29 KiB
Nmap सारांश (ESP)
{% hint style="success" %}
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)
हैकट्रिक्स का समर्थन करें
- सदस्यता योजनाएं की जाँच करें!
- शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह और ट्विटर 🐦 @hacktricks_live** पर हमें फॉलो करें।
- हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स](https://github.com/carlospolop/hacktricks) और हैकट्रिक्स क्लाउड github रेपो में PR जमा करके।
{% embed url="https://websec.nl/" %}
nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24
पैरामीटर
स्कैन करने के लिए IPs
<ip>,<net/mask>: सीधे IPs को दर्शाता है-iL <ips_file>: सूची_IPs-iR <number>: यादृच्छिक Ips की संख्या, आप--exclude <Ips>या--excludefile <file>के साथ संभावित Ips को छोड़ सकते हैं।
उपकरण खोज
निम्नलिखित डिस्कवरी चरण को लॉन्च करता है Nmap: -PA80 -PS443 -PE -PP
-sL: यह आक्रामक नहीं है, यह लक्ष्यों की सूची बनाता है जो नामों को हल करने के लिए DNS अनुरोध करते हैं। यह उपयोगी है यदि आप जानना चाहते हैं कि क्या उदाहरण के लिए www.prueba.es/24 सभी Ips हमारे लक्ष्य हैं।-Pn: कोई पिंग नहीं। यह उपयोगी है अगर आप जानते हैं कि सभी उनमें सक्रिय हैं (अगर नहीं, तो आप बहुत समय खो सकते हैं, लेकिन यह विकल्प भी गलत नकारात्मक उत्तर देता है कि वे सक्रिय नहीं हैं), यह खोज चरण को रोकता है।-sn: कोई पोर्ट स्कैन नहीं। अन्वेषण चरण पूरा करने के बाद, यह पोर्ट स्कैन नहीं करता है। यह अनुमानित रूप से छिपकली, और एक छोटे नेटवर्क स्कैन करने देता है। विशेषाधिकारों के साथ यह 80 को ACK (-PA) भेजता है, 443 को SYN(-PS) भेजता है और एक इको अनुरोध और एक समयचिह्न अनुरोध भेजता है, बिना विशेषाधिकारों के यह हमेशा कनेक्शन पूरा करता है। यदि लक्ष्य नेटवर्क है, तो यह केवल ARP(-PR) का उपयोग करता है। यदि इसे किसी अन्य विकल्प के साथ उपयोग किया जाता है, तो केवल अन्य विकल्प के पैकेट ड्रॉप होते हैं।-PR: पिंग ARP। यह डिफ़ॉल्ट रूप से हमारे नेटवर्क में कंप्यूटरों का विश्लेषण करते समय उपयोग किया जाता है, यह पिंग का उपयोग करने से तेज है। यदि आप ARP पैकेट का उपयोग नहीं करना चाहते हैं तो--send-ipका उपयोग करें।-PS <ports>: यह SYN पैकेट भेजता है जिसे यदि यह SYN/ACK के साथ जवाब देता है तो खुला है (जिसे यह RST के साथ जवाब देता है ताकि कनेक्शन समाप्त न हो), यदि यह RST के साथ जवाब देता है तो बंद है और यदि यह जवाब नहीं देता है तो अगम्य है। यदि विशेषाधिकार नहीं हैं, तो समूचा कनेक्शन स्वचालित रूप से उपयोग किया जाता है। यदि कोई पोर्ट नहीं दिया गया है, तो यह 80 पर फेंक देता है।-PA <ports>: पिछले वाले की तरह लेकिन ACK के साथ, दोनों को मिलाकर बेहतर परिणाम मिलते हैं।-PU <ports>: उद्देश्य उल्टा है, जो बंद होने की उम्मीद है। कुछ फ़ायरवॉल केवल TCP कनेक्शन की जांच करते हैं। यदि यह बंद है तो यह पोर्ट अप्राप्त है, यदि यह किसी अन्य icmp के साथ जवाब देता है या जवाब नहीं देता है तो यह गंतव्य अप्राप्त है।-PE, -PP, -PM: ICMP PINGS: इको प्रतिद्वंद्वीकरण, समयचिह्न और एड्रेसमास्क। यह लॉन्च किए जाते हैं ताकि पता चले कि लक्ष्य सक्रिय है या नहीं।-PY<ports>: 80 के लिए SCTP INIT प्रोब भेजता है, INIT-ACK(खुला) या ABORT(बंद) या कुछ नहीं या ICMP अप्राप्त(निष्क्रिय) जवाब दिया जा सकता है।-PO <protocols>: हेडर में एक प्रोटोकॉल दिखाया जाता है, डिफ़ॉल्ट रूप से 1(ICMP), 2(IGMP) और 4(Encap IP)। ICMP, IGMP, TCP (6) और UDP (17) प्रोटोकॉल के लिए प्रोटोकॉल हेडर भेजे जाते हैं, बाकी के लिए केवल IP हेडर भेजा जाता है। इसका उद्देश्य यह है कि हेडर्स के गलत रूपांतरण के कारण प्रोटोकॉल अप्राप्त या उसी प्रोटोकॉल के जवाब दिए जाते हैं ताकि पता चले कि यह ऊपर है या नहीं।-n: कोई DNS नहीं-R: हमेशा DNS
पोर्ट स्कैनिंग तकनीकें
-sS: कनेक्शन को पूरा नहीं करता है इसलिए कोई पता नहीं छोड़ता, अगर इस्तेमाल किया जा सकता है तो बहुत अच्छा है।(विशेषाधिकार) यह डिफ़ॉल्ट रूप से उपयोग किया जाता है।-sT: कनेक्शन पूरा करता है, इसलिए यह पता छोड़ता है, लेकिन यह सुनिश्चित करने के लिए उपयोग किया जा सकता है। डिफ़ॉल्ट रूप से विशेषाधिकारों के बिना।-sU: धीमा, UDP के लिए। अधिकांश: DNS(53), SNMP(161,162), DHCP(67 और 68), (-sU53,161,162,67,68): खुला(जवाब), बंद(पोर्ट अप्राप्त), फ़िल्टर(अन्य ICMP), खुला/फ़िल्टर(कुछ नहीं)। खुला/फ़िल्टर के मामले में, -sV न्यूनतम संभावनाओं को खोजने के लिए कई अनुरोध भेजता है और nmap समर्थित किसी भी संस्करण का पता लगा सकता है और वास्तविक स्थिति का पता लगा सकता है। यह समय को बहुत बढ़ा देता है।-sY: SCTP प्रोटोकॉल कनेक्शन स्थापित करने में विफल होता है, इसलिए कोई लॉग नहीं होता, -PY की तरह काम करता है-sN,-sX,-sF: नल, फिन, क्रिसमस, वे कुछ फ़ायरवॉल में प्रवेश कर सकते हैं और जानकारी निकाल सकते हैं। यह उस तथ्य पर आधारित है कि मानक अनुरूप मशीनें उन सभी अनुरोधों के साथ RST के साथ प्रतिक्रिया करना चाहिए जिनमें SYN, RST या ACK लैग उठाए गए हैं: खुला/फ़िल्टर(कुछ नहीं), बंद(RST), फ़िल्टर(अन्य ICMP)। विंडोज, सिस्को, बीएसडीआई और ओएस/400 पर अविश्वसनीय है। यूनिक्स पर हां।-sM: मैमन स्कैन: FIN और ACK लैग भेजता है, बीएसडी के लिए उपयोग किया जाता है, वर्तमान में सभी को बंद ही वापस करेगा।-sA, sW: ACK और विंडो, फ़ायरवॉल का पता लगाने के लिए उपयोग किया जाता है, यह जानने के लिए कि पोर्ट फ़िल्टर हैं या नहीं। -sW खुला/बंद के बीच भेद करता है क्योंकि खुले वाले अलग विंडो मान देते हैं: खुला (जवाब में विंडो 0 के अलावा RST), बंद (RST विंडो = 0), फ़िल्टर (ICMP --osscan-guess जब ऑपरेटिंग सिस्टम की पहचान पूरी तरह से सही नहीं होती है तो यह अधिक प्रयास करता है।
स्क्रिप्ट्स
--script <नाम>|<श्रेणी>|<निर्देशिका>|<अभिव्यक्ति>[,...]
डिफ़ॉल्ट के लिए उपयोग करने के लिए -sC या --script=default काफी है।
उपलब्ध श्रेणियाँ हैं: auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, और vuln
- Auth: प्रमाणीकरण के लिए उपलब्ध सभी अपने स्क्रिप्ट्स को चलाता है
- Default: उपकरण के डिफ़ॉल्ट बुनियादी स्क्रिप्ट्स को चलाता है
- Discovery: लक्ष्य या पीड़िता से जानकारी प्राप्त करता है
- External: बाहरी संसाधनों का उपयोग करने के लिए स्क्रिप्ट
- Intrusive: उस्ताद या लक्ष्य के लिए अभिव्यक्ति माने जाने वाले स्क्रिप्ट्स का उपयोग करता है
- Malware: क्या खुले हैं कोड या अवैध द्वार (बैकडोअर्स) द्वारा
- Safe: अभिव्यक्ति नहीं करने वाले स्क्रिप्ट्स को चलाता है
- Vuln: सबसे ज्यादा जानी जाने वाली वुलनरेबिलिटी का पता लगाता है
- All: उपलब्ध NSE विस्तार वाले सभी स्क्रिप्ट्स को चलाता है
स्क्रिप्ट्स खोजने के लिए:
nmap --script-help="http-*" -> जो http- से शुरू होते हैं
nmap --script-help="not intrusive" -> उन सभी को छोड़कर
nmap --script-help="default or safe" -> जो एक में हैं या दूसरे में या दोनों में
nmap --script-help="default and safe" --> जो दोनों में हैं
nmap --script-help="(default or safe or intrusive) and not http-*"
--script-args <n1>=<v1>,<n2>={<n3>=<v3>},<n4>={<v4>,<v5>}
--script-args-file <नाम फ़ाइल>
--script-help <नाम>|<श्रेणी>|<निर्देशिका>|<अभिव्यक्ति>|all[,...]
--script-trace ---> स्क्रिप्ट का प्रगति देता है
--script-updatedb
स्क्रिप्ट का उपयोग करने के लिए केवल नाम दर्ज करें: namp --script नाम_दर्ज_करें लक्ष्य --> स्क्रिप्ट और स्कैनर दोनों को चलाने के लिए स्क्रिप्ट दर्ज करने पर, इसलिए स्कैनर के विकल्प भी जोड़ सकते हैं, हम “safe=1” जोड़ सकते हैं ताकि केवल सुरक्षित वाले ही चलें।
समय नियंत्रण
Nmap सेकंड, मिनट, ms में समय को संशोधित कर सकता है: --host-timeout arguments 900000ms, 900, 900s, और 15m सभी एक ही चीज करते हैं।
Nmap होस्ट की कुल संख्या को समूहों में विभाजित करता है और उन समूहों का विश्लेषण ब्लॉक में करता है, ताकि जब तक सभी विश्लेषित नहीं हो जाते हैं, तब तक अगले ब्लॉक पर नहीं जाता है (और उपयोगकर्ता को भी कोई अद्यतन नहीं मिलता है जब तक ब्लॉक का विश्लेषण नहीं हो जाता है) इस तरह, nmap के लिए बड़े समूहों का उपयोग करना अधिक उपयुक्त है। डिफ़ॉल्ट रूप से कक्षा C में 256 का उपयोग करता है।
इसे बदल सकते हैं**--min-hostgroup** <numhosts>; --max-hostgroup <numhosts> (समानकालिक स्कैन समूह आकारों को समायोजित करें)
समानकालिक स्कैनरों की संख्या को नियंत्रित किया जा सकता है लेकिन यह बेहतर है कि न करें (nmpa में नेटवर्क की स्थिति के आधार पर स्वचालित नियंत्रण शामिल है): --min-parallelism <numprobes>; --max-parallelism <numprobes>
हम rtt टाइमआउट को संशोधित कर सकते हैं, लेकिन आम तौर पर आवश्यक नहीं होता: --min-rtt-timeout <time>, --max-rtt-timeout <time>, --initial-rtt-timeout <time>
हम प्रयासों की संख्या को संशोधित कर सकते हैं:--max-retries <numtries>
हम होस्ट के स्कैनिंग का समय संशोधित कर सकते हैं: --host-timeout <time>
हम प्रत्येक परीक्षण के बीच समय को धीमा करने के लिए समय को संशोधित कर सकते हैं: --scan-delay <time>; --max-scan-delay <time>
हम प्रति सेकंड पैकेट की संख्या को संशोधित कर सकते हैं: --min-rate <number>; --max-rate <number>
बहुत सारे पोर्ट फ़िल्टर या बंद होने पर बहुत समय लेते हैं, अगर हमें केवल खुले पोर्ट्स की जरूरत है तो हम तेजी से जा सकते हैं: --defeat-rst-ratelimit
Nmap कितना प्रवेशनात्मक होना चाहिए यह निर्धारित करने के लिए: -T paranoid|sneaky|polite|normal|aggressive|insane
-T (0-1)
-T0 --> केवल एक पोर्ट को एक साथ स्कैन किया जाता है और अगले के लिए 5 मिनट तक इंतजार किया जाता है
-T1 और T2 --> बहुत समान हैं लेकिन प्रत्येक परीक्षण के बीच केवल 15 और 0.4 सेकंड का इंतजार करते हैं
-T3 --> डिफ़ॉल्ट व्यवहार, समानकालिक में शामिल है
-T4 --> --max-rtt-timeout 1250ms --min-rtt-timeout 100ms --initial-rtt-timeout 500ms --max-retries 6 --max-scan-delay 10ms
-T5 --> --max-rtt-timeout 300ms --min-rtt-timeout 50ms --initial-rtt-timeout 250ms --max-retries 2 --host-timeout 15m --max-scan-delay 5ms
फ़ायरवॉल/IDS
पोर्ट्स को गुजरने नहीं देते और पैकेट्स का विश्लेषण करते हैं।
-f पैकेट को फ्रैगमेंट करने के लिए, डिफ़ॉल्ट रूप से यह 8 बाइट के बाद फ्रैगमेंट करता है, इस आकार को निर्दिष्ट करने के लिए ..mtu का उपयोग करें (इसके साथ, -f का उपयोग न करें), ऑफ़सेट 8 के गुणक होना चाहिए। संस्करण और स्क्रिप्ट के स्कैनर्स फ्रैगमेंटेशन का समर्थन नहीं करते
-D डेकॉय1,डेकॉय2,मैं Nmap अन्य IP पतों के साथ स्कैनर भेजता है, जैसे कि मूल पतों के रूप में, इस तरह आपको छुपाता है। यदि आप में सूची में ME डालते हैं, तो nmap आपको वहां स्थित करेगा, आपको पूरी तरह से मास्क करने के लिए अपने से पहले 5 या 6 डेकॉय डालना बेहतर है। RND:<संख्या> के साथ यादृच्छिक IP उत्पन्न किए जा सकते हैं। टीसीपी कनेक्शन के बिना संस्करण डिटेक्टर के साथ काम नहीं करते। यदि आप एक नेटवर्क के अंदर हैं, तो सक्रिय IP का उपयोग करना उपयुक्त है, क्योंकि अन्यथा आसानी से पता लगाया जा सकता है कि आप ही एकमात्र सक्रिय हैं।
यादृच्छिक IP का उपयोग करने के लिए: nmap-D RND: 10 Ip_लक्ष्य
-S IP जब Nmap आपका IP पता नहीं लेता है तो आपको इसे देना पड़ता है। इसका उपयोग उन्हें यह लगाने के लिए भी किया जा सकता है कि कोई अन्य लक्ष्य उन्हें स्कैन कर रहा है --proxies <Comma-separated list of proxy URLs> प्रॉक्सी का उपयोग करने के लिए, कभी-कभी एक प्रॉक्सी उस संख्या की तरह खुली रखता है जितनी nmap चाहता है, इसलिए हमें पैरालेलिज़्म को संशोधित करना होगा: --max-parallelism
-sP हमारे ARP के माध्यम से नेटवर्क में होस्ट का खोज करने के लिए
बहुत से व्यवस्थापक एक फ़ायरवॉल में एक नियम बनाते हैं जो एक विशेष पोर्ट से आने वाले सभी पैकेटों को पारित करने देता है (जैसे 20, 53 और 67), हम nmap को यह कह सकते हैं कि हमारे पैकेट उन पोर्ट से भेजें: nmap --source-port 53 Ip
आउटपुट
-oN file सामान्य आउटपुट
-oX file XML आउटपुट
-oS file स्क्रिप्ट किडीज का आउटपुट
-oG file grepable आउटपुट
-oA file -oS को छोड़कर सभी
-v level वर्बोसिटी
-d level डीबगिंग
--reason होस्ट और स्थिति का कारण
--stats-every time हर इस समय के बाद हमें बताता है कि कैसे जा रहा है
--packet-trace देखने के लिए कि कौन से पैकेट निकल रहे हैं, हम फ़िल्टर जैसे निर्दिष्ट कर सकते हैं: --version-trace या --script-trace
--open खुले हुए, खुले हुए|फ़िल्टर किए गए और अफ़िल्टर को दिखाता है
--resume file एक सारांश निकालता है
मिसेलेनियस
-6 ipv6 की अनुमति देता है
-A -O -sV -sC --traceroute के बराबर है
रन टाइम
नमैप चलते समय हम विकल्प बदल सकते हैं:
v / V वर्बोसिटी स्तर बढ़ाएं / कम करें
d / D डीबगिंग स्तर बढ़ाएं / कम करें
p / P पैकेट ट्रेसिंग को चालू / बंद करें
? रनटाइम इंटरेक्शन सहायता स्क्रीन प्रिंट करें
Vulscan
नमैप का स्क्रिप्ट जो एक ऑफ़लाइन डेटाबेस में प्राप्त सेवाओं के संस्करणों को देखता है (जो अन्य महत्वपूर्ण से डाउनलोड किया जाता है) और संभावित भेदभाव देता है
उस डेटाबेस का उपयोग करता है:
- Scipvuldb.csv | http://www.scip.ch/en/?vuldb
- Cve.csv | http://cve.mitre.org
- Osvdb.csv | http://www.osvdb.org
- Securityfocus.csv | http://www.securityfocus.com/bid/
- Securitytracker.csv | http://www.securitytracker.com
- Xforce.csv | http://xforce.iss.net
- Exploitdb.csv | http://www.exploit-db.com
- Openvas.csv | http://www.openvas.org
इसे डाउनलोड और स्थापित करने के लिए Nmap फ़ोल्डर में:
wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar -czvf nmap_nse_vulscan-2.0.tar.gz vulscan/ && sudo cp -r vulscan/ /usr/share/nmap/scripts/
इसके अलावा, डेटाबेस के पैकेट डाउनलोड करना होगा और उन्हें /usr/share/nmap/scripts/vulscan/ में जोड़ना होगा
उपयोग:
सभी का उपयोग करने के लिए: sudo nmap -sV --script=vulscan HOST_A_ESCANEAR
एक विशिष्ट डेटाबेस का उपयोग करने के लिए: sudo nmap -sV --script=vulscan --script-args vulscandb=cve.csv HOST_A_ESCANEAR
Nmap सेवा स्कैन को 16 गुणा तेज करें
इस पोस्ट के अनुसार, आप नमैप सेवा विश्लेषण को तेज कर सकते हैं जिसके लिए आपको सभी totalwaitms मानों को /usr/share/nmap/nmap-service-probes में 300 और tcpwrappedms को 200 में संशोधित करना होगा।
इसके अतिरिक्त, जो प्रोब्स का विशेष रूप से परिभाषित servicewaitms नहीं है, वे एक डिफ़ॉल्ट मान 5000 का उपयोग करते हैं। इसलिए, हम इन प्रोब्स में मान जोड़ सकते हैं, या हम नमैप को कंपाइल कर सकते हैं और service_scan.h में डिफ़ॉल्ट मान को बदल सकते हैं।
अगर आप चाहते हैं कि आप /usr/share/nmap/nmap-service-probes फ़ाइल में totalwaitms और tcpwrappedms के मानों को पूरी तरह से बदलना नहीं है, तो आप पार्सिंग कोड को संपादित कर सकते हैं ताकि ये मान nmap-service-probes फ़ाइल में पूरी तरह से नजरअंदाज किए जाएं।