |
| -v                          | 详细信息                                                 |
| sL                          | 列表扫描，不进行发现，只列举IP                           |
| sn                          | pingscan，只进行主机发现，不进行端口扫描                 |
| Pn                          | 跳过主机发现，探测端口开放情况，默认所有主机处于开启状态 |
| PS/PA/PU/PY                 | 以此使用TCPSYN/ACK/SCTP INIT/ECHO 方式发现主机           |
| PE/PP/PM                    | 使用ICMP中的echo/timestamp/netmask请求包发现主机         |
| PO                          | 使用IP协议包探测对方主机是否开启                         |
| -n                          | 不进行DNS解析                                            |
| -R                          | 总进行DNS解析                                            |
| --dns-servers DNS服务器地址 | 指定DNS服务进行解析                                      |
| --system-dns                | 指定使用系统的DNS服务器                                  |
| --traceroute                | 追踪每个路由节点                                         |

**端口探测**

nmap默认扫描端口为1000

| 参数               | 说明                                                         |
| ------------------ | ------------------------------------------------------------ |
| -sS/sT/sA/sW/sM    | 指定使用tcpsyn/connect/ack/window/maimon scans发现端口       |
| sU                 | 指定UDP扫描方式发现主机及端口                                |
| sN/sF/sX           | 指定TCP null/fin/xmas秘密扫描，协作时对对方的TCP端口状态进行嗅探 |
| sY/sZ              | 使用SCTP init/cookie-echo 扫描开放状态                       |
| -b [tfp host]      | ftp bounce scan                                              |
| -p                 | 扫描指定端口                                                 |
| -F                 | fastmode 快速扫描 【top 100】                                |
| -r                 | 不进行端口随机打乱，排序扫描端口                             |
| --top-ports n      | 指定扫描开放概率最高的number 端口（n 大于 26时，只列出open状态） |
| --port-ratio [0-1] | 概率百分比                                                   |

**版本探测**

| 参数                      | 说明                          |
| ------------------------- | ----------------------------- |
| sV                        | 版本信息嗅探                  |
| --version-intensity [0-9] | 探测版本强度，默认为7         |
| --version-light           | 指定使用轻量级强度进行扫描 =2 |
| --version-all             | 指定最高级强度进行探测=9      |
| --version-trace           | 显示详细的版本探测过程详细    |

**系统探测**

| 参数      | 说明                                                         |
| --------- | ------------------------------------------------------------ |
| -A        | 采用进攻性扫描，发现主机、端口、版本、路由、系统指纹等信息   |
| -O        | 发现主机、端口、系统指纹及版本信息                           |
| -T [时序] | 范围0-5，级别越高，则扫描速度越快，但是越容易被防火墙及IDS屏蔽，一般用 -T4 |

**NES引擎**

> --script=类别或脚本名

参数

| 脚本参数                      | 说明               |
| ----------------------------- | ------------------ |
| args=key1=value1，key2=value2 | 对脚本传参         |
| --script-args-file=filename   | 使用文件对脚本传参 |
| --script-updatedb             | 脚本数据库更新     |
| --script-help=脚本名          | 脚本帮助信息       |

> 脚本名

| 脚本名    | 说明                                                         |
| --------- | ------------------------------------------------------------ |
| auth      | 鉴权分类脚本，可用于嗅探对方的鉴权方式                       |
| broadcast | 开启局域网服务嗅探，DHCP/DNS/SQLServer/......                |
| brute     | 暴力破解                                                     |
| default   | 使用-sC或-A选项时会调用的脚本，提供基础的脚本扫描功能        |
| discovery | 对网络进行更多的信息收集，如SMB枚举、SNMP查询                |
| dos       | 拒绝服务攻击脚本                                             |
| exploit   | 利用已经知道的漏洞进行系统入侵检测                           |
| external  | 利用第三方的数据库或资源，进行信息扩展枚举，如进行whois      |
| fuzzer    | 模糊测试，用于发送异常流量包或数据包到目标机，探测潜在的漏洞 |
| intrusive | 入侵性脚本，可能引发对方的IDS或IPS记录或屏蔽或警觉           |
| malware   | 探测目标主机是否感染了病毒，是否存在常见的后门信息           |
| safe      | 安全类脚本，与intrusive相反                                  |
| version   | 负责增强服务于版本探测扫描能力                               |
| vuln      | 扫描常见的漏洞：nmap具备漏洞扫描的功能，可以检查目标主机或网段是否存在常见的漏洞 |