Nmap Summary (ESP)

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Websec | Uw Cybersecurity Specialist

nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24

Parameters

IPs to scan

<ip>,<net/mask>: Onyesha ips moja kwa moja
-iL <ips_file>: orodha_IPs
-iR <number>: Idadi ya Ips za nasibu, unaweza kuondoa Ips zinazowezekana kwa --exclude <Ips> au --excludefile <file>.

Equipment discovery

Kwa kawaida Nmap huanzisha awamu ya kugundua ambayo inajumuisha: -PA80 -PS443 -PE -PP

-sL: Si ya uvamizi, inataja malengo kwa kufanya DNS maombi ili kutatua majina. Ni muhimu kujua kama kwa mfano www.prueba.es/24 zote Ips ni malengo yetu.
-Pn: Hakuna ping. Hii ni muhimu ikiwa unajua kwamba zote ziko hai (ikiwa sivyo, unaweza kupoteza muda mwingi, lakini chaguo hili pia linaweza kutoa majibu yasiyo sahihi yakisema kwamba haziko hai), inazuia awamu ya kugundua.
-sn : Hakuna skana ya bandari. Baada ya kukamilisha awamu ya upelelezi, haichambui bandari. Ni ya siri kiasi, na inaruhusu uchambuzi mdogo wa mtandao. Ikiwa ina mamlaka inatuma ACK (-PA) kwa 80, SYN(-PS) kwa 443 na ombi la echo na ombi la Timestamp, bila mamlaka inakamilisha kila wakati mawasiliano. Ikiwa lengo ni mtandao, inatumia tu ARP(-PR). Ikiwa inatumika na chaguo lingine, ni pakiti za chaguo lingine pekee ndizo zinazoachwa.
-PR: Ping ARP. Inatumika kwa kawaida wakati wa kuchambua kompyuta katika mtandao wetu, ni haraka zaidi kuliko kutumia pings. Ikiwa hutaki kutumia pakiti za ARP tumia --send-ip.
-PS <ports>: Inatuma pakiti za SYN ambazo ikiwa inajibu SYN/ACK ni wazi (ambayo inajibu kwa RST ili isimalize mawasiliano), ikiwa inajibu RST imefungwa na ikiwa haijajibu haiwezi kufikiwa. Katika hali ya kutokuwa na mamlaka, mawasiliano kamili yanatumika kiotomatiki. Ikiwa hakuna bandari zinazotolewa, inatupa kwa 80.
-PA <ports>: Kama ile ya awali lakini na ACK, kuunganisha zote mbili hutoa matokeo bora.
-PU <ports>: Lengo ni kinyume, zinatumwa kwa bandari ambazo zinatarajiwa kuwa zimefungwa. Firewall zingine zinakagua tu mawasiliano ya TCP. Ikiwa imefungwa inajibiwa kwa bandari isiyoweza kufikiwa, ikiwa inajibiwa kwa ICMP nyingine au haijajibiwa inachukuliwa kuwa haiwezi kufikiwa.
-PE, -PP, -PM : ICMP PINGS: echo replay, timestamp na addresmask. Zinazinduliwa ili kujua ikiwa lengo linafanya kazi.
-PY<ports>: Inatuma SCTP INIT probes kwa 80 kwa kawaida, INIT-ACK(open) au ABORT(closed) au hakuna chochote au ICMP unreachable(inactive) inaweza kujibiwa.
-PO <protocols>: Protokali inaonyeshwa katika vichwa, kwa kawaida 1(ICMP), 2(IGMP) na 4(Encap IP). Kwa ICMP, IGMP, TCP (6) na UDP (17) protokali vichwa vinatumwa, kwa wengine ni vichwa vya IP pekee vinatumwa. Lengo la hili ni kwamba kutokana na uharibifu wa vichwa, Protokali isiyoweza kufikiwa au majibu ya protokali hiyo hiyo yanajibiwa ili kujua ikiwa inafanya kazi.
-n: Hakuna DNS
-R: DNS kila wakati

Port scanning techniques

-sS: Haikamilishi mawasiliano hivyo haina alama, nzuri sana ikiwa inaweza kutumika.(mamlaka) Hii ndiyo inayotumiwa kwa kawaida.
-sT: Inakamilisha mawasiliano, hivyo inacha alama, lakini inaweza kutumika kwa uhakika. Kwa kawaida bila mamlaka.
-sU: Polepole, kwa UDP. Kimsingi: DNS(53), SNMP(161,162), DHCP(67 na 68), (-sU53,161,162,67,68): wazi(jibu), imefungwa(bandari isiyoweza kufikiwa), imechujwa (ICMP nyingine), wazi/imechujwa (hakuna chochote). Katika hali ya wazi/imechujwa, -sV inatuma maombi mengi kugundua toleo lolote ambalo nmap inasaidia na inaweza kugundua hali halisi. Inachukua muda mwingi.
-sY: Protokali ya SCTP inashindwa kuanzisha mawasiliano, hivyo hakuna kumbukumbu, inafanya kazi kama -PY
-sN,-sX,-sF: Null, Fin, Xmas, zinaweza kupenya baadhi ya firewalls na kutoa habari. Zinategemea ukweli kwamba mashine zinazokubaliana na viwango zinapaswa kujibu kwa RST maombi yote ambayo hayana SYN, RST au ACK zilizoinuliwa: wazi/imechujwa(hakuna chochote), imefungwa(RST), imechujwa (ICMP isiyoweza kufikiwa). Haziaminiki kwenye Windows, Cisco, BSDI na OS/400. Kwenye unix ndiyo.
-sM: Maimon scan: Inatuma bendera za FIN na ACK, inatumika kwa BSD, kwa sasa itarudisha zote kama zimefungwa.
-sA, sW: ACK na Window, inatumika kugundua firewalls, kujua ikiwa bandari zimechujwa au la. -sW inatofautisha kati ya wazi/imefungwa kwani zile wazi zinajibu kwa thamani tofauti ya dirisha: wazi (RST na dirisha tofauti na 0), imefungwa (RST dirisha = 0), imechujwa (ICMP isiyoweza kufikiwa au hakuna chochote). Si kompyuta zote zinafanya kazi hivi, hivyo ikiwa zote zimefungwa, haifanyi kazi, ikiwa ni chache wazi, inafanya kazi vizuri, na ikiwa ni nyingi wazi na chache zimefungwa, inafanya kazi kinyume.
-sI: Idle scan. Kwa kesi ambazo kuna firewall hai lakini tunajua kwamba haichujwi kwa Ip fulani (au wakati tunataka tu kuwa na siri) tunaweza kutumia skana ya zombie (inatumika kwa bandari zote), kutafuta zombies zinazowezekana tunaweza kutumia scrpit ipidseq au exploit auxiliary/scanner/ip/ipidseq. Skana hii inategemea nambari ya IPID ya pakiti za IP.
--badsum: Inatuma jumla mbaya, kompyuta zingeweza kupuuza pakiti, lakini firewalls zinaweza kujibu kitu, inatumika kugundua firewalls.
-sZ: Skana ya SCTP "ya ajabu", wakati inatuma probes na vipande vya cookie echo vinapaswa kuachwa ikiwa wazi au kujibiwa kwa ABORT ikiwa imefungwa. Inaweza kupita firewalls ambazo init haiwezi kupita, jambo baya ni kwamba haiwezi kutofautisha kati ya imechujwa na wazi.
-sO: Protokali ya Ip scan. Inatuma vichwa vibaya na tupu ambapo wakati mwingine hata protokali haiwezi kutofautishwa. Ikiwa protokali isiyoweza kufikiwa ya ICMP inakuja imefungwa, ikiwa bandari isiyoweza kufikiwa inakuja ni wazi, ikiwa kosa lingine linakuja, imechujwa, ikiwa hakuna chochote kinakuja, wazi|imechujwa.
-b <server>: FTPhost--> Inatumika kuchambua mwenyeji kutoka kwa mwingine, hii inafanywa kwa kuunganisha ftp ya mashine nyingine na kuomba itume faili kwa bandari unazotaka kuchambua kutoka kwa mashine nyingine, kulingana na majibu tutajua ikiwa zimefungwa au la. [<user>:<password>@]<server>[:<port>] Karibu kila seva za ftps hazikuruhusu kufanya hivi tena na kwa hivyo ni ya matumizi madogo.

Centrar análisis

-p: Inatumika kutoa bandari za kuchambua. Ili kuchagua 65335: -p- au -p all. Nmap ina uainishaji wa ndani kulingana na umaarufu wake. Kwa kawaida inatumia 1000 kuu. Kwa -F (uchambuzi wa haraka) inachambua 100 kuu. Kwa --top-ports <nambari> Inachambua nambari hiyo ya kuu (kuanzia 1 hadi 65335). Inakagua bandari kwa mpangilio wa nasibu, ili hiyo isifanyike -r. Pia tunaweza kuchagua bandari: 20-30,80,443,1024- Hii ya mwisho inamaanisha kwamba inatazama mbele ya 1024. Tunaweza pia kuunganisha bandari kwa protokali: U:53,T:21-25,80,139,S:9. Tunaweza pia kuchagua anuwai ndani ya bandari maarufu za nmap: -p [-1024] inachambua hadi 1024 zilizojumuishwa katika nmap-services. --port-ratio <ratio> Inachambua bandari maarufu zaidi kuliko uwiano ambao unapaswa kuwa kati ya 0 na 1

-sV Uchambuzi wa toleo, unaweza kudhibiti nguvu kutoka 0 hadi 9, kwa kawaida 7.

--version-intensity <nambari> Tunadhibiti nguvu, kwa njia kwamba kadri inavyokuwa ya chini itatuma tu probes zinazowezekana zaidi, lakini si zote. Kwa hili tunaweza kupunguza kwa kiasi kikubwa muda wa uchambuzi wa UDP

-O Kugundua os

--osscan-limit Ili kuchambua vizuri mwenyeji inahitaji kuwa na angalau bandari 1 wazi na nyingine imefungwa, ikiwa hali hii haipo na tumeweka hii, haijaribu kufanya utabiri wa os (inaokoa muda)

--osscan-guess Wakati kugundua os si sahihi kabisa hii inafanya jitihada zaidi

Scripts

--script <filename>|<category>|<directory>|<expression>[,...]

Ili kutumia zile za kawaida inatosha na -sC au --script=default

Aina zilizopo ni: auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, na vuln

Auth: inatekeleza zote scripts zinazopatikana kwa uthibitisho
Default: inatekeleza scripts za msingi za chombo
Discovery: inapata habari kutoka kwa target au mwathirika
External: script ya kutumia rasilimali za nje
Intrusive: inatumia scripts ambazo zinachukuliwa kuwa za uvamizi kwa mwathirika au target
Malware: inakagua ikiwa kuna mawasiliano wazi kutokana na msimbo mbaya au backdoors (milango ya nyuma)
Safe: inatekeleza scripts ambazo si za uvamizi
Vuln: inagundua udhaifu maarufu zaidi
All: inatekeleza kabisa zote scripts zenye kiendelezi cha NSE zinazopatikana

Ili kutafuta scripts:

nmap --script-help="http-*" -> Zile zinazohusisha http-

nmap --script-help="not intrusive" -> Zote isipokuwa hizo

nmap --script-help="default or safe" -> Zile zilizo katika moja au nyingine au zote mbili

nmap --script-help="default and safe" --> Zile zilizo katika zote mbili

nmap --script-help="(default or safe or intrusive) and not http-*"

--script-args <n1>=<v1>,<n2>={<n3>=<v3>},<n4>={<v4>,<v5>}

--script-args-file <filename>

--script-help <filename>|<category>|<directory>|<expression>|all[,...]

--script-trace ---> Inatoa habari kuhusu jinsi script inavyofanya kazi

--script-updatedb

Ili kutumia script inatosha kuweka: namp --script Jina_la_script lengo --> Kwa kuweka script itatekeleza script na skana, hivyo pia zinaweza kuwekwa chaguo za skana, tunaweza kuongeza “safe=1” ili zitekeleze tu zile ambazo ni salama.

Control tiempo

Nmap inaweza kubadilisha muda kwa sekunde, dakika, ms: --host-timeout arguments 900000ms, 900, 900s, na 15m zote hufanya kazi sawa.

Nmap inagawanya idadi ya jumla ya mwenyeji wa kuchambua katika vikundi na inachambua vikundi hivyo katika vizuizi ili hadi vikundi vyote vichambuliwe, havipiti kwenye kizuizi kinachofuata (na mtumiaji pia hapati sasisho yoyote hadi kizuizi kimalizike) kwa njia hii, ni bora kwa nmap kutumia vikundi vikubwa. Kwa kawaida katika darasa C inatumia 256.

Inaweza kubadilishwa kwa --min-hostgroup <numhosts>; --max-hostgroup <numhosts> (Badilisha saizi za vikundi vya uchambuzi wa sambamba)

Inaweza kudhibiti idadi ya skana katika sambamba lakini ni bora kutofanya hivyo (nmap tayari ina udhibiti wa kiotomatiki kulingana na hali ya mtandao): --min-parallelism <numprobes>; --max-parallelism <numprobes>

Tunaweza kubadilisha rtt timeout, lakini kawaida si lazima: --min-rtt-timeout <time>, --max-rtt-timeout <time>, --initial-rtt-timeout <time>

Tunaweza kubadilisha idadi ya majaribio:--max-retries <numtries>

Tunaweza kubadilisha muda wa uchambuzi wa mwenyeji:--host-timeout <time>

Tunaweza kubadilisha muda kati ya kila jaribio ili iwe polepole:--scan-delay <time>; --max-scan-delay <time>

Tunaweza kubadilisha idadi ya pakiti kwa sekunde:--min-rate <number>; --max-rate <number>

Bandari nyingi zinachukua muda mrefu kujibu kwa sababu zimechujwa au zimefungwa, ikiwa tunavutiwa tu na zile wazi, tunaweza kwenda haraka zaidi kwa:--defeat-rst-ratelimit

-T (0-1)

-T0 --> Inachambua bandari 1 tu kwa wakati na inangoja dakika 5 hadi ifuate

-T1 na T2 --> Ni sawa sana lakini zinangoja sekunde 15 na 0.4 mtawalia kati ya kila jaribio

-T3 --> Utendaji wa kawaida, inajumuisha kwa sambamba

-T4 --> --max-rtt-timeout 1250ms --min-rtt-timeout 100ms --initial-rtt-timeout 500ms --max-retries 6 --max-scan-delay 10ms

-T5 --> --max-rtt-timeout 300ms --min-rtt-timeout 50ms --initial-rtt-timeout 250ms --max-retries 2 --host-timeout 15m --max-scan-delay 5ms

Firewall/IDS

Haziruhusu kupita kwa bandari na kuchambua pakiti.

-f Ili kugawanya pakiti, kwa kawaida inazigawanya katika 8bytes baada ya kichwa, ili kubainisha saizi hiyo tunatumia ..mtu (na hii, usitumie -f), offset inapaswa kuwa kipande cha 8. Skana za toleo na scripts hazikubali kugawanywa

-D decoy1,decoy2,ME Nmap inatuma skana lakini kwa anwani nyingine za IP kama chanzo, kwa njia hii inakuficha wewe. Ikiwa unaweka ME kwenye orodha, nmap itakueka hapo, ni bora kuweka 5 au 6 kabla yako ili ikufiche kabisa. Inaweza kuunda iPs za nasibu na RND:<nambari> Ili kuunda <nambari> za Ips za nasibu. Hazifanyi kazi na mchapishaji wa toleo bila muunganisho wa TCP. Ikiwa uko ndani ya mtandao, unapaswa kutumia Ips ambazo ziko hai, kwani vinginevyo itakuwa rahisi sana kugundua kuwa wewe ndiye pekee aliye hai.

Ili kutumia Ips za nasibu: nmap-D RND: 10 Ip_lengo

-S IP Kwa wakati Nmap haiwezi kupata anwani yako ya Ip unapaswa kuipa kwa hiyo. Pia inatumika kufanya kufikiri kwamba kuna lengo lingine likichambuliwa.

-e <interface> Ili kuchagua kiunganishi

Wengi wa wasimamizi wanaacha bandari za kuingia wazi ili kila kitu kifanye kazi vizuri na ni rahisi zaidi kuliko kutafuta suluhisho lingine. Hizi zinaweza kuwa bandari za DNS au za FTP... ili kutafuta udhaifu huu nmap inaingiza: --source-port <portnumber>;-g <portnumber> Ni sawa

--data <hex string> Ili kutuma maandiko ya hexadecimal: --data 0xdeadbeef na --data \xCA\xFE\x09

--data-string <string> Ili kutuma maandiko ya kawaida: --data-string "Scan conducted by Security Ops, extension 7192"

--data-length <nambari> Nmap inatuma tu vichwa, kwa hili tunapata kuongeza nambari ya bytes zaidi (ambazo zitatengenezwa kwa nasibu)

Ili kubadilisha pakiti IP kabisa tumia --ip-options

Ikiwa unataka kuona chaguzi katika pakiti zinazotumwa na kupokelewa, weka --packet-trace. Kwa maelezo zaidi na mifano ya kutumia chaguzi za IP na Nmap, angalia http://seclists.org/nmap-dev/2006/q3/52.

--ttl <thamani>

--randomize-hosts Ili shambulio liwe gumu zaidi kutambua

--spoof-mac <anwani ya MAC, kiambishi, au jina la muuzaji> Ili kubadilisha mac mifano: Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2, na Cisco

--proxies <Orodha ya URL za proxy zilizotenganishwa kwa koma> Ili kutumia proxies, wakati mwingine proxy moja haiwezi kudumisha mawasiliano mengi kama nmap inavyotaka kwa hivyo itabidi kubadilisha sambamba: --max-parallelism

-sP Ili kugundua mwenyeji katika mtandao tulio ndani kwa ARP

Wengi wa wasimamizi huunda sheria katika firewall inayoruhusu kupita kwa pakiti zote zinazotoka kwenye bandari maalum (kama 20,53 na 67), tunaweza kusema kwa nmap kutuma pakiti zetu kutoka bandari hizo: nmap --source-port 53 Ip

Salidas

-oN file Matokeo ya kawaida

-oX file Matokeo ya XML

-oS file Matokeo ya script kidies

-oG file Matokeo yanayoweza kuchambuliwa

-oA file Zote isipokuwa -oS

-v level kiwango cha ufasaha

-d level ufuatiliaji wa makosa

--reason Kwa nini mwenyeji na hali

--stats-every time Kila wakati huo inatuambia jinsi inavyokwenda

--packet-trace Ili kuona pakiti zinazotoka zinaweza kuwekwa vichujio kama: --version-trace au --script-trace

--open inaonyesha wazi, wazi|imechujwa na zisizochujwa

--resume file Inatoa muhtasari

Miscelanea

-6 Inaruhusu ipv6

-A ni sawa na -O -sV -sC --traceroute

Run time

Wakati nmap inakimbia tunaweza kubadilisha chaguzi:

v / V Ongeza / punguza kiwango cha ufasaha

d / D Ongeza / punguza kiwango cha ufuatiliaji

p / P Washa / zima ufuatiliaji wa pakiti

? Chapisha skrini ya msaada wa mwingiliano wa wakati wa kukimbia

Vulscan

Script ya nmap inayotazama matoleo ya huduma zilizopatikana katika hifadhidata ya mbali (ambayo inashughulikia kutoka kwa zingine muhimu sana) na inarudisha udhaifu zinazowezekana

Hifadhidata zinazotumiwa ni:

Scipvuldb.csv | http://www.scip.ch/en/?vuldb
Cve.csv | http://cve.mitre.org
Osvdb.csv | http://www.osvdb.org
Securityfocus.csv | http://www.securityfocus.com/bid/
Securitytracker.csv | http://www.securitytracker.com
Xforce.csv | http://xforce.iss.net
Exploitdb.csv | http://www.exploit-db.com
Openvas.csv | http://www.openvas.org

Ili kuipakua na kuisakinisha katika folda ya Nmap:

wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar -czvf nmap_nse_vulscan-2.0.tar.gz vulscan/ && sudo cp -r vulscan/ /usr/share/nmap/scripts/

Pia itabidi kupakua pakiti za hifadhidata na kuziweka kwenye /usr/share/nmap/scripts/vulscan/

Matumizi:

Ili kutumia zote: sudo nmap -sV --script=vulscan HOST_A_ESCANEAR

Ili kutumia hifadhidata maalum: sudo nmap -sV --script=vulscan --script-args vulscandb=cve.csv HOST_A_ESCANEAR

Speed Up Nmap Service scan x16

Kulingana na post hii unaweza kuongeza kasi ya uchambuzi wa huduma za nmap kwa kubadilisha thamani zote za totalwaitms katika /usr/share/nmap/nmap-service-probes kuwa 300 na tcpwrappedms kuwa 200.

Zaidi ya hayo, probes ambazo hazina thamani maalum ya servicewaitms hutumia thamani ya kawaida ya 5000. Kwa hivyo, tunaweza kuongeza thamani kwa kila probe, au tunaweza kuunda nmap wenyewe na kubadilisha thamani ya kawaida katika service_scan.h.

Ikiwa hutaki kubadilisha thamani za totalwaitms na tcpwrappedms kabisa katika faili ya /usr/share/nmap/nmap-service-probes, unaweza kuhariri kanuni ya uchambuzi ili thamani hizi katika faili ya nmap-service-probes zipuuzwe kabisa.

Websec | Uw Cybersecurity Specialist

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousNetwork Protocols Explained (ESP)NextPentesting IPv6

Last updated 4 days ago