NMAP 是一个极其强大的网络扫描、监视和漏洞管理工具。

NMAP 命令的典型格式如下。

nmap -function --script=脚本名称 <目标>
目标可以是主机 (192.168.0.1) 或网络 (192.168.0.0/24)

典型开放端口（服务）扫描
nmap -sV <目标>
nmap -sV <网络/子网> （示例 <192.168.0.0/24）

让我们开始吧！

SSL NMAP 命令

枚举服务器/设备上启用的 SSL 密码以查看 SSL2、SSL3 或 TLS1.0 是否仍然启用

nmap -sV --script ssl-enum-ciphers -p 443 <目标>

检测服务器是否容易受到 OpenSSL Heartbleed 漏洞的攻击

nmap -p 443 --script ssl-heartbleed <目标>

SSL/TLS 服务的弱临时 Diffie-Hellman 参数检测。

nmap --script ssl-dh-params <目标>

检索服务器的 SSL 证书

nmap <目标> --script=ssl-cert

检测服务器是否容易受到 SSL/TLS“CCS 注入”漏洞的影响

nmap <目标> --脚本 ssl-ccs-注入

检测服务器是否容易受到 F5 Ticketbleed 错误 (CVE-2016-9244) 的影响。

nmap <目标> --script tls-ticketbleed

使用下一个协议协商扩展枚举 TLS 服务器支持的协议。

nmap --script=tls-nextprotoneg <目标>

使用 ALPN 协议枚举 TLS 服务器支持的应用层协议。

nmap --script=tls-alpn <目标>

SSH NMAP 命令

返回 SSH 服务器支持的身份验证方法。

nmap -p 22 --script ssh-auth-methods <目标>

报告目标 SSH2 服务器提供的算法数量（用于加密、压缩等）。
如果设置了详细程度，则提供的算法将按类型列出。

nmap -p 22 --script ssh2-enum-algos <目标>
SNMP NMAP 命令

尝试通过强力猜测来查找 SNMP 团体字符串。
用于暴力破解 SNMP 社区字符串的默认单词列表是 nselib/data/snmpcommunities.lst。如果此单词列表不存在，脚本将回退到 nselib/data/passwords.lst

nmap -sU -p 161 --script=snmp-brute <目标>
SMB NMAP 命令
检查服务器上的 SMB 版本以查看 SMB1 是否仍处于启用状态。

nmap -p445 --script smb-protocols <目标>
nmap -p139 --script smb-protocols <目标>
nmap --script smb-security-mode.nse -p445 <目标>

扫描 SMB 漏洞

nmap -p445 --script=smb-vuln-ms17-010 <目标>
nmap -p445 --script=smb-vuln-ms10-061 <目标>
nmap -p445 --script=smb-vuln-ms10-054 <目标>
nmap -p445 --script=smb-vuln-ms08-067 <目标>
nmap -p445 --script=smb-vuln-ms07-029 <目标>
nmap -p445 --script=smb-vuln-ms06-025 <目标>
nmap -p445 --script=smb-vuln-cve-2017-7494 <目标>
nmap -p445 --script=smb-vuln-cve2009-3103 <目标>
nmap -p445 --script=smb-vuln-conficker <目标>
nmap -p445 --script=smb-vuln-webexec <目标>
nmap -p445 --script=smb-webexec-exploit <目标>
nmap -p445 --script=smb-vuln-regsvc-dos <目标>
nmap -p445 --script=smb2-vuln-uptime <目标>

RDP NMAP 命令

检查 RDP 加密和漏洞

nmap -p 3389 --script rdp-enum-加密 <目标>
nmap -sV --script=rdp-vuln-ms12-020 -p 3389 <目标>
FTP NMAP 命令
nmap --script=ftp-vuln-cve2010-4221 <目标>

HTTP NMAP 命令
枚举流行的 Web 应用程序和服务器使用的目录。

nmap -sV --script=http-enum <目标>

对Web 服务器的根文件夹（“/”）执行 HEAD 请求并显示返回的 HTTP 标头。

nmap -sV --script=http-headers <目标>

各种HTTP漏洞扫描

nmap --script http-iis-webdav-vuln -p80,8080 <目标>
nmap -sV --script http-vuln-wnr1000-creds <目标> -p80
nmap <目标> -p 7547 --script=http-vuln-misfortune-cookie
nmap --script http-vuln-cve2017-8917 -p 80 <目标>
nmap -p 16992 --script http-vuln-cve2017-5689 <目标>
nmap -p <端口> --script http-vuln-cve2017-5638 <目标>
nmap --script http-vuln-cve2017-1001000 <目标>
nmap -p80 --script http-vuln-cve2015-1635.nse <目标>
nmap --script=http-vuln-cve2015-1427 --script-args 命令= ‘ls’ <目标>

SMTP NMAP 命令
扫描各种 SMTP 漏洞

nmap --script=smtp-vuln-cve2011-1764 -pT:25,465,587 <主机>
nmap --script=smtp-vuln-cve2011-1720 --script-args=‘smtp.domain=<域>’ -pT:25,465,587 <主机>
nmap --script=smtp-vuln-cve2010-4344 --script-args=“smtp-vuln-cve2010-4344.exploit” -pT:25,465,587 <主机>

MSSQL NMAP 命令
MSSQL 实例发现- 需要 SQL Server 浏览器服务才能运行

nmap --script 广播-ms-sql-discover

MYSQL NMAP 命令
MySQL漏洞扫描

nmap -p3306 --script mysql-vuln-cve2012-2122 <目标>

VNC NMAP 命令
nmap -sV -sC <目标>
nmap -sV --script=vnc-title <目标>
nmap --script vnc-brute -p 5900 <主机>

其他有用的 NMAP 命令
检测目标操作系统

nmap -O <目标>

发现 DHCP 服务器

nmap --script=广播-dhcp-发现
检查本地以太网上的目标的网卡是否处于混杂模式。

nmap -sV --script=sniffer-Detect <目标>
谁是

nmap --script whois-domain.nse <域>

异常端口检测
将端口上检测到的服务与该端口号的预期服务（例如，22 上的 ssh、80 上的 http）进行比较，并报告偏差。该脚本要求运行版本扫描，以便能够发现每个端口上实际运行的服务。

nmap --script 异常端口

检查目标是否是已知的 Tor 节点。

nmap --script=tor-consensus-checker <主机>

TELNET NMAP 命令
此脚本枚举来自启用了 NTLM 身份验证的远程 Microsoft Telnet 服务的信息。

nmap -p 23 --script telnet-ntlm-info <目标>

确定远程 telnet 服务器是否支持加密选项。

nmap -p 23 --脚本 telnet 加密

一般漏洞扫描
从 https://github.com/vulnersCom/nmap-vulners 下载 .nse 文件并将其放在 nmap\scripts 目录中

nmap -Pn -sV --script=漏洞 <目标>
nmap -Pn -sV -p80 --script=漏洞 <目标>
*GitHub 页面上有两个示例

检测主机是否感染 Stuxnet 蠕虫

nmap --script Stuxnet-Detect -p 445 <主机>

STUN NMAP 命令

向服务器发送绑定请求，并尝试从响应中提取版本信息（如果服务器属性存在）。

nmap -sU -sV -p 3478 <目标>

使用 STUN 协议检索 NAT:ed 主机的外部 IP 地址。

nmap -sV -PN -sU -p 3478 --script stun-info

RCP NMAP 命令

连接到端口映射器并获取所有已注册程序的列表。然后它打印出一个表，其中包括（对于每个程序）RPC 程序号、支持的版本号、端口号和协议以及程序名称。

nmap -sV --script rpcinfo <目标>

在启用 API RouterOS 接口的情况下对 Mikrotik RouterOS 设备执行强力密码审核

nmap -p8728 --script mikrotik-routeros-brute <目标>

LDAP NMAP 命令

尝试执行 LDAP 搜索并返回所有匹配项。
如果没有向脚本提供用户名和密码，则会查询 Nmap 注册表。如果已选择 ldap-brute 脚本并找到有效帐户，则将使用该帐户。如果不是匿名绑定将用作最后一次尝试。

nmap -p 389 --script ldap-search --script-args ‘ldap.username=“cn=ldaptest,cn=users,dc=cqure,dc=net”,ldap.password=ldaptest,ldap.qfilter=users, ldap.attrib=sAMAccountName’ <主机>

nmap -p 389 --script ldap-search --script-args ‘ldap.username=“cn=ldaptest,cn=users,dc=cqure,dc=net”,ldap.password=ldaptest,ldap.qfilter=custom, ldap.searchattrib=“operatingSystem”,ldap.searchvalue=“Windows Server”,ldap.attrib=operatingSystem,whencreated,OperatingSystemServicePack}’ <主机>=

ISCSI NMAP 命令
收集并显示来自远程 iSCSI 目标的信息。

nmap -sV -sC <目标>

地理位置 NMAP 命令
尝试使用 Geoplugin 地理定位 Web 服务 (http://www.geoplugin.com/) 识别 IP 地址的物理位置。使用此服务的查找没有限制。

nmap --script ip-geolocation-geoplugin 8.8.8.8

防火墙绕过 NMAP 命令

检测 netfilter 和其他防火墙中的漏洞，这些防火墙使用帮助程序动态打开 ftp 和 sip 等协议的端口。

nmap --script 防火墙绕过 <目标>
nmap --scriptfirewall-bypass --script-argsfirewall-bypass.helper=“ftp”,firewall-bypass.targetport=22 <目标>

SONICWALL / UBIQUITY 设备 NMAP 命令

SonicWALL -仅当 SonicWALL 位于同一子网上时才可以工作

nmap -e eth0 --脚本广播-sonicwall-discover
无处不在

nmap -sU -p 10001 --script ubiquiti-discovery <目标/子网>

DROPBOX NMAP 命令

监听 Dropbox.com 客户端每 20 秒广播一次的 LAN 同步信息广播

nmap --script=广播-dropbox-监听器

检查您的脚本目录以获取更多发现、漏洞和暴力脚本，看看是否还有其他脚本可以帮助您识别漏洞