【工具进阶】使用 Nmap 进行有效的服务和漏洞扫描

在渗透测试中，Nmap 是一款功能强大的经典工具。其应用场景广泛，包括主机发现、端口扫描、服务检测等。然而，要充分发挥 Nmap 的潜力，需要遵循科学的流程和规范。本文将为您详细介绍如何使用 Nmap 进行高效的渗透测试，同时分享一些常见的注意事项和优化建议。

1. 主机发现

主机发现是使用 Nmap 的第一步，其目的是确定网络中有哪些 IP 地址处于活动状态。直接对整个 C 段进行大规模扫描并不推荐，因为这样会产生大量流量，极易引起目标的注意和防御。正确的操作方法是采用低流量的扫描方式，逐步缩小目标范围。

以下是主机发现的基本命令：

sudo nmap -sn 192.168.1.0/24

-sn 参数用于执行 ping 扫描，仅检测哪些主机在线，而不进行端口扫描。例如，在一个 C 段中可能只有三到五个 IP 是活动的，这样可以大幅减少后续扫描的时间和资源消耗。

2. 全端口扫描

在完成主机发现后，可以针对每个在线的 IP 地址进行全端口扫描。此步骤的目的是列出主机上所有开放的端口。

示例命令如下：

sudo nmap -p- 192.168.1.1

-p- 参数表示扫描所有端口（0-65535）。单个 IP 地址的全端口扫描大约会产生 4MB 左右的流量，这在可接受范围内。

为了进一步筛选开放的端口，可以使用以下命令：

sudo nmap -p- 192.168.1.1 --open

--open 参数用于仅显示处于开放状态的端口，避免冗余信息干扰。

3. 服务与版本检测

在确定开放端口后，需要进一步探测端口上运行的服务及其版本信息。这一步对于判断潜在的漏洞非常关键。

示例命令：

sudo nmap -p21,22,23 -sV 192.168.1.1

-sV 参数用于探测服务的版本信息。通过这一过程，可以判断服务是否存在已知漏洞，从而为后续的漏洞利用打下基础。

Nmap 的服务探测（-sV 参数）主要基于网络层信息，虽然足够准确，但在某些情况下可能达不到应用层的精确度。如果需要更高精度，可以结合 Metasploit Framework (MSF) 的模块进行探测。MSF 会通过发送应用层探测包提供更准确的结果。

Nmap 作为一款经典工具，其指纹库和漏洞库一直以来都非常全面，这也是它经久不衰的重要原因。尽管一些新兴工具在扫描速度和性能上可能优于 Nmap，但在指纹识别方面依然无法企及。因此，建议在遇到某个端口服务时，务必使用 Nmap 进行扫描。Nmap 会通过收集服务的指纹信息和发包特征进行综合判断，其结果通常是很准确的。

然而，Nmap 的局限性也源于它的优秀。由于 Nmap 发包特征过于明显，蓝方通常能够轻松识别和标记这些流量特征，这使得它在隐蔽性和灵活性方面稍显不足。这也成为它在某些场景中被逐渐淡化的主要原因。

话又说回来，在靶机渗透，乃至OSCP等考试过程中，目标机器对 Nmap 并没有实网环境中那么多的检测或限制，因此使用 Nmap 已经完全足够，且能十分优秀地完成渗透任务。

4. 漏洞探测

Nmap 的漏洞探测是通过 Nmap 脚本引擎 (NSE) 实现的。NSE 提供了一个丰富的脚本库，包含了多种功能强大的脚本，这些脚本能够自动化执行不同类型的扫描任务，如服务检测、漏洞扫描以及信息收集等。通过这些脚本，Nmap 能够高效识别目标系统中从服务漏洞到配置错误的各种安全漏洞。

NSE 脚本文件存储在以下目录中：

/usr/share/nmap/scripts

该目录中存放着大量的脚本文件，用户可以根据实际需求选择适当的脚本来进行漏洞探测。脚本的命名通常能反映其功能，因此可以根据目标系统的特点，选择合适的脚本进行扫描。

基本用法

在 Nmap 中进行漏洞探测时，常用的参数是 --script，它允许用户指定要运行的脚本或脚本类别。通过该参数，Nmap 会根据选择的脚本来执行相应的漏洞探测任务。以下是两种常见的用法：

执行所有漏洞相关的脚本

sudo nmap --script=vuln -p22,80,8088 192.168.1.1

--script=vuln：运行所有与漏洞探测相关的 NSE 脚本。Nmap 会自动根据目标主机的开放端口选择合适的漏洞扫描脚本。扫描内容涵盖了常见的漏洞类型，如远程代码执行、信息泄露、权限提升等。

执行特定协议的漏洞扫描

sudo nmap --script=smb* 192.168.1.1

--script=smb*：运行所有以 “smb” 开头的脚本，这些脚本主要用于扫描与 SMB 协议相关的漏洞。常见的漏洞包括弱密码、配置错误、历史漏洞等。
脚本调优：可以使用 --script-args 参数传递额外的选项和参数，以调整脚本的行为。例如，可以设置 http-user-agent 或 smb-username 等参数。

常见的漏洞探测脚本

Nmap 脚本库包含了大量的漏洞探测脚本，以下是一些常用的脚本及其功能：

vuln/ms08_067_netapi：用于检测 Windows 系统上的 MS08-067 漏洞（广为人知的 SMB 漏洞）。
smb-vuln-ms17-010：用于检测 Windows 上的 EternalBlue 漏洞，该漏洞导致了 WannaCry 等勒索病毒的传播。
http-vuln-cve2017-5638：检测 Apache Struts 2 上的远程代码执行漏洞（CVE-2017-5638）。
ftp-vsftpd-backdoor：用于检测是否存在特定版本的 vsftpd FTP 服务漏洞，该漏洞会使系统受到远程攻击。
smb-enum-shares：列出目标系统共享的文件夹，可以帮助识别潜在的敏感信息泄露。

5. 理解端口与服务的关联

需要注意的是，端口号并不能直接与服务类型划等号。例如，虽然 21 端口默认运行 FTP 服务，但管理员可以将其配置为其他用途。类似地，80 端口不一定承载 Web 服务，也可能运行 FTP 或 SSH 服务。靶机通常喜欢将服务配置到非传统端口，例如将 SSH 服务设置在 2222 端口，或将 MySQL 服务运行在 33060 端口。

因此，避免固化思维显得尤为重要。正确的方法是依据 Nmap 等工具提供的服务指纹识别结果，而非仅凭默认端口号下结论。