Nmap
tools
Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos escrito originalmente por Gordon Lyon (más conocido por su alias Fyodor Vaskovich1) y cuyo desarrollo se encuentra hoy a cargo de una comunidad. Fue creado originalmente para Linux aunque actualmente es multiplataforma. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática, para ello Nmap envía unos paquetes definidos a otros equipos y analiza sus respuestas.
Este software posee varias funciones para sondear redes de computadores, incluyendo detección de equipos, servicios y sistemas operativos. Estas funciones son extensibles mediante el uso de scripts para proveer servicios de detección avanzados, detección de vulnerabilidades y otras aplicaciones. Además, durante un escaneo, es capaz de adaptarse a las condiciones de la red incluyendo latencia y congestión de la misma.
Características
[editar]
Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping.2
Identifica puertos abiertos en una computadora objetivo.
Determina qué servicios está ejecutando la misma.
Determina qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting).
Obtiene algunas características del hardware de red de la máquina objeto de la prueba.
Aplicaciones típicas
[editar]
Ha llegado a ser una de las herramientas imprescindibles para todo administrador de sistema, y es usado para pruebas de penetración y tareas de seguridad informática en general.3
Como muchas herramientas usadas en el campo de la seguridad informática, es también una herramienta muy utilizada para hacking.
Los administradores de sistema pueden utilizarlo para verificar la presencia de posibles aplicaciones no autorizadas ejecutándose en el servidor, así como los crackers pueden usarlo para descubrir objetivos potenciales.
Nmap permite hacer el inventario y el mantenimiento del inventario de computadores de una red. Se puede usar entonces para auditar la seguridad de una red, mediante la identificación de todo nuevo servidor que se conecte:4
Nmap es a menudo confundido con herramientas para verificación de vulnerabilidades como Nessus. Nmap es difícilmente detectable, ha sido creado para evadir los Sistema de detección de intrusos (IDS) e interfiere lo menos posible con las operaciones normales de las redes y de las computadoras que son analizadas.
Ejemplos Básicos de Nmap
Escaneo Básico de Puertos
nmap 192.168.1.1Escaneo de Puertos Específicos
nmap -p 22,80,443 192.168.1.1Escaneo de Rango de Puertos
nmap -p 1-1000 192.168.1.1Escaneo de Puertos Abiertos
nmap --open 192.168.1.1Escaneo de Todos los Puertos
shCopy codenmap -p- 192.168.1.1
Escaneo de Múltiples Hosts
nmap 192.168.1.1 192.168.1.2 192.168.1.3Escaneo de Rango de IPs
nmap 192.168.1.1-254Escaneo de Subred
nmap 192.168.1.0/24Escaneo de Hosts Activos
nmap -sn 192.168.1.0/24Detectar Sistema Operativo
nmap -O 192.168.1.1Ejemplos Avanzados de Nmap
Escaneo de Versiones de Servicios
nmap -sV 192.168.1.1Escaneo de Scripts de NSE por Categoría (Vulnerabilidad)
nmap --script=vuln 192.168.1.1Detección de Scripts Específicos de NSE (HTTP Enum)
nmap --script=http-enum 192.168.1.1Escaneo de Red Interna
nmap -sP 192.168.1.0/24Escaneo de Ping
nmap -sn 192.168.1.1Escaneo de TCP SYN
nmap -sS 192.168.1.1Escaneo de TCP Connect
nmap -sT 192.168.1.1Escaneo UDP
nmap -sU 192.168.1.1Escaneo de Puertos Completos
nmap -sV -sS -sU 192.168.1.1Escaneo Sigiloso
nmap -sS -T2 192.168.1.1Ejemplos de Nmap Scripting Engine (NSE)
Detección de Servicios de HTTP
nmap --script=http-title 192.168.1.1Escaneo de FTP Anonymous
nmap --script=ftp-anon 192.168.1.1Escaneo de Vulnerabilidades SMB
nmap --script=smb-vuln* 192.168.1.1Detección de DNS
nmap --script=dns-brute 192.168.1.1Detección de Correo Electrónico
nmap --script=smtp-enum-users 192.168.1.1Enumeración de MySQL
nmap --script=mysql-enum 192.168.1.1Detección de NFS
nmap --script=nfs-ls 192.168.1.1Escaneo de Telnet
nmap --script=telnet-enum 192.168.1.1Detección de SSL
nmap --script=ssl-cert 192.168.1.1Escaneo de Vulnerabilidades HTTP
nmap --script=http-vuln* 192.168.1.1Ejemplo de Integración con Otra Herramienta: Nmap y Metasploit
Importar Resultados de Nmap en Metasploit
Nmap se puede integrar con Metasploit para facilitar la explotación de vulnerabilidades encontradas durante los escaneos.
Paso 1: Ejecutar un Escaneo de Nmap y Guardar los Resultados
nmap -oX scan_results.xml 192.168.1.0/24Paso 2: Importar los Resultados en Metasploit
Abre Metasploit y ejecuta:
db_import scan_results.xmlAhora, los resultados del escaneo de Nmap estarán disponibles en Metasploit, listos para ser utilizados en el proceso de penetración.
############################################################
################# Parametros ###############################
############################################################
Nmap 7.93SVN ( https://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <inputfilename>: Input from list of hosts/networks
-iR <num hosts>: Choose random targets
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks
--excludefile <exclude_file>: Exclude list from file
HOST DISCOVERY:
-sL: List Scan - simply list targets to scan
-sn: Ping Scan - disable port scan
-Pn: Treat all hosts as online -- skip host discovery
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-PO[protocol list]: IP Protocol Ping
-n/-R: Never do DNS resolution/Always resolve [default: sometimes]
--dns-servers <serv1[,serv2],...>: Specify custom DNS servers
--system-dns: Use OS's DNS resolver
--traceroute: Trace hop path to each host
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sU: UDP Scan
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags <flags>: Customize TCP scan flags
-sI <zombie host[:probeport]>: Idle scan
-sY/sZ: SCTP INIT/COOKIE-ECHO scans
-sO: IP protocol scan
-b <FTP relay host>: FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
-p <port ranges>: Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
--exclude-ports <port ranges>: Exclude the specified ports from scanning
-F: Fast mode - Scan fewer ports than the default scan
-r: Scan ports sequentially - don't randomize
--top-ports <number>: Scan <number> most common ports
--port-ratio <ratio>: Scan ports more common than <ratio>
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info
--version-intensity <level>: Set from 0 (light) to 9 (try all probes)
--version-light: Limit to most likely probes (intensity 2)
--version-all: Try every single probe (intensity 9)
--version-trace: Show detailed version scan activity (for debugging)
SCRIPT SCAN:
-sC: equivalent to --script=default
--script=<Lua scripts>: <Lua scripts> is a comma separated list of
directories, script-files or script-categories
--script-args=<n1=v1,[n2=v2,...]>: provide arguments to scripts
--script-args-file=filename: provide NSE script args in a file
--script-trace: Show all data sent and received
--script-updatedb: Update the script database.
--script-help=<Lua scripts>: Show help about scripts.
<Lua scripts> is a comma-separated list of script-files or
script-categories.
OS DETECTION:
-O: Enable OS detection
--osscan-limit: Limit OS detection to promising targets
--osscan-guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
Options which take <time> are in seconds, or append 'ms' (milliseconds),
's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
-T<0-5>: Set timing template (higher is faster)
--min-hostgroup/max-hostgroup <size>: Parallel host scan group sizes
--min-parallelism/max-parallelism <numprobes>: Probe parallelization
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: Specifies
probe round trip time.
--max-retries <tries>: Caps number of port scan probe retransmissions.
--host-timeout <time>: Give up on target after this long
--scan-delay/--max-scan-delay <time>: Adjust delay between probes
--min-rate <number>: Send packets no slower than <number> per second
--max-rate <number>: Send packets no faster than <number> per second
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu <val>: fragment packets (optionally w/given MTU)
-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
-S <IP_Address>: Spoof source address
-e <iface>: Use specified interface
-g/--source-port <portnum>: Use given port number
--proxies <url1,[url2],...>: Relay connections through HTTP/SOCKS4 proxies
--data <hex string>: Append a custom payload to sent packets
--data-string <string>: Append a custom ASCII string to sent packets
--data-length <num>: Append random data to sent packets
--ip-options <options>: Send packets with specified ip options
--ttl <val>: Set IP time-to-live field
--spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address
--badsum: Send packets with a bogus TCP/UDP/SCTP checksum
OUTPUT:
-oN/-oX/-oS/-oG <file>: Output scan in normal, XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.
-oA <basename>: Output in the three major formats at once
-v: Increase verbosity level (use -vv or more for greater effect)
-d: Increase debugging level (use -dd or more for greater effect)
--reason: Display the reason a port is in a particular state
--open: Only show open (or possibly open) ports
--packet-trace: Show all packets sent and received
--iflist: Print host interfaces and routes (for debugging)
--append-output: Append to rather than clobber specified output files
--resume <filename>: Resume an aborted scan
--noninteractive: Disable runtime interactions via keyboard
--stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML
--webxml: Reference stylesheet from Nmap.Org for more portable XML
--no-stylesheet: Prevent associating of XSL stylesheet w/XML output
MISC:
-6: Enable IPv6 scanning
-A: Enable OS detection, version detection, script scanning, and traceroute
--datadir <dirname>: Specify custom Nmap data file location
--send-eth/--send-ip: Send using raw ethernet frames or IP packets
--privileged: Assume that the user is fully privileged
--unprivileged: Assume the user lacks raw socket privileges
-V: Print version number
-h: Print this help summary page.
EXAMPLES:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
SEE THE MAN PAGE (https://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES# Escaneo Recomendado
nmap -sS --min-rate 5000 --open -vvv -p- -n -Pn (IP) -oN scan.txt # reconocimiento al dispositivo
^
nmap -sU # para buscar puertos por UDP
# recomendado si por TCP no hay exito
nmap -sCV -p(open ports), (open ports) -oN open # reconocimiento a los puertos abiertos encontrados
diferentes modos de escaneo
--top-ports 500 # los 500 puertos mas comunes
-sT # escaneo en base al three way handshake
-O # reconocer el sistema operativo
bypass del firewall e IDS
Vamos a ver algunas tecmicas para bypass de firewall
MTU (–mtu): La técnica de evasión de MTU o “Maximum Transmission Unit” implica ajustar el tamaño de los paquetes que se envían para evitar la detección por parte del Firewall. Nmap permite configurar manualmente el tamaño máximo de los paquetes para garantizar que sean lo suficientemente pequeños para pasar por el Firewall sin ser detectados.
Data Length (–data-length): Esta técnica se basa en ajustar la longitud de los datos enviados para que sean lo suficientemente cortos como para pasar por el Firewall sin ser detectados. Nmap permite a los usuarios configurar manualmente la longitud de los datos enviados para que sean lo suficientemente pequeños para evadir la detección del Firewall.
Source Port (–source-port): Esta técnica consiste en configurar manualmente el número de puerto de origen de los paquetes enviados para evitar la detección por parte del Firewall. Nmap permite a los usuarios especificar manualmente un puerto de origen aleatorio o un puerto específico para evadir la detección del Firewall.
Decoy (-D): Esta técnica de evasión en Nmap permite al usuario enviar paquetes falsos a la red para confundir a los sistemas de detección de intrusos y evitar la detección del Firewall. El comando -D permite al usuario enviar paquetes falsos junto con los paquetes reales de escaneo para ocultar su actividad.
Fragmented (-f): Esta técnica se basa en fragmentar los paquetes enviados para que el Firewall no pueda reconocer el tráfico como un escaneo. La opción -f en Nmap permite fragmentar los paquetes y enviarlos por separado para evitar la detección del Firewall.
Spoof-Mac (–spoof-mac): Esta técnica de evasión se basa en cambiar la dirección MAC del paquete para evitar la detección del Firewall. Nmap permite al usuario configurar manualmente la dirección MAC para evitar ser detectado por el Firewall.
Stealth Scan (-sS): Esta técnica es una de las más utilizadas para realizar escaneos sigilosos y evitar la detección del Firewall. El comando -sS permite a los usuarios realizar un escaneo de tipo SYN sin establecer una conexión completa, lo que permite evitar la detección del Firewall.
min-rate (–min-rate): Esta técnica permite al usuario controlar la velocidad de los paquetes enviados para evitar la detección del Firewall. El comando –min-rate permite al usuario reducir la velocidad de los paquetes enviados para evitar ser detectado por el Firewall.
## ejemplos de ellos ##
nmap -p22 1.1.1.1 -f
nmap -p22 1.1.1.1 -DNmap nos permite crear scripts custom para nuestros escaneos o incluso utilizar los que ya estan predefinidos, dejo una lista de categorias de scripts de nmap :
default
discovery
safe
intrusive
vuln
auth
broadcast
brute
dos
exploit
external
fuzzer
malware
version
vuln
Ejemplos de uso :
--script="vuln and sfae" # solo scripts de vuln y de safe
--script http-enum # con un nombre de script especificosi creamos nuestro propio script podemos utilizarlo asi :
nmap --script /home/user/scripts/mi_script.nse
estos estan programados en Lua, por si quieres crear uno.
some references : wikipedia.org
Last updated