安全测试工具（连载7）

3 信息侦探工具

3.1 nmap

nmap（Network Mapper），最早是Linux下的网络扫描和嗅探工具包。它是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。本书介绍的nmap版本为V7.40。

nmap的三大功能。

l探测一组主机是否在线。

l扫描 主机端口，嗅探所提供的网络服务。

l推断主机所用的操作系统。

1. 关键的用法

lnmap -sP 192.168.0.0/24：进行ping扫描，打印出对扫描做出响应的主机，不做进一步测试。

lnmap -sL 192.168.0.0/24：仅列出指定网络上的每台主机，不发送任何报文到目标主机。

lnmap -PS 192.168.0.234：探测目标主机开放的端口，可以指定一个以逗号分隔的端口列表(如-PS 22,23,25,80)。

lnmap -PU 192.168.0.0/24：使用UDP ping探测主机。

lnmap -sS 192.168.0.0/24：使用频率最高的扫描选项，即SYN扫描。又称为半开放扫描，它不打开一个完全的TCP连接，执行速度非常快。

lnmap -sT 192.168.0.0/24：当SYN扫描不能用时，TCP Connect()扫描就是默认的TCP扫描。

lnmap -sU 192.168.0.0/24：UDP扫描用-sU选项，UDP扫描发送空的（没有数据）UDP报头到每个目标端口。

lnmap -sO 192.168.0.19：确定目标机支持哪些IP协议 (比如：TCP、ICMP、IGMP等)。

lnmap -O 192.168.0.19或nmap -A 192.168.0.19：探测目标主机的操作系统。

lnmap -v scanme：扫描主机scanme中所有的保留TCP端口，选项-v启用细节模式。

lnmap -sS -O scanme./24：进行秘密SYN扫描，对象为主机Saznme所在的“C类”网段的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描和操作系统检测，这个扫描需要有根权限。

lnmap -sV -p22,53,110,143,4564 198.116.0-255.1-127：进行主机列举和TCP扫描，对象为B类188.116网段中255个8位子网。这个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口打开，将使用版本检测来确定哪种应用在运行。

lnmap -v -iR 100000 -P0-p 80：随机选择100000台主机扫描是否运行WEB服务器（80端口）。由起始阶段发送探测报文来确定主机是否工作非常浪费时间，而且只需探测主机的一个端口，因此使用-P0禁止对主机列表。

lnmap -P0 -p80 -oXlogs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20：扫描4096个IP地址，查找WEB服务器，将结果以Grep和XML格式保存。

lnmap -pU:53,111,137,T:21-25,80,139,8080：将扫描UDP 端口53，111和137，同时扫描列出的TCP端口。

3为nmap的扫描参数。

3 nmap的扫描参数

案例6：扫描指定IP开放的窗口

C:\Program Files (x86)\Nmap>nmap -p 1-65535 -v-sS localhost

Starting Nmap 7.40 ( https://nmap.org ) at2019-02-20 17:16 ?D1ú±ê×?ê±??

Initiating Parallel DNS resolution of 1 host. at 17:16

Completed Parallel DNS resolution of 1 host. at17:16, 0.32s elapsed

Initiating SYN Stealth Scan at 17:16

Scanning localhost (127.0.0.1) [65535 ports]

Discovered open port 445/tcp on 127.0.0.1

Discovered open port 8080/tcp on 127.0.0.1

Discovered open port 443/tcp on 127.0.0.1

Discovered open port 80/tcp on 127.0.0.1

Discovered open port 135/tcp on 127.0.0.1

Discovered open port 5526/tcp on 127.0.0.1

Discovered open port 1538/tcp on 127.0.0.1

…

Discovered open port 8890/tcp on 127.0.0.1

Discovered open port 1536/tcp on 127.0.0.1

Discovered open port 8005/tcp on 127.0.0.1

Discovered open port 5521/tcp on 127.0.0.1

案例7：扫描网段存活主机

C:\Program Files (x86)\Nmap>nmap -sPwww.3testing.com/24

Starting Nmap 7.40 ( https://nmap.org ) at2019-02-20 17:18 ?D1ú±ê×?ê±??

Nmap scan report for 123.56.135.1

Host is up (0.069s latency).

Nmap scan report for 123.56.135.2

Host is up (0.058s latency).

Nmap scan report for 123.56.135.3

Host is up (0.053s latency).

Nmap scan report for 123.56.135.5

Host is up (0.031s latency).

Nmap scan report for 123.56.135.8

Host is up (0.037s latency).

Nmap scan report for 123.56.135.9

Host is up (0.037s latency).

Nmap scan report for 123.56.135.11

Host is up (0.045s latency).

…

Nmap done: 256 IP addresses (141 hosts up) scannedin 25.12 seconds

案例8：指定端口扫描

C:\Program Files (x86)\Nmap>nmap -p 80,443www.3testing.com

Starting Nmap 7.40 ( https://nmap.org ) at2019-02-20 17:23 ?D1ú±ê×?ê±??

Nmap scan report for www.3testing.com(123.56.135.186)

Host is up (0.037s latency).

PORT STATE SERVICE

80/tcp open http

443/tcp open https

Nmap done: 1 IP address (1 host up) scanned in9.34 seconds

案例9：侦探主机操作系统

C:\Program Files (x86)\Nmap> nmap -Owww.3testing.com

Starting Nmap 7.40 ( https://nmap.org ) at2019-02-20 17:25 ?D1ú±ê×?ê±??

Nmap scan report for www.3testing.com(123.56.135.186)

Host is up (0.037s latency).

Not shown: 995 filtered ports

PORT STATE SERVICE

21/tcp open ftp

80/tcp open http

443/tcp open https

1433/tcp closed ms-sql-s

3306/tcp closed mysql

Device type: general purpose|storage-misc|broadbandrouter|router|media device|WAP

Running (JUST GUESSING): Linux 2.6.X|3.X (94%), HPembedded (91%), MikroTik RouterOS 6.X (90%), Infomir embedded (90%), Ubiquitiembedded (90%), Ubiquiti AirOS 5.X (90%)

OS CPE: cpe:/o:linux:linux_kernel:2.6.32cpe:/o:linux:linux_kernel:3 cpe:/h:hp:p2000_g3 cpe:/o:mikrotik:routeros:6.32.1cpe:/o:linux:linux_kernel:2.6 cpe:/h:infomir:mag-250cpe:/h:ubnt:airmax_nanostation cpe:/o:ubnt:airos:5.5.9

Aggressive OS guesses: Linux 2.6.32 (94%), Linux2.6.32 - 3.13 (94%), Linux 2.6.32 - 3.1 (93%), Linux 2.6.32 - 2.6.39 (92%),Linux 2.6.39 (92%), Linux 3.2 (92%), Linux 3.10 (92%), HP P2000 G3 NAS device(91%), OpenWrt 12.09-rc1 Attitude Adjustment (Linux 3.3 - 3.7) (91%), Linux 3.5(91%)

No exact OS matches for host (test conditionsnon-ideal).

OS detection performed. Please report anyincorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in21.57 seconds

案例10：全面侦探

C:\Program Files (x86)\Nmap>C:\Users\Jerry>nmap -v -A www.3testing.com

Starting Nmap 7.40 ( https://nmap.org ) at2019-02-20 17:28 ?D1ú±ê×?ê±??

NSE: Loaded 143 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 17:28

…

NSE: Script Post-scanning.

Initiating NSE at 17:29

Completed NSE at 17:29, 0.00s elapsed

Initiating NSE at 17:29

Completed NSE at 17:29, 0.00s elapsed

Read data files from: C:\Program Files (x86)\Nmap

OS and Service detection performed. Please reportany incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in74.85 seconds

Raw packets sent: 2094 (95.572KB) | Rcvd: 82 (4.536KB)

2. 使用脚本进行扫描

%nmap%\scripts为一些实现与存储的扫描脚本，以use结尾，可以通过--script=脚本名调用。

案例11：扫描WEB中敏感目录

C:\Program Files (x86)\Nmap\scripts>nmap -p 80--script=http-enum.nse 192.168.0.133

案例12：通过脚本http-sql-injection.nse扫描

C:\Program Files (x86)\Nmap\scripts>nmap -p 80--script=http-sql-injection.nse 192.168.0.133

案例13：使用所有脚本进行扫描（非常耗时）

C:\Program Files (x86)\Nmap\scripts> nmap--script all 192.168.0.133

案例14：使用通配符扫描

C:\Program Files (x86)\Nmap\scripts> nmap --script "http-*" 192.168.0.133

星云测试

http://www.teststars.cc

奇林软件

http://www.kylinpet.com

联合通测

http://www.quicktesting.net