Nmap渗透测试详解（一）

如今，Nmap享有“扫描之王”盛誉。

Nmap诞生于1996年。在这个信息爆炸的互联网时代，Nmap依然保持着充沛的活力以及旺盛的生命力。原因如下：

知名度高：只要是黑客，肯定知道Nmap，否则就不能称为一名黑客。Nmap绝对是著名的网络安全工具。

功能强大：也许Nmap 在不少人眼里是一个网络端口扫描以及远程操作系统、服务鉴别工具。其实除了这些基础功能外，Nmap还具备相对完整的信息收集、数据库渗透、网络渗透测试等功能。Nmap 在强大的脚本支持下几乎可以做到我们想做的任何网络扫描测试

Nmap介绍

Nmap英文全称为“Network Mapper”（网络映射器）。Nmap是一款开放源代码的网络探测和安全审核的工具，它的设计目标不仅可以扫描单个主机，更重要地是可以快速地扫描大型网络。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机，这些主机提供什么服务（应用程序名和版本），服务运行在什么操作系统（包括版本信息），他们使用什么类型的报文过滤器/防火墙，以及一些其他功能。虽然Nmap通常用于安全审核，许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息、管理服务升级计划，以及监视主机和服务的运行。

Nmap的基本功能有3个，一是探测一组主机是否在线，其次是扫描主机端口，嗅探所提供的网络服务，还可以推断主机所用的操作系统。Nmap 可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。Nmap还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的Ping 操作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志里，供进一步分析操作。

Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。Open（开放的）意味着目标机器上的应用程序正在该端口监听连接/报文。Filtered（被过滤的）意味着防火墙，过滤器或者其他网络障碍阻止了该端口被访问，Nmap无法得知它是Open（开放的）还是Closed（关闭的）。Closed（关闭的）端口上面没有应用程序监听，但是它们随时可能开放。

Nmap-Script功能的使用。在Nmap的安装目录的share/nmap/scripts里，已经有多种写好的脚本提供，使用这些脚本可以轻易地发起渗透测试。

Nmap工作原理

Nmap使用TCP/IP协议栈指纹准确地判断目标主机的操作系统类型，Nmap工作原理如下：

测试	描述
T1	发送TCP数据包（Flag=SYN）到开放TCP端口
T2	发送一个空的TCP数据包到开放的TCP端口
T3	发送TCP数据包（Flag=SYN，URG，PSH，FIN）到开放的TCP端口
T4	发送TCP数据包（Flag=ACK）到开放的TCP端口
T5	发送TCP数据包（Flag=SYN）到关闭的TCP端口
T6	发送TCP数据包（Flag=ACK）到开放的TCP端口
T7	发送TCP数据包（Flag=URG，PSH，FIN）到关闭的TCP端口

Nmap对目标主机进行一系列的测试，利用测试结构建立相应目标主机的Nmap指纹，然后Nmap会对指纹进行匹配，最终输出相应的结果。

Nmap语法

Nmap固定语法格式如下：
Nmap 【空格】【选项|多选项|协议】【空格】【目标】
选项与多选项之间也是用空格进行分割的，如果某些选项需要指定某些数据，那么在这些选项与指定的数据之间也需要用空格进行分割。

注意：所有的选项与命令以及选项参数都用空格进行分割的，有时候选项与参数知己可以不用空格分割，如-p80，-p为选项，80为参数。为了让Nmap语法更加严谨，建议严格按照空格进行分割。

Nmap的图形界面工具Zenmap

Nmap不仅有命令行的输入方式，还有图形界面，极大地方便了操作。
Zenmap便是它的图形用户界面，它是一个跨平台的开源应用，不仅方便初学者使用，同时为高级使用者提供了很多高级特性。频繁的扫描能够被存储，激进型重复运行。命令行工具提供了直接与Nmap的交互操作。扫描结果能够被存储以便于时候查阅。存储的扫描可以被比较，以辨别其异同。

Nmap的基本知识点

全面扫描

选项	解释
-A（即All）	全面扫描/综合扫描，一种完整扫描目标信息的扫描方式

Nmap全面扫描的选项为-A，优点：它可以全面扫描指定IP或域名的所有端口及其目标系统信息等。缺点：它需要等待较长的时间。
如：nmap -A 192.168.126.129

扫描指定段

在Nmap里我们可以指定扫描一个C段，这个功能不需要其他额外的选项，只需要使用“-”连接即可
如：nmap 192.168.126.1-200（扫描192.168.126.1到192.168.126.200这个段）

一次简单的扫描

该扫描方式可以针对IP或域名进行扫描，扫描方式迅速，可以很方便地发现目标端口的开放情况以及主机在线情况。
如：nmap 192.168.126.129

Ping扫描

选项	解释
-sP（即scan ping缩写）	Ping扫描

Ping扫描只进行Ping，然后显示出在线的主机。扫描时只需要加入-sP选项就可以很方便地启用Ping扫描，使用该选项时，Nmap仅进行Ping扫描，然后会显出做出相应的主机，使用该选项扫描可以轻易地获取目标信息而不会被轻易发现。在默认情况下，Nmap会发送一个ICMP回声请求和一个TCP报文到目标端口。Ping扫描的优点是不会返回太多的信息造成对结果的分析，并且这是一个很高效的扫描方式。
如：nmap -sP 192.168.126.129/24

无Ping扫描

选项	解释
-P0（0表示无，即无Ping扫描）	无Ping扫描

无Ping扫描通常用于防火墙禁止Ping的情况下，它能确定正在运行的机器。默认情况下，Nmap只对正在运行的主机进行高强度的探测，如端口扫描、版本探测或者操作系统探测用-P0禁止主机发现会让Nmap对每一个指定的目标IP地址进行所要求的扫描，这可以穿透防火墙，也可以避免被防火墙发现。需要注意的是，-P0的第二个字符是数字0而不是字母o。
注意：无Ping扫描可以躲避某些防火墙的防护，可以在目标主机禁止Ping的情况下采用。
格式为：“nmap -P0 【协议1，协议2】【目标】”

协议1	ICMP协议
协议2	IGMP协议
协议6	TCP协议
协议17	UDP协议

如果没有指定任何协议，Nmap会默认使用协议1，协议2进行扫描
如：nmap -P0 192.168.126.129

若想知道这些协议是如何判断目标主机是否存活可以使用 --packet-trace选项
如：nmap -P0 --packet-trace scanme.nmap.org

指定TCP，UDP，IGMP协议向目标主机发送包并判断目标主机是否在线
如：nmap -P0 6,17,2 --packet-trace scanme.nmap.org

TCP SYN Ping扫描

选项	解释
-PS（即Ping SYN缩写）	TCP SYN Ping扫描

TCP协议是面向连接的、可靠的传输层协议，允许发送和接收字节流形式的数据，为了让服务器和客户端以不同的速度产生和消费数据，TCP提供了发送和接收两个缓冲区。TCP提供全双工服务，数据同时能双向流动。通信的每一方都有发送和接收两个缓冲区，可以双向发送数据。TCP在报文里加上一个递进的确认序列号来告诉发送者，接收者期望收到的下一个字节，如果在规定时间内，没有收到关于这个包的确认响应，则重新发送此包，这保证了TCP为一种可靠的传输层协议。

-PS选项发送一个设置了SYN标志位的空TCP报文。默认目的端口为80（可以通过改变nmap.h）文件里的DEFAULT_TCP_PROBE_PORT值进行配置，但不同的端口也可以作为选项指定，甚至可以指定一个以逗号分隔的端口列表（如_PS22,23,25,80,115,3306,3389），在这种情况下，每个端口会并发地扫描。
通常情况下，Nmap默认Ping扫描是采用TCP ACK和ICMP Echo请求对目标进行是否存活的响应，当目标主机的防火墙阻止这些请求时，我们可以采用TCP SYN Ping扫描来进行对目标主机存活的判断。

如：nmap -PS 192.168.126.129

TCP ACK Ping扫描

选项	解释
-PA（即Ping ACK 缩写）	TCP ACK Ping扫描

使用-PA选项可以进行TCP ACK Png扫描，它与TCP SYN Ping扫描是类似的，唯一的区别是设置TCP的标志位是ACK而不是SYN，使用这类方式扫描可以探测组织SYN包或ICMP Echo请求的主机。
很多防火墙会封锁SYN报文，所以Nmap提供了TCP SYN Ping扫描与TCP ACK Ping扫描
两种探测方式，这两种方式可极大地提高通过防火墙的概率，我们还可同时采用-PS与-SA来既发送SYN又发送ACK。在采用TCP ACK Ping扫描时，Nmap会发送一个ACK标志的TCP包给目标主机，若目标主机不是存活状态则不响应请求，若目标主机在线则会返回一个RST包。

进行TCP ACK Ping扫描：
如：nmap -PA 192.168.126.129

同时使用-PS与-PA选项：
如：nmap -PA -PS 192.168.126.129

UDP Ping扫描

选项	解释
-PU （即Ping UDP缩写）	UDP Ping扫描

-PU选项是发送一个空的UDP报文到指定端口。若不指定端口则默认为40125.该默认值可以通过在编译时改变nmap.h文件里的DEFAULT-UDP-PROBE-PORT值进行配置。默认采用这样一个奇怪的端口是因为对于开放端口，很少会使用这样的扫描方式。

采用UDP Ping扫描时Nmap会发送一个空的UDP包到目标主机，若目标主机响应则返回一个ICMP端口不可达错误，若目标主机不是存活状态则会返回不同的ICMP错误信息。

如：nmap -PU 192.168.126.129

ICMP Ping Types扫描

选项	解释
-PE（即ICMP Echo缩写）	向目标发送ICMP Echo数据包
-PP（即ICMP Ping缩写）	ICMP时间戳Ping扫描
-PM（即ICMP Mask缩写）	ICMP地址掩码Ping扫描

使用-PE；-PP；-PM选项可以进行ICMP Ping Types扫描。ICMP（Internet Control Message Protocol）是Internet控制报文协议。它是TCP/IP协议的一个子协议，用于在IP主机、路由器之间传递控制信息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

Nmap发送一个ICMP type8（回声请求）报文到目标IP地址，从运行的主机得到一个type0（回声响应）报文。

-PE选项简单地来说是通过向目标发送ICMP Echo数据包来探测目标主机是否在线，正因为许多主机的防火墙会禁止这些报文，所以仅仅ICMP扫描对于互联网上的目标通常是不够的。但对于系统管理员监视一个内部网络，它们可能是实际有效的途径。使用选项打开该回声请求功能。

-PP选项是ICMP时间戳Ping扫描，虽然大多数的防火墙配置不允许ICMP Echo请求，但由于配置不当可能回复ICMP时间戳请求，所以可以使用ICMP时间戳来确定目标主机是否存活。

-PM选项可以进行ICMP地址掩码Ping扫描。此扫描方式会试图用备选的ICMP等级Ping指定主机，通常有不错的穿透防火墙的效果。

（1）使用ICMP Echo扫描方式
如：nmap -PE 192.168.126.129

（2）使用ICMP时间戳Ping扫描
如：nmap -PP 192.168.126.129

（3）使用ICMP地址掩码Ping 扫描
如：nmap -PM 192.168.126.129

ARP Ping扫描

选项	解释
-PR （即Ping ARP缩写）	ARP Ping扫描

-PR选项通常在扫描局域网时可采用。地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议，其功能是：主机将ARP请求广播到网络上的所有主机，并接收返回消息，确定目标IP地址的物理地址，同时将IP地址和硬件地址存入本机ARP缓存内，下次请求时直接查询ARP缓存。

ARP Ping扫描是Nmap对目标进行一个ARP Ping的过程，尤其在内网的情况下，采用ARP Ping扫描方式是最有效的，在本地局域网内防火墙不会禁止ARP请求，这就导致它比其他Ping扫描都更加高效，在内网里采用ARP Ping是非常有效的。在默认情况下，若Nmap发现目标主机就在它所在的局域网上，会进行ARP扫描。即使指定了不同的Ping类型（如-PI或者-PS），Nmap也会对任何相同局域网上的目标机使用ARP。若不想用ARP 扫描，可以指定–send-ip。

如：nmap -PR 192.168.126.129