Nmap Περίληψη (ESP)

Reading time: 15 minutes

tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks 
nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24

Παράμετροι

IPs προς σάρωση

  • <ip>,<net/mask>: Υποδείξτε τις ips άμεσα
  • -iL <ips_file>: list_IPs
  • -iR <number>: Αριθμός τυχαίων Ips, μπορείτε να εξαιρέσετε πιθανές Ips με --exclude <Ips> ή --excludefile <file>.

Ανακάλυψη εξοπλισμού

Από προεπιλογή, το Nmap εκκινεί μια φάση ανακάλυψης που αποτελείται από: -PA80 -PS443 -PE -PP

  • -sL: Δεν είναι επεμβατικό, καταγράφει τους στόχους κάνοντας DNS αιτήσεις για την επίλυση ονομάτων. Είναι χρήσιμο για να γνωρίζετε αν για παράδειγμα www.prueba.es/24 όλες οι Ips είναι οι στόχοι μας.
  • -Pn: Χωρίς ping. Αυτό είναι χρήσιμο αν γνωρίζετε ότι όλοι είναι ενεργοί (αν όχι, θα μπορούσατε να χάσετε πολύ χρόνο, αλλά αυτή η επιλογή παράγει επίσης ψευδώς αρνητικά λέγοντας ότι δεν είναι ενεργοί), αποτρέπει τη φάση ανακάλυψης.
  • -sn : Χωρίς σάρωση θυρών. Μετά την ολοκλήρωση της φάσης αναγνώρισης, δεν σαρώνει τις θύρες. Είναι σχετικά κρυφό και επιτρέπει μια μικρή σάρωση δικτύου. Με προνόμια στέλνει ένα ACK (-PA) σε 80, ένα SYN(-PS) σε 443 και ένα αίτημα echo και ένα αίτημα Timestamp, χωρίς προνόμια ολοκληρώνει πάντα τις συνδέσεις. Αν ο στόχος είναι το δίκτυο, χρησιμοποιεί μόνο ARP(-PR). Αν χρησιμοποιηθεί με άλλη επιλογή, μόνο τα πακέτα της άλλης επιλογής απορρίπτονται.
  • -PR: Ping ARP. Χρησιμοποιείται από προεπιλογή κατά την ανάλυση υπολογιστών στο δίκτυό μας, είναι ταχύτερο από τη χρήση pings. Αν δεν θέλετε να χρησιμοποιήσετε πακέτα ARP, χρησιμοποιήστε --send-ip.
  • -PS <ports>: Στέλνει SYN πακέτα στα οποία αν απαντήσει SYN/ACK είναι ανοιχτό (σε αυτό που απαντά με RST ώστε να μην τερματίσει τη σύνδεση), αν απαντήσει RST είναι κλειστό και αν δεν απαντήσει είναι μη προσβάσιμο. Σε περίπτωση που δεν έχετε προνόμια, χρησιμοποιείται αυτόματα μια συνολική σύνδεση. Αν δεν δοθούν θύρες, το ρίχνει σε 80.
  • -PA <ports>: Όπως το προηγούμενο αλλά με ACK, συνδυάζοντας και τα δύο δίνει καλύτερα αποτελέσματα.
  • -PU <ports>: Ο στόχος είναι το αντίθετο, αποστέλλονται σε θύρες που αναμένονται να είναι κλειστές. Ορισμένα τείχη προστασίας ελέγχουν μόνο τις TCP συνδέσεις. Αν είναι κλειστό απαντά με μη προσβάσιμη θύρα, αν απαντηθεί με άλλο icmp ή δεν απαντηθεί, μένει ως μη προσβάσιμος προορισμός.
  • -PE, -PP, -PM : ICMP PINGS: echo replay, timestamp και addresmask. Εκτοξεύονται για να διαπιστωθεί αν ο στόχος είναι ενεργός.
  • -PY<ports>: Στέλνει SCTP INIT probes σε 80 από προεπιλογή, INIT-ACK(ανοιχτό) ή ABORT(κλειστό) ή τίποτα ή ICMP μη προσβάσιμο(ανενεργό) μπορεί να απαντηθεί.
  • -PO <protocols>: Ένας πρωτόκολλο υποδεικνύεται στα headers, από προεπιλογή 1(ICMP), 2(IGMP) και 4(Encap IP). Για τα πρωτόκολλα ICMP, IGMP, TCP (6) και UDP (17) αποστέλλονται τα headers του πρωτοκόλλου, για τα υπόλοιπα αποστέλλεται μόνο το IP header. Ο σκοπός αυτού είναι ότι λόγω της κακής μορφοποίησης των headers, απαντώνται μη προσβάσιμα πρωτόκολλα ή απαντήσεις του ίδιου πρωτοκόλλου για να γνωρίζουμε αν είναι ενεργό.
  • -n: Χωρίς DNS
  • -R: DNS πάντα

Τεχνικές σάρωσης θυρών

  • -sS: Δεν ολοκληρώνει τη σύνδεση, οπότε δεν αφήνει ίχνη, πολύ καλό αν μπορεί να χρησιμοποιηθεί.(προνόμια) Είναι αυτό που χρησιμοποιείται από προεπιλογή.
  • -sT: Ολοκληρώνει τη σύνδεση, οπότε αφήνει ίχνη, αλλά μπορεί να χρησιμοποιηθεί σίγουρα. Από προεπιλογή χωρίς προνόμια.
  • -sU: Αργότερα, για UDP. Κυρίως: DNS(53), SNMP(161,162), DHCP(67 και 68), (-sU53,161,162,67,68): ανοιχτό(απάντηση), κλειστό(μη προσβάσιμη θύρα), φιλτραρισμένο (άλλο ICMP), ανοιχτό/φιλτραρισμένο (τίποτα). Σε περίπτωση ανοιχτού/φιλτραρισμένου, -sV στέλνει πολλές αιτήσεις για να ανιχνεύσει οποιαδήποτε από τις εκδόσεις που υποστηρίζει το nmap και μπορεί να ανιχνεύσει την πραγματική κατάσταση. Αυξάνει πολύ τον χρόνο.
  • -sY: Ο πρωτόκολλος SCTP αποτυγχάνει να καθιερώσει τη σύνδεση, οπότε δεν υπάρχουν αρχεία καταγραφής, λειτουργεί όπως το -PY
  • -sN,-sX,-sF: Null, Fin, Xmas, μπορούν να διεισδύσουν σε ορισμένα τείχη προστασίας και να εξάγουν πληροφορίες. Βασίζονται στο γεγονός ότι οι μηχανές που συμμορφώνονται με τα πρότυπα θα πρέπει να απαντούν με RST σε όλα τα αιτήματα που δεν έχουν SYN, RST ή ACK καθυστερήσεις: ανοιχτό/φιλτραρισμένο(τίποτα), κλειστό(RST), φιλτραρισμένο (ICMP μη προσβάσιμο). Αναξιόπιστο σε WIndows, CIsco, BSDI και OS/400. Σε unix ναι.
  • -sM: Maimon scan: Στέλνει FIN και ACK flags, χρησιμοποιείται για BSD, αυτή τη στιγμή θα επιστρέψει όλα ως κλειστά.
  • -sA, sW: ACK και Window, χρησιμοποιείται για την ανίχνευση τειχών προστασίας, για να γνωρίζουμε αν οι θύρες είναι φιλτραρισμένες ή όχι. Το -sW διακρίνει μεταξύ ανοιχτών/κλειστών καθώς οι ανοιχτές απαντούν με μια διαφορετική τιμή παραθύρου: ανοιχτό (RST με παράθυρο διαφορετικό από 0), κλειστό (RST παράθυρο = 0), φιλτραρισμένο (ICMP μη προσβάσιμο ή τίποτα). Όλοι οι υπολογιστές δεν λειτουργούν με αυτόν τον τρόπο, οπότε αν είναι όλα κλειστά, δεν λειτουργεί, αν είναι μερικά ανοιχτά, λειτουργεί καλά, και αν είναι πολλά ανοιχτά και λίγα κλειστά, λειτουργεί αντίστροφα.
  • -sI: Idle scan. Για τις περιπτώσεις στις οποίες υπάρχει ένα ενεργό τείχος προστασίας αλλά γνωρίζουμε ότι δεν φιλτράρει σε μια συγκεκριμένη Ip (ή όταν απλά θέλουμε ανωνυμία) μπορούμε να χρησιμοποιήσουμε τον zombie scanner (λειτουργεί για όλες τις θύρες), για να αναζητήσουμε πιθανούς ζωντανούς μπορούμε να χρησιμοποιήσουμε το scrpit ipidseq ή το exploit auxiliary/scanner/ip/ipidseq. Αυτός ο σαρωτής βασίζεται στον αριθμό IPID των πακέτων IP.
  • --badsum: Στέλνει τη λανθασμένη αθροιστική τιμή, οι υπολογιστές θα απορρίψουν τα πακέτα, αλλά τα τείχη προστασίας θα μπορούσαν να απαντήσουν κάτι, χρησιμοποιείται για την ανίχνευση τειχών προστασίας.
  • -sZ: "Weird" SCTP scanner, όταν στέλνει probes με cookie echo fragments θα πρέπει να απορριφθούν αν είναι ανοιχτά ή να απαντηθούν με ABORT αν είναι κλειστά. Μπορεί να περάσει μέσα από τείχη προστασίας που δεν περνάει το init, το κακό είναι ότι δεν διακρίνει μεταξύ φιλτραρισμένων και ανοιχτών.
  • -sO: Σάρωση πρωτοκόλλου Ip. Στέλνει κακά και κενά headers στα οποία μερικές φορές δεν μπορεί να διακριθεί ούτε το πρωτόκολλο. Αν φτάσει ICMP μη προσβάσιμο πρωτόκολλο είναι κλειστό, αν φτάσει μη προσβάσιμη θύρα είναι ανοιχτό, αν φτάσει άλλο σφάλμα, φιλτραρισμένο, αν δεν φτάσει τίποτα, ανοιχτό|φιλτραρισμένο.
  • -b <server>: FTPhost--> Χρησιμοποιείται για να σαρώσει έναν host από έναν άλλο, αυτό γίνεται συνδέοντας το ftp μιας άλλης μηχανής και ζητώντας της να στείλει αρχεία στις θύρες που θέλετε να σαρώσετε από μια άλλη μηχανή, ανάλογα με τις απαντήσεις θα γνωρίζουμε αν είναι ανοιχτές ή όχι. [<user>:<password>@]<server>[:<port>] Σχεδόν όλοι οι ftps servers δεν σας επιτρέπουν πλέον να το κάνετε αυτό και επομένως είναι ελάχιστα πρακτικό.

Ανάλυση Εστίασης

-p: Χρησιμοποιείται για να προσδιορίσει τις θύρες προς σάρωση. Για να επιλέξετε όλες τις 65,335 θύρες: -p- ή -p all. Το Nmap έχει μια εσωτερική ταξινόμηση βασισμένη στη δημοτικότητα. Από προεπιλογή, χρησιμοποιεί τις 1000 κορυφαίες θύρες. Με -F (γρήγορη σάρωση) αναλύει τις 100 κορυφαίες. Με --top-ports αναλύει αυτόν τον αριθμό κορυφαίων θυρών (από 1 έως 65,335). Ελέγχει τις θύρες σε τυχαία σειρά; για να το αποτρέψετε, χρησιμοποιήστε -r. Μπορούμε επίσης να επιλέξουμε συγκεκριμένες θύρες: 20-30,80,443,1024- (το τελευταίο σημαίνει να κοιτάξουμε από το 1024 και μετά). Μπορούμε επίσης να ομαδοποιήσουμε τις θύρες κατά πρωτόκολλα: U:53,T:21-25,80,139,S:9. Μπορούμε επίσης να επιλέξουμε μια περιοχή εντός των δημοφιλών θυρών του Nmap: -p [-1024] αναλύει έως τη θύρα 1024 από αυτές που περιλαμβάνονται στο nmap-services. --port-ratio Αναλύει τις πιο κοινές θύρες εντός ενός λόγου μεταξύ 0 και 1

-sV Σάρωση εκδόσεων, η ένταση μπορεί να ρυθμιστεί από 0 έως 9, η προεπιλογή είναι 7.

--version-intensity Ρυθμίζουμε την ένταση, έτσι ώστε όσο χαμηλότερη είναι, θα εκτοξεύει μόνο τις πιο πιθανές αιτήσεις, αλλά όχι όλες. Με αυτό, μπορούμε να συντομεύσουμε σημαντικά τον χρόνο σάρωσης UDP

-O Ανίχνευση λειτουργικού συστήματος

--osscan-limit Για σωστή σάρωση host, απαιτείται τουλάχιστον μία ανοιχτή θύρα και μία κλειστή θύρα. Αν αυτή η προϋπόθεση δεν πληρούται και έχουμε ορίσει αυτό, δεν θα προσπαθήσει να προβλέψει το OS (εξοικονομεί χρόνο)

--osscan-guess Όταν η ανίχνευση OS δεν είναι τέλεια, αυτό το καθιστά να προσπαθεί περισσότερο

Σενάρια

--script |||[,...]

Για να χρησιμοποιήσετε τα προεπιλεγμένα σενάρια, χρησιμοποιήστε -sC ή --script=default

Διαθέσιμες κατηγορίες είναι: auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, και vuln

  • Auth: εκτελεί όλα τα διαθέσιμα σενάρια αυθεντικοποίησης
  • Default: εκτελεί βασικά σενάρια εργαλείων προεπιλογής
  • Discovery: ανακτά πληροφορίες από τον στόχο ή το θύμα
  • External: σενάριο για τη χρήση εξωτερικών πόρων
  • Intrusive: χρησιμοποιεί σενάρια που θεωρούνται επεμβατικά για το θύμα ή τον στόχο
  • Malware: ελέγχει για συνδέσεις που ανοίγονται από κακόβουλο κώδικα ή backdoors
  • Safe: εκτελεί μη επεμβατικά σενάρια
  • Vuln: ανακαλύπτει τις πιο γνωστές ευπάθειες
  • All: εκτελεί απολύτως όλα τα διαθέσιμα σενάρια NSE

Για να αναζητήσετε σενάρια:

nmap --script-help="http-*" -> Αυτά που ξεκινούν με http-

nmap --script-help="not intrusive" -> Όλα εκτός από αυτά

nmap --script-help="default or safe" -> Αυτά σε οποιοδήποτε ή και τα δύο

nmap --script-help="default and safe" --> Αυτά και στα δύο

nmap --script-help="(default or safe or intrusive) and not http-*"

--script-args =,={=},={,}

--script-args-file

--script-help ||||all[,...]

--script-trace ---> Παρέχει πληροφορίες σχετικά με την πρόοδο του σεναρίου

--script-updatedb

Για να χρησιμοποιήσετε ένα σενάριο, απλά πληκτρολογήστε: nmap --script Script_Name target --> Όταν χρησιμοποιείτε το σενάριο, τόσο το σενάριο όσο και ο σαρωτής θα εκτελούνται, οπότε οι επιλογές σαρωτή μπορούν επίσης να προστεθούν. Μπορούμε να προσθέσουμε "safe=1" για να εκτελέσουμε μόνο ασφαλή.

Έλεγχος Χρόνου

Το Nmap μπορεί να τροποποιήσει το χρόνο σε δευτερόλεπτα, λεπτά, ms: --host-timeout arguments 900000ms, 900, 900s, και 15m όλα κάνουν το ίδιο πράγμα.

Το Nmap διαιρεί τον συνολικό αριθμό των hosts προς σάρωση σε ομάδες και αναλύει αυτές τις ομάδες σε μπλοκ, έτσι ώστε να μην μεταβεί στο επόμενο μπλοκ μέχρι να έχουν αναλυθεί όλα (και ο χρήστης δεν λαμβάνει καμία ενημέρωση μέχρι να έχει αναλυθεί το μπλοκ). Με αυτόν τον τρόπο, είναι πιο βέλτιστο για το Nmap να χρησιμοποιεί μεγάλες ομάδες. Από προεπιλογή στην κατηγορία C, χρησιμοποιεί 256.

Αυτό μπορεί να αλλάξει με --min-hostgroup ; --max-hostgroup (Ρυθμίστε τα μεγέθη ομάδας παράλληλης σάρωσης)

Μπορείτε να ελέγξετε τον αριθμό των παράλληλων σαρωτών αλλά είναι καλύτερα να μην το κάνετε (το Nmap ήδη ενσωματώνει αυτόματο έλεγχο με βάση την κατάσταση του δικτύου): --min-parallelism ; --max-parallelism

Μπορούμε να τροποποιήσουμε το RTT timeout, αλλά συνήθως δεν είναι απαραίτητο: --min-rtt-timeout , --max-rtt-timeout , --initial-rtt-timeout

Μπορούμε να τροποποιήσουμε τον αριθμό των προσπαθειών: --max-retries _

Μπορούμε να τροποποιήσουμε τον χρόνο σάρωσης ενός host: --host-timeout _

Μπορούμε να τροποποιήσουμε τον χρόνο μεταξύ κάθε δοκιμής για να το επιβραδύνουμε: --scan-delay ; --max-scan-delay _

Μπορούμε να τροποποιήσουμε τον αριθμό πακέτων ανά δευτερόλεπτο: --min-rate ; --max-rate _

Πολλές θύρες χρειάζονται πολύ χρόνο για να απαντήσουν όταν είναι φιλτραρισμένες ή κλειστές. Αν ενδιαφερόμαστε μόνο για τις ανοιχτές, μπορούμε να προχωρήσουμε πιο γρήγορα με: --defeat-rst-ratelimit

Για να καθορίσουμε πόσο επιθετικό θέλουμε να είναι το Nmap: -T paranoid|sneaky|polite|normal|aggressive|insane

-T (0-1)

-T0 --> Σαρώστε μόνο 1 θύρα τη φορά και περιμένετε 5 λεπτά μέχρι την επόμενη

-T1 και T2 --> Πολύ παρόμοια αλλά περιμένουν μόνο 15 και 0.4 δευτερόλεπτα αντίστοιχα μεταξύ κάθε δοκιμής

-T3 --> Προεπιλεγμένη λειτουργία, περιλαμβάνει παράλληλη σάρωση

-T4 --> --max-rtt-timeout 1250ms --min-rtt-timeout 100ms --initial-rtt-timeout 500ms --max-retries 6 --max-scan-delay 10ms

-T5 --> --max-rtt-timeout 300ms --min-rtt-timeout 50ms --initial-rtt-timeout 250ms --max-retries 2 --host-timeout 15m --max-scan-delay 5ms

Τείχος προστασίας/IDS

Δεν επιτρέπουν την πρόσβαση σε θύρες και αναλύουν πακέτα.

-f Για να θραύσει τα πακέτα, από προεπιλογή τα θραύει σε 8bytes μετά την κεφαλίδα, για να προσδιορίσετε αυτό το μέγεθος χρησιμοποιούμε ..mtu (με αυτό, μην χρησιμοποιείτε -f), η μετατόπιση πρέπει να είναι πολλαπλάσιο του 8. Οι σαρωτές εκδόσεων και τα σενάρια δεν υποστηρίζουν τη θραύση

-D decoy1,decoy2,ME Το Nmap στέλνει σαρωτές αλλά με άλλες διευθύνσεις IP ως προέλευση, με αυτόν τον τρόπο σας κρύβει. Αν βάλετε ME στη λίστα, το Nmap θα σας τοποθετήσει εκεί, καλύτερα να βάλετε 5 ή 6 πριν από εσάς για να σας καλύψει εντελώς. Τυχαίες IPs μπορούν να παραχθούν με RND: Για να παραγάγετε τυχαίων IPs. Δεν λειτουργούν με ανιχνευτές εκδόσεων TCP χωρίς σύνδεση. Αν είστε μέσα σε ένα δίκτυο, σας ενδιαφέρει να χρησιμοποιήσετε ενεργές IPs, καθώς διαφορετικά θα είναι πολύ εύκολο να καταλάβετε ότι είστε ο μόνος ενεργός.

Για να χρησιμοποιήσετε τυχαίες IPs: nmap -D RND:10 Target_IP

-S IP Για όταν το Nmap δεν πιάνει τη διεύθυνση IP σας πρέπει να την δώσετε με αυτό. Επίσης, χρησιμεύει για να τους κάνει να νομίζουν ότι ένας άλλος στόχος τους σαρώσει.

-e Για να επιλέξετε τη διεπαφή

Πολλοί διαχειριστές αφήνουν ανοιχτές θύρες εισόδου για να λειτουργούν όλα σωστά και είναι πιο εύκολο γι' αυτούς από το να βρουν άλλη λύση. Αυτές μπορεί να είναι θύρες DNS ή θύρες FTP... για να βρουν αυτή την ευπάθεια το Nmap ενσωματώνει: --source-port ;-g Είναι ισοδύναμα

--data Για να στείλετε δεκαεξαδικό κείμενο: --data 0xdeadbeef και --data \xCA\xFE\x09

--data-string Για να στείλετε κανονικό κείμενο: --data-string "Η σάρωση διεξάγεται από την Ασφάλεια, επέκταση 7192"

--data-length Το Nmap στέλνει μόνο headers, με αυτό επιτυγχάνουμε την προσθήκη ενός αριθμού περισσότερων bytes (τα οποία θα παραχθούν τυχαία)

Για να ρυθμίσετε πλήρως το πακέτο IP χρησιμοποιήστε --ip-options

Αν θέλετε να δείτε τις επιλογές στα πακέτα που αποστέλλονται και λαμβάνονται, προσδιορίστε --packet-trace. Για περισσότερες πληροφορίες και παραδείγματα χρήσης επιλογών IP με το Nmap, δείτε http://seclists.org/nmap-dev/2006/q3/52.

--ttl

--randomize-hosts Για να κάνετε την επίθεση λιγότερο προφανή

--spoof-mac <MAC address, prefix, or vendor name> Για να αλλάξετε το MAC παραδείγματα: Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2, και Cisco

--proxies Για να χρησιμοποιήσετε proxies, μερικές φορές ένα proxy δεν διατηρεί τόσες πολλές ανοιχτές συνδέσεις όσο θέλει το Nmap, οπότε η παράλληλη σάρωση θα χρειαστεί να τροποποιηθεί: --max-parallelism

-sP Για να ανακαλύψετε hosts στο δίκτυό μας μέσω ARP

Πολλοί διαχειριστές δημιουργούν έναν κανόνα τείχους προστασίας που επιτρέπει σε όλα τα πακέτα που προέρχονται από μια συγκεκριμένη θύρα να περάσουν (όπως 20,53 και 67), μπορούμε να πούμε στο Nmap να στείλει τα πακέτα μας από αυτές τις θύρες: nmap --source-port 53 IP

Έξοδοι

-oN file Κανονική έξοδος

-oX file Έξοδος XML

-oS file Έξοδος script kiddies

-oG file Έξοδος Greppable

-oA file Όλα εκτός από -oS

-v level λεπτομέρεια

-d level αποσφαλμάτωση

--reason Γιατί του host και κατάσταση

--stats-every time Κάθε εκείνο το χρόνο μας λέει πώς πάει

--packet-trace Για να δείτε ποια πακέτα βγαίνουν, μπορούν να προσδιοριστούν φίλτρα όπως: --version-trace ή --script-trace

--open δείχνει ανοιχτές, ανοιχτές|φιλτραρισμένες και μη φιλτραρισμένες

--resume file Εξόδους μια περίληψη

Διάφορα

-6 Επιτρέπει IPv6

-A είναι το ίδιο με -O -sV -sC --traceroute

Χρόνος εκτέλεσης

Ενώ το Nmap εκτελείται μπορούμε να αλλάξουμε επιλογές:

v / V Αυξήστε / μειώστε το επίπεδο λεπτομέρειας

d / D Αυξήστε / μειώστε το επίπεδο αποσφαλμάτωσης

p / P Ενεργοποιήστε / απενεργοποιήστε την παρακολούθηση πακέτων

? Εκτυπώστε μια οθόνη βοήθειας αλληλεπίδρασης χρόνου εκτέλεσης

Vulscan

Σενάριο Nmap που εξετάζει τις εκδόσεις υπηρεσιών που αποκτώνται σε μια offline βάση δεδομένων (κατεβασμένη από άλλες πολύ σημαντικές) και επιστρέφει πιθανές ευπάθειες

Οι βάσεις δεδομένων που χρησιμοποιεί είναι:

  1. Scipvuldb.csv | http://www.scip.ch/en/?vuldb
  2. Cve.csv | http://cve.mitre.org
  3. Osvdb.csv | http://www.osvdb.org
  4. Securityfocus.csv | http://www.securityfocus.com/bid/
  5. Securitytracker.csv | http://www.securitytracker.com
  6. Xforce.csv | http://xforce.iss.net
  7. Exploitdb.csv | http://www.exploit-db.com
  8. Openvas.csv | http://www.openvas.org

Για να κατεβάσετε και να εγκαταστήσετε στον φάκελο Nmap:

wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar -czvf nmap_nse_vulscan-2.0.tar.gz vulscan/ && sudo cp -r vulscan/ /usr/share/nmap/scripts/

Θα χρειαστεί επίσης να κατεβάσετε τα πακέτα DB και να τα προσθέσετε στο /usr/share/nmap/scripts/vulscan/

Χρήση:

Για να χρησιμοποιήσετε όλα: sudo nmap -sV --script=vulscan HOST_TO_SCAN

Για να χρησιμοποιήσετε μια συγκεκριμένη DB: sudo nmap -sV --script=vulscan --script-args vulscandb=cve.csv HOST_TO_SCAN

Επιτάχυνση της σάρωσης υπηρεσιών Nmap x16

Σύμφωνα με αυτή την ανάρτηση μπορείτε να επιταχύνετε την ανάλυση υπηρεσιών nmap τροποποιώντας όλες τις τιμές totalwaitms στο /usr/share/nmap/nmap-service-probes σε 300 και tcpwrappedms σε 200.

Επιπλέον, οι probes που δεν έχουν συγκεκριμένα καθορισμένο servicewaitms χρησιμοποιούν μια προεπιλεγμένη τιμή 5000. Επομένως, μπορούμε είτε να προσθέσουμε τιμές σε κάθε probe, είτε μπορούμε να συγκεντρώσουμε το nmap μόνοι μας και να αλλάξουμε την προεπιλεγμένη τιμή στο service_scan.h.

Αν δεν θέλετε να αλλάξετε καθόλου τις τιμές totalwaitms και tcpwrappedms στο αρχείο /usr/share/nmap/nmap-service-probes, μπορείτε να επεξεργαστείτε τον κώδικα ανάλυσης έτσι ώστε αυτές οι τιμές στο αρχείο nmap-service-probes να αγνοούνται εντελώς.

tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks