Nmap 扫描器进阶教程 [ 脚本篇 ]

摘要: 因为今天的重点并非nmap本身的使用,主要还是想借这次机会给大家介绍一些在实战中相对比较实用的nmap脚本,所以关于nmap自身的一些基础选项就不多说了,废话少说,咱们直接开始,实际中我们可以先用下面的语句,大概扫一眼 ...

因为今天的重点并非nmap本身的使用,主要还是想借这次机会给大家介绍一些在实战中相对比较实用的nmap脚本,所以关于nmap自身的一些基础选项就不多说了,废话少说,咱们直接开始,实际中我们可以先用下面的语句,大概扫一眼目标机器或目标C段都跑了什么服务,心里总要先有个谱,之后才好针对性出牌嘛

# nmap -sV -sT -Pn --open -v 192.168.3.23

当然,你也可以用下面的脚本先尝试获取下目标机器更详细的服务banner信息[不过这个并不详细,有时候简单telnet下就直接能看到详细的banner了,用不着nmap],看具体版本的原因是因为有些服务工具漏洞只能利用在特定的版本上,所以,提前知道大概一下还是非常有必要的,废话到此为止,咱们开始真正的内容

# nmap -sT -Pn --open -v banner.nse 192.168.3.230×02 和ftp相关的一些漏洞检测脚本

ftp-anon.nse 检查目标ftp是否允许匿名登录,光能登陆还不够,它还会自动检测目录是否可读写,比如你想快速批量抓一些ftp

# nmap -p 21 --script ftp-anon.nse -v 192.168.3.23

ftp-brute.nse ftp爆破脚本[默认只会尝试一些比较简单的弱口令,时间可能要稍微长一些(挂vpn以后这个速度可能还会更慢),毕竟,是直接在公网爆破]

# nmap -p 21 --script ftp-brute.nse -v 192.168.3.23

ftp-vuln-cve2010-4221.nse ProFTPD 1.3.3c之前的netio.c文件中的pr_netio_telnet_gets函数中存在多个栈溢出

# nmap -p 21 --script ftp-vuln-cve2010-4221.nse -v 192.168.3.23

ftp-proftpd-backdoor.nse ProFTPD 1.3.3c 被人插后门[proftpd-1.3.3c.tar.bz2],缺省只执行id命令,可自行到脚本中它换成能直接弹shell的命令

# nmap -p 21 --script ftp-vuln-cve2010-4221.nse -v 192.168.3.23

ftp-vsftpd-backdoor.nse VSFTPD v2.3.4 跟Proftp同样的问题,被人捅进去以后在代码里面插了后门

# nmap -p 21 --script ftp-vsftpd-backdoor.nse -v 192.168.3.230×03 和ssh 相关的一些扫描脚本

sshv1.nse 大家都知道的,sshv1是可以被中间人的

# nmap -p 22 --script sshv1.nse -v 192.168.3.230×04 和smtp,pop3,imap相关的一些扫描脚本

smtp-brute.nse 简单爆破smtp弱口令,拿这个爆进去的邮箱给人发信也许成功率会稍微高一点

# nmap -p 25 --script smtp-brute.nse -v 192.168.3.23

smtp-enum-users.nse 枚举目标smtp服务器的邮件用户名,前提是目标要存在此错误配置才行,搜集一些必要的信息还是蛮好的

# nmap -p 25 --script smtp-enum-users.nse -v 192.168.3.23

smtp-vuln-cve2010-4344.nse Exim 4.70之前版本中的string.c文件中的string_vformat函数中存在堆溢出

# nmap -p 25 --script smtp-vuln-cve2010-4344.nse -v 192.168.3.23

smtp-vuln-cve2011-1720.nse Postfix 2.5.13之前版本，2.6.10之前的2.6.x版本，2.7.4之前的2.7.x版本和2.8.3之前的2.8.x版本,存在溢出

# nmap -p 25 --script smtp-vuln-cve2011-1720.nse -v 192.168.3.23

smtp-vuln-cve2011-1764.nse Exim dkim_exim_verify_finish() 存在格式字符串漏洞,太老现在基本很难遇到了

# nmap -p 25 --script smtp-vuln-cve2011-1764.nse -v 192.168.3.23

pop3-brute.nse pop简单弱口令爆破

# nmap -p 110 --script pop3-brute.nse -v 192.168.3.23

imap-brute.nse imap简单弱口令爆破

# nmap -p 143,993 --script imap-brute.nse -v 192.168.3.230×05 和dns 相关的一些漏洞扫描脚本

dns-zone-transfer.nse 检查目标ns服务器是否允许传送,如果能,直接把子域拖出来就好了

# nmap -p 53 --script dns-zone-transfer.nse -v 192.168.3.23# nmap -p 53 --script dns-zone-transfer.nse --script-args dns-zone-transfer.domain=target.org -v 192.168.3.23

hostmap-ip2hosts.nse 旁站查询,目测了一下脚本,用的ip2hosts的接口,不过该接口似乎早已停用,如果想继续用,可自行到脚本里把接口部分的代码改掉

# nmap -p80 --script hostmap-ip2hosts.nse 192.168.3.230×06 和各种数据库相关的一些扫描脚本

informix-brute.nse informix爆破脚本

# nmap -p 9088 --script informix-brute.nse 192.168.3.23

mysql-empty-password.nse mysql 扫描root空密码,比如你想批量抓mysql

# nmap -p 3306 --script mysql-empty-password.nse -v 192.168.3.23

mysql-brute.nse mysql root弱口令简单爆破

# nmap -p 3306 --script mysql-brute.nse -v 192.168.3.23

mysql-dump-hashes.nse 导出mysql中所有用户的hash

# nmap -p 3306 --script mysql-dump-hashes --script-args='username=root,password=root' 192.168.3.23

mysql-vuln-cve2012-2122.nse Mysql身份认证漏洞[MariaDB and MySQL 5.1.61,5.2.11, 5.3.5, 5.5.22],利用条件有些苛刻 [需要目标的mysql是自己源码编译安装的,这样的成功率相对较高]

# nmap -p 3306 --script mysql-vuln-cve2012-2122.nse -v 192.168.3.23# nmap -p 445 --script ms-sql-info.nse -v 203.124.11.0/24 ms-sql-info.nse 扫描C段mssql# nmap -p 1433 --script ms-sql-info.nse --script-args mssql.instance-port=1433 -v 192.168.3.0/24