NMAP速查手册

1常用命令

1.1简单示例

使用ping检测10.0.0.0/24这个网段

1nmap -sP 10.0.0.0/24

使用SYN的方法对全端口进行扫描,在aggressive(4)的时间模板下,同时对开放的端口进行端口识别

1nmap -p1-65535 -sV -sS -T4 target

PS: -T代表的是扫描的时候,一些控制选项(TCP的延迟时间,探测报文之间的间隔等)的集合,具体的man nmap一下就知道了使用SYN扫描,在aggressive(4)的时间模板下,探测操作系统的类型和版本,还有显示traceroute的结果,结果输出较为详细

1nmap -v-sS -A -T4 target

使用SYN扫描,在insane(5)的时间模板下,探测操作系统的类型和版本,还有显示traceroute的结果,结果输出较为详细

1nmap -v-sS -A -T5 target

使用SYN扫描,在insane(5)的时间模板下,探测操作系统的类型,还有显示traceroute的结果,操作系统的类型,结果输出较为详细

1nmap -v-sV -O -sS -T5 target

使用SYN的方法对全端口进行扫描,同时对开放的端口进行端口识别,在aggressive(4)的时间模板下,探测操作系统的类型还有显示traceroute的结果,结果输出较为详细

1nmap -v-p 1-65535 -sV -O -sS -T4 target

用SYN的方法对全端口进行扫描,同时对开放的端口进行端口识别,在insane(5)的时间模板下,探测操作系统的类型,还有显示traceroute的结果,结果输出较为详细

1nmap -v-p 1-65535 -sV -O -sS -T5 target

从文件中读取需要扫描的IP列表

1nmap -iL ip-address.txt

1.2Nmap输出格式

扫描的结果输出到屏幕,同时会存储一份到grep-output.txt

1nmap -sV -p 139,445 -oG grep-output.txt 10.0.1.0/24

扫描结果输出为html

1nmap -sS -sV -T5 10.0.1.99 --webxml -oX - | xsltproc --output file.html 1.3Nmap扫描Netbios

在子网中发现开放netbios的IP

1nmap -sV -v-p139,445 10.0.0.1/24

扫描指定netbios的名称

1nmap -sU --script nbstat.nse -p 137 target

扫描指定的目标,同时检测相关漏洞

1nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 target 将nmap的80端口的扫描结果,通过管道交给nikto进行扫描

1NmapNikto Scan nmap -p80 10.0.1.0/24-oG - | nikto.pl -h -

将nmap的80,443端口的扫描结果,通过管道交给nikto进行扫描

1nmap -p80,443 10.0.1.0/24-oG - | nikto.pl -h -1.4Nmap参数详解

Nmap支持主机名,ip,网段的表示方式

例如:blah.highon.coffee, /24, 192.168.0.1;10.0.0-25.1-254

1 2 3 4 -iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段-iRhostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描--exclude host1[, host2] 从扫描任务中需要排除的主机

--exculdefileexclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同

主机发现

1 2 3 4 5 6 7 -sL 仅仅是显示,扫描的IP数目,不会进行任何扫描

-sn ping扫描,即主机发现

-Pn 检测主机存活

-PS/PA/PU/PY[portlist] TCP SYN Ping/TCPACK Ping/UDPPing发现

-PE/PP/PM使用ICMP echo, timestamp and netmask 请求包发现主机-PO[prococol list] 使用IP协议包探测对方主机是否开启

-n/-R不对IP进行域名反向解析/为所有的IP都进行域名的反响解析

扫描技巧

1 2 3 4 5 6 7 8 -sS/sT/sA/sW/sM TCP SYN/TCPconnect()/ACK/TCP窗口扫描/TCPMaimon扫描-sU UDP扫描

-sN/sF/sX TCP Null，FIN，and Xmas扫描

--scanflags 自定义TCP包中的flags

-sI zombie host[:probeport] Idlescan

-sY/sZ SCTP INIT/COOKIE-ECHO扫描

-sO 使用IP protocol 扫描确定目标机支持的协议类型

-b “FTP relay host”使用FTP bounce scan

指定端口和扫描顺序

1 2 3 4 5 6 -p 特定的端口 -p80,443 或者 -p1-65535

-p U:PORT 扫描udp的某个端口, -p U:53

-F 快速扫描模式,比默认的扫描端口还少

-r 不随机扫描端口,默认是随机扫描的

--top-ports "number"扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个

--port-ratio "ratio"扫描指定频率以上的端口

服务版本识别

1 2 3 4 5 -sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测

--version-intensity "level"设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高，服务越有可能被正确识别。默认是7

--version-light 打开轻量级模式,为--version-intensity 2的