Nmap 使用
0×01 前言
因?yàn)榻裉斓闹攸c(diǎn)并非nmap本身的使用,主要還是想借這次機(jī)會(huì)給大家介紹一些在實(shí)戰(zhàn)中相對(duì)比較實(shí)用的nmap腳本,所以關(guān)于nmap自身的一些基礎(chǔ)選項(xiàng)就不多說了,詳情可參考博客端口滲透相關(guān)文章,廢話少說,咱們直接開始,實(shí)際中我們可以先用下面的語句,大概掃一眼目標(biāo)機(jī)器或目標(biāo)C段都跑了什么服務(wù),心里總要先有個(gè)譜,之后才好針對(duì)性出牌嘛
?
# nmap -sV -sT -Pn --open -v 192.168.3.23當(dāng)然,你也可以用下面的腳本先嘗試獲取下目標(biāo)機(jī)器更詳細(xì)的服務(wù)banner信息[不過這個(gè)并不詳細(xì),有時(shí)候簡單telnet下就直接能看到詳細(xì)的banner了,用不著nmap],看具體版本的原因是因?yàn)橛行┓?wù)工具漏洞只能利用在特定的版本上,所以,提前知道大概一下還是非常有必要的,廢話到此為止,咱們開始真正的內(nèi)容
?
# nmap -sT -Pn --open -v banner.nse 192.168.3.230×02 和ftp相關(guān)的一些漏洞檢測腳本
ftp-anon.nse 檢查目標(biāo)ftp是否允許匿名登錄,光能登陸還不夠,它還會(huì)自動(dòng)檢測目錄是否可讀寫,比如你想快速批量抓一些ftp
?
# nmap -p 21 --script ftp-anon.nse -v 192.168.3.23ftp-brute.nse ftp爆破腳本[默認(rèn)只會(huì)嘗試一些比較簡單的弱口令,時(shí)間可能要稍微長一些(掛vpn以后這個(gè)速度可能還會(huì)更慢),畢竟,是直接在公網(wǎng)爆破]
?
# nmap -p 21 --script ftp-brute.nse -v 192.168.3.23ftp-vuln-cve2010-4221.nse? ? ProFTPD 1.3.3c之前的netio.c文件中的pr_netio_telnet_gets函數(shù)中存在多個(gè)棧溢出
?
# nmap -p 21 --script ftp-vuln-cve2010-4221.nse -v 192.168.3.23ftp-proftpd-backdoor.nse? ? ProFTPD 1.3.3c 被人插后門[proftpd-1.3.3c.tar.bz2],缺省只執(zhí)行id命令,可自行到腳本中它換成能直接彈shell的命令
?
# nmap -p 21 --script ftp-vuln-cve2010-4221.nse -v 192.168.3.23ftp-vsftpd-backdoor.nse? ? VSFTPD v2.3.4 跟Proftp同樣的問題,被人捅進(jìn)去以后在代碼里面插了后門
?
# nmap -p 21 --script ftp-vsftpd-backdoor.nse -v 192.168.3.230×03 和ssh 相關(guān)的一些掃描腳本
sshv1.nse? ? 大家都知道的,sshv1是可以被中間人的
?
# nmap -p 22 --script sshv1.nse -v 192.168.3.230×04 和smtp,pop3,imap相關(guān)的一些掃描腳本
smtp-brute.nse? ?簡單爆破smtp弱口令,拿這個(gè)爆進(jìn)去的郵箱給人發(fā)信也許成功率會(huì)稍微高一點(diǎn)
?
# nmap -p 25 --script smtp-brute.nse -v 192.168.3.23smtp-enum-users.nse? 枚舉目標(biāo)smtp服務(wù)器的郵件用戶名,前提是目標(biāo)要存在此錯(cuò)誤配置才行,搜集一些必要的信息還是蠻好的
?
# nmap -p 25 --script smtp-enum-users.nse -v 192.168.3.23smtp-vuln-cve2010-4344.nse? ? Exim 4.70之前版本中的string.c文件中的string_vformat函數(shù)中存在堆溢出
?
# nmap -p 25 --script smtp-vuln-cve2010-4344.nse -v 192.168.3.23smtp-vuln-cve2011-1720.nse? ? ?Postfix 2.5.13之前版本,2.6.10之前的2.6.x版本,2.7.4之前的2.7.x版本和2.8.3之前的2.8.x版本,存在溢出
?
# nmap -p 25 --script smtp-vuln-cve2011-1720.nse -v 192.168.3.23smtp-vuln-cve2011-1764.nse? ? ?Exim dkim_exim_verify_finish() 存在格式字符串漏洞,太老現(xiàn)在基本很難遇到了
?
# nmap -p 25 --script smtp-vuln-cve2011-1764.nse -v 192.168.3.23pop3-brute.nse? ? pop簡單弱口令爆破
?
# nmap -p 110 --script pop3-brute.nse -v 192.168.3.23imap-brute.nse? ? imap簡單弱口令爆破
?
# nmap -p 143,993 --script imap-brute.nse -v 192.168.3.230×05 和dns 相關(guān)的一些漏洞掃描腳本
dns-zone-transfer.nse 檢查目標(biāo)ns服務(wù)器是否允許傳送,如果能,直接把子域拖出來就好了
?
hostmap-ip2hosts.nse? ?旁站查詢,目測了一下腳本,用的ip2hosts的接口,不過該接口似乎早已停用,如果想繼續(xù)用,可自行到腳本里把接口部分的代碼改掉
?
# nmap -p80 --script hostmap-ip2hosts.nse 192.168.3.230×06 和各種數(shù)據(jù)庫相關(guān)的一些掃描腳本
informix-brute.nse? ?informix爆破腳本
?
# nmap -p 9088 --script informix-brute.nse 192.168.3.23mysql-empty-password.nse? ?mysql 掃描root空密碼,比如你想批量抓mysql
?
# nmap -p 3306 --script mysql-empty-password.nse -v 192.168.3.23mysql-brute.nse? ? mysql root弱口令簡單爆破
?
# nmap -p 3306 --script mysql-brute.nse -v 192.168.3.23mysql-dump-hashes.nse? ? 導(dǎo)出mysql中所有用戶的hash
?
# nmap -p 3306 --script mysql-dump-hashes --script-args='username=root,password=root' 192.168.3.23mysql-vuln-cve2012-2122.nse? ?Mysql身份認(rèn)證漏洞[MariaDB and MySQL? 5.1.61,5.2.11, 5.3.5, 5.5.22],利用條件有些苛刻 [需要目標(biāo)的mysql是自己源碼編譯安裝的,這樣的成功率相對(duì)較高]
?
ms-sql-empty-password.nse 掃描mssql sa空密碼,比如你想批量抓mssql
?
ms-sql-brute.nse? ? sa弱口令爆破
?
ms-sql-xp-cmdshell.nse? ?利用xp_cmdshell,遠(yuǎn)程執(zhí)行系統(tǒng)命令
?
ms-sql-dump-hashes.nse? ? 導(dǎo)出mssql中所有的數(shù)據(jù)庫用戶及密碼hash
?
pgsql-brute.nse? ?嘗試爆破postgresql
?
oracle-brute-stealth.nse? 嘗試爆破oracle
?
oracle-brute.nse
?
mongodb-brute.nse? ?嘗試爆破mongdb
?
redis-brute.nse? ?redis爆破
?
0×07 和snmp相關(guān)的一些掃描腳本,用來搜集些內(nèi)網(wǎng)信息還行,運(yùn)氣好也許還能查到賬號(hào)密碼什么的
snmp-brute.nse? ?爆破C段的snmp?
?
0×08 和telnet相關(guān)的一些掃描腳本
telnet-brute.nse? ?簡單爆破telnet
?
0×09 和ldap服務(wù)相關(guān)的一些利用腳本
ldap-brute.nse? ?簡單爆破ldap
?
# nmap -p 389 --script ldap-brute --script-args ldap.base='cn=users,dc=cqure,dc=net' 192.168.3.0/240×10 和各類web中間件,web集成環(huán)境相關(guān)的一些利用腳本
xmpp-brute.nse? ?xmpp爆破
?
http-iis-short-name-brute.nse? 短文件掃描
?
http-iis-webdav-vuln.nse? iis 5.0 6.0 webadv寫
?
http-shellshock.nse bash遠(yuǎn)程執(zhí)行
?
http-svn-info.nse? ? 探測目標(biāo)svn
?
http-drupal-enum.nse? ? 其實(shí)對(duì)于這類的開源程序,我們根本沒必要用nmap,因?yàn)楦愣嗔?差不多一眼就能看出來
http-wordpress-brute.nse
?
# nmap -p80 -sV --script http-wordpress-brute --script-args 'userdb=users.txt,passdb=passwds.txt,http-wordpress-brute.hostname=domain.com,http-wordpress-brute.threads=3,brute.firstonly=true' 192.168.3.0/24http-backup-finder.nse? ?掃描目標(biāo)網(wǎng)站備份
?
http-vuln-cve2015-1635.nse? ?iis6.0遠(yuǎn)程代碼執(zhí)行
?
# nmap -sV --script http-vuln-cve --script-args uri='anotheruri'? 192.168.3.0/240×11 跟vpn相關(guān)的一些利用腳本
pptp-version.nse? 識(shí)別目標(biāo)pptp版本,暫時(shí)只看到一個(gè)pptp暫時(shí)還好使,其實(shí)pptp也是可以爆破的,嘿嘿……不過,實(shí)際目標(biāo)中,pptp幾乎沒有,openvpn偏多,想直接捅目標(biāo)內(nèi)網(wǎng),這無疑是很不錯(cuò)的入口
?
0×12 smb漏洞檢測腳本集
?
smb-vuln-ms08-067.nse smb-vuln-ms10-054.nse smb-vuln-ms10-061.nse smb-vuln-ms17-010.nse smb遠(yuǎn)程執(zhí)行0×13 檢測內(nèi)網(wǎng)嗅探,實(shí)際測試中,貌似并沒什么卵用,難道是我實(shí)驗(yàn)有誤
?
sniffer-detect.nse0×14 其它的一些輔助性腳本,其實(shí)有些實(shí)際用途可能并不大,大家選擇性的用極好了
?
rsync-brute.nse 爆破目標(biāo)的rsync # nmap -p 873 --script rsync-brute --script-args 'rsync-brute.module=www' 192.168.3.0/24rlogin-brute.nse 爆破目標(biāo)的rlogin vnc-brute.nse 爆破目標(biāo)的vnc pcanywhere-brute.nse 爆破pcanywhere nessus-brute.nse 爆破nessus,貌似現(xiàn)在已經(jīng)不是1241端口了,實(shí)在是太老了,直接忽略吧 nexpose-brute.nse 爆破nexpose shodan-api.nse 配合shodan接口進(jìn)行掃描,如果自己手里有0day,配合著一起用,這個(gè)威力還是不可小覷的,不過在即實(shí)際測的時(shí)候貌似還有些問題 # nmap --script shodan-api --script-args 'shodan-api.target=192.168.3.0/24,shodan-api.apikey=SHODANAPIKEY'
0×15 嘗試?yán)胣map一句話對(duì)目標(biāo)C段進(jìn)行常規(guī)漏洞掃描
實(shí)際測試中,會(huì)非常的慢,可能跑一個(gè)腳本驗(yàn)證時(shí)間都要很長,尤其在你的vps帶寬不是很足,網(wǎng)絡(luò)又不怎么好的時(shí)候,速度就更慢了,所以還是建議先大致掃一眼目標(biāo)服務(wù),然后再單獨(dú)針對(duì)性的掃,這樣實(shí)際的成功率可能會(huì)高很多,畢竟,不是像masscan或者zamp這種基于無狀態(tài)的掃描
?
轉(zhuǎn)載于:https://www.cnblogs.com/hackhyl/p/11366572.html
總結(jié)
