Nmap脚本使用教程(详解)

虽然说很多人可能都知道Nmap这款扫描工具了,毕竟Nmap可称得上是扫描之王了,但是很多人或许并没有深入研究过Nmap,Nmap其实也自带很多脚本,每个脚本都有不同的功能。当然了,你自己要有编程基础,自己也可以做nmap脚本编写。

 

一、Nmap的脚本库在哪里?

可能还有很多朋友不知道Nmap的脚本库在哪里?

Nmap脚本是放在scripts这个目录下的,以Kali Linux下的Nmap为例子,Nmap脚本存放于“usr/share/nmap/scripts”路径下。

 

二、Nmap脚本分类

Nmap脚本分类,有以下几个大类:

  • auth:负责处理鉴权证书(绕开鉴权)的脚本
  • broadcast:在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务
  • brute:提供暴力破解方式,针对常见的应用如http/snmp等
  • default:使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力
  • discovery:对网络进行更多的信息,如SMB枚举、SNMP查询等
  • dos:用于进行拒绝服务攻击
  • exploit:利用已知的漏洞入侵系统
  • external:利用第三方的数据库或资源,例如进行whois解析
  • fuzzer:模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽
  • malware:探测目标机是否感染了病毒、开启了后门等信息
  • safe:此类与intrusive相反,属于安全性脚本
  • version:负责增强服务与版本扫描(Version Detection)功能的脚本
  • vuln:负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067

 

三、Nmap脚本命令使用方法

-sC:等价于–script=default,使用默认类别的脚本进行扫描 可更换其他类别

 

–script=<Lua scripts>:<Lua scripts>使用某个或某类脚本进行扫描,支持通配符描述

nmap --script auth 192.168.199.9  #根据script的类别进行自动扫描
nmap --script=http* 192.168.1.104

 

–script-args=<n1=v1,[n2=v2,...]>:为脚本提供默认参数

nmap --script acarsd-info --script-args "acarsd-info.timeout=10,acarsd-info.bytes=512" -p <port> <host>
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd 192.168.137.5  #oracle弱口令破解

 

–script-args-file=filename:使用文件来为脚本提供参数

–script-trace:显示脚本执行过程中发送与接收的数据

–script-updatedb:更新脚本数据库

–script-help=<scripts>:显示脚本的帮助信息,其中<scripts>部分可以逗号分隔的文件或脚本类别

 

四、Nmap脚本介绍

有关Nmap每个脚本具体的用法还是请参考官方文档:https://nmap.org/nsedoc/scripts/

acarsd-info 从正在监听的acarsd守护程序中检索信息。 Acarsd实时解码ACARS(飞机通信寻址和报告系统)数据。该脚本检索的信息包括守护程序版本,API版本,管理员电子邮件地址和收听频率。
address-info 显示有关IPv6地址的其他信息,例如嵌入式MAC或IPv4地址(如果有)。
afp-brute 根据Apple归档协议(AFP)执行密码猜测、密码爆破。
afp-ls 尝试从AFP卷中获取有关文件的有用信息。该输出旨在类似于ls的输出。
afp-path-vuln 检测Mac OS X AFP目录遍历漏洞CVE-2010-0533。
afp-serverinfo 显示AFP服务器信息。此信息包括服务器的主机名,IPv4和IPv6地址以及硬件类型(例如Macmini或MacBookPro)。
afp-showmount 显示AFP份额和ACL。
ajp-auth 检索需要认证的AJP服务(Apache JServ协议)的认证方案和领域。
ajp-brute 根据Apache JServ协议执行暴力密码审计。 Web服务器通常使用Apache JServ协议与后端Java应用程序服务器容器进行通信。
ajp-headers 针对Apache JServ协议服务器的根目录或任何可选目录执行HEAD或GET请求,并返回服务器响应标头。
ajp-methods 通过发送OPTIONS请求来发现AJP(Apache JServ协议)服务器支持哪些选项,并列出可能存在风险的方法。
ajp-request 通过Apache JServ协议请求URI并显示结果(或将其存储在文件中)。不同的AJP方法,例如;可以使用GET,HEAD,TRACE,PUT或DELETE。
allseeingeye-info 检测所有看得见的Eye服务。由某些游戏服务器提供,用于查询服务器的状态。
amqp-info 从AMQP(高级消息队列协议)服务器收集信息(所有服务器属性的列表)。
asn-query 将IP地址映射到自治系统(AS)编号。
auth-owners 尝试通过查询必须同时在目标系统上打开的auth守护程序来找到打开的TCP端口的所有者。 auth服务(也称为identd)通常在端口113上运行。
auth-spoof 检查正在欺骗其答复的(auth)服务器。
backorifice-brute 针对BackOrifice服务执行暴力密码审核。 backorifice-brute.ports脚本参数是强制性的(它指定运行脚本的端口)。
backorifice-info 连接到BackOrifice服务,并收集有关主机和BackOrifice服务本身的信息。
bacnet-info 发现并枚举BACNet设备根据标准请求收集设备信息。在某些情况下,设备可能不严格遵循规范,或者可能符合规范的旧版本,并且将导致BACNET错误响应。此错误的存在可以肯定地将设备标识为BACNet设备,但无法进行枚举。
banner 一个简单的banner横幅标语采集器,它连接到开放的TCP端口并在五秒钟内打印出侦听服务发送的所有内容。
bitcoin-getaddr 查询比特币服务器以获取已知比特币节点列表
bitcoin-info 从比特币服务器中提取版本和节点信息
bitcoinrpc-info 通过在其JSON-RPC接口上调用getinfo从比特币服务器获取信息。
bittorrent-discovery 发现基于用户提供的种子文件或磁力链接共享文件的bittorrent对等体。对等方实现Bittorrent协议并共享torrent,而节点(仅在指定了include-nodes NSE参数的情况下才显示)实现DHT协议并用于跟踪对等方。对等点和节点的集合并不相同,但是它们通常是相交的。
bjnp-discover 从支持BJNP协议的远程设备中检索打印机或扫描仪信息。基于网络的佳能设备支持该协议。
broadcast-ataoe-discover 发现支持ATA over Ethernet协议的服务器。以太网ATA是Brantley Coile公司开发的以太网协议,它允许通过以太网简单,高性能地访问SATA驱动器。
broadcast-avahi-dos 尝试使用DNS服务发现协议发现本地网络中的主机,并向每个主机发送NULL UDP数据包以测试它是否容易受到Avahi NULL UDP数据包拒绝服务(CVE-2011-1002)的攻击。
broadcast-bjnp-discover 尝试通过将BJNP Discover请求发送到与该协议关联的两个端口的网络广播地址,来发现支持BJNP协议的佳能设备(打印机/扫描仪)。
broadcast-db2-discover 尝试通过向端口523 / udp发送广播请求来发现网络上的DB2服务器。
broadcast-dhcp-discover 将DHCP请求发送到广播地址(255.255.255.255)并报告结果。脚本在执行此操作时会使用静态MAC地址(DE:AD:CO:DE:CA:FE),以防止作用域耗尽。
broadcast-dhcp6-discover 将DHCPv6请求(Solicit)发送到DHCPv6多播地址,解析响应,然后提取并打印该地址以及服务器返回的所有选项。
broadcast-dns-service-discovery 尝试使用DNS服务发现协议发现主机的服务。它发送多播DNS-SD查询并收集所有响应。
broadcast-dropbox-listener 侦听Dropbox.com客户端每20秒广播一次的LAN同步信息广播,然后打印所有发现的客户端IP地址,端口号,版本号,显示名称等。
broadcast-eigrp-discovery 通过思科的增强型内部网关路由协议(EIGRP)执行网络发现和路由信息收集。
broadcast-hid-discoveryd 通过发送发现的网络广播探针来发现LAN上的HID设备。
broadcast-igmp-discovery 发现具有IGMP组播成员身份的目标并获取有趣的信息。
broadcast-jenkins-discover 通过发送发现广播探针来发现LAN上的Jenkins服务器。
broadcast-listener 嗅探网络以进行广播通信,并尝试解码接收到的数据包。它支持CDP,HSRP,Spotify,DropBox,DHCP,ARP等协议。有关更多信息,请参见packetdecoders.lua。
broadcast-ms-sql-discover 发现同一广播域中的Microsoft SQL服务器。
broadcast-netbios-master-browser 尝试发现主浏览器及其管理的域。
broadcast-networker-discover 通过发送网络广播查询来发现LAN上的EMC Networker备份软件服务器。
broadcast-novell-locate 尝试使用服务定位协议来发现Novell NetWare核心协议(NCP)服务器。
broadcast-ospf2-discover 使用开放式最短路径优先版本2(OSPFv2)协议发现IPv4网络。
broadcast-pc-anywhere 发送特殊的广播探针以发现在LAN上运行的PC-Anywhere主机。
broadcast-pc-duo 通过发送特殊的广播UDP探针,发现LAN上运行的PC-DUO远程控制主机和网关。
broadcast-pim-discovery 发现运行PIM(协议无关多播)的路由器。
broadcast-ping 使用原始以太网数据包在选定的接口上发送广播ping,并输出响应主机的IP和MAC地址,或者(如果要求)将它们添加为目标。由于此脚本使用原始套接字,因此需要UNIX上的root特权。大多数操作系统不响应广播ping探测,但可以将其配置为响应广播ping探测。
broadcast-pppoe-discover 使用PPPoE发现协议(PPPoED)发现PPPoE(以太网上的点对点协议)服务器。 PPPoE是基于以太网的协议,因此脚本必须知道用于发现的以太网接口。如果未指定接口,则在所有可用接口上发送请求。
broadcast-rip-discover 从局域网上运行RIPv2的设备中发现主机和路由信息。它通过发送RIPv2 Request命令来这样做,并收集所有响应该请求的设备的响应。
broadcast-ripng-discover 通过发送广播RIPng Request命令并收集所有响应,从LAN上运行RIPng的设备中发现主机和路由信息。
broadcast-sonicwall-discover 发现使用与制造商拥有的“ SetupTool”相同的方法直接连接(未路由)的Sonicwall防火墙。由于脚本广播UDP数据包,因此需要配置接口。
broadcast-sybase-asa-discover 通过发送广播发现消息来发现LAN上的Sybase Anywhere服务器。
broadcast-tellstick-discover 发现局域网上的Telldus Technologies TellStickNet设备。 Telldus TellStick用于无线控制照明,调光器和电源插座等电气设备。有关更多信息:http://www.telldus.com/
broadcast-upnp-info 尝试通过发送多播查询,然后收集,解析和显示所有响应来从UPnP服务中提取系统信息。
broadcast-versant-locate 使用广播srvloc协议发现Versant对象数据库。
broadcast-wake-on-lan 通过发送“局域网唤醒”数据包将远程系统从睡眠中唤醒。
broadcast-wpad-discover 使用Web代理自动发现协议(WPAD)检索LAN上的代理服务器列表。它同时实现了DHCP和DNS方法,并从查询DHCP获取地址开始。 DHCP发现要求nmap在特权模式下运行,否则将被跳过。 DNS发现依赖于脚本能够通过脚本参数或尝试反向解析本地IP来解析本地域。
broadcast-wsdd-discover 使用多播查询来发现支持Web服务动态发现(WS-Discovery)协议的设备。它还尝试查找任何已发布的Windows Communication Framework(WCF)Web服务(.NET 4.0或更高版本)。
broadcast-xdmcp-discover 通过将XDMCP广播请求发送到LAN,发现运行X Display Manager控制协议(XDMCP)的服务器。在结果中,使用关键字Willing标记允许访问的显示管理器。
cassandra-brute 对Cassandra数据库执行暴力密码审计。
cassandra-info 尝试从Cassandra数据库获取基本信息和服务器状态。
cccam-version 检测CCcam服务(用于在多个接收方之间共享订阅电视的软件)。
cics-enum IBM大型机的CICS事务ID枚举器。该脚本基于Dominic White(https://github.com/sensepost/mainframe_brute)的mainframe_brute。但是,此脚本不依赖任何第三方库或工具,而是使用NSE TN3270库来模拟lua中的TN3270屏幕。
cics-info 使用CICS事务CEMT,此脚本尝试收集有关当前CICS事务服务器区域的信息。它收集操作系统信息,数据集(文件),事务和用户ID。基于Ayoub ELAASSAL的CICSpwn脚本。
cics-user-brute CESL登录屏幕的CICS用户ID强制脚本
cics-user-enum CESL / CESN登录屏幕的CICS用户ID枚举脚本。
citrix-brute-xml 尝试猜测Citrix PN Web代理XML服务的有效凭据。 XML服务通过本地Windows服务器或Active Directory进行身份验证。
citrix-enum-apps 从ICA浏览器服务中提取已发布的应用程序列表。
citrix-enum-apps-xml 从Citrix XML服务中提取应用程序,ACL和设置的列表。
citrix-enum-servers 从ICA浏览器服务中提取Citrix服务器列表。
citrix-enum-servers-xml 从Citrix XML服务中提取服务器场和成员服务器的名称。
clamav-exec 利用容易受到未经身份验证的clamav命令执行的ClamAV服务器。
clock-skew 分析扫描仪和报告时间戳的各种服务之间的时钟偏差
coap-resources 转储来自CoAP端点的可用资源列表。
couchdb-databases 从CouchDB数据库获取数据库表。
couchdb-stats 从CouchDB数据库获取数据库统计信息。
creds-summary 在扫描结束时列出所有发现的凭据(例如来自蛮力和默认密码检查脚本的凭据)。
cups-info 列出由CUPS打印服务管理的打印机。
cups-queue-info 列出按打印机分组的远程CUPS服务当前排队的打印作业。
cvs-brute 针对CVS pserver身份验证执行暴力密码审核。
cvs-brute-repository 尝试猜测远程服务器上托管的CVS存储库的名称。了解正确的存储库名称后,就可以猜测用户名和密码。
daap-get-library 从DAAP服务器检索音乐列表。 该列表包括艺术家姓名以及专辑和歌曲名称。
daytime 从Daytime服务中检索日期和时间。
db2-das-info 在TCP或UDP端口523上连接到IBM DB2管理服务器(DAS),并导出服务器概要文件。此请求不需要身份验证。
deluge-rpc-brute 针对DelugeRPC守护程序执行暴力密码审核。
dhcp-discover 向UDP端口67上的主机发送DHCPINFORM请求,以获取所有本地配置参数,而无需分配新地址。
dicom-brute 尝试强行使用DICOM服务器(DICOM服务提供商)的应用程序实体标题。
dicom-ping 尝试通过部分C-ECHO请求发现DICOM服务器(DICOM服务提供商)。它还检测服务器是否允许任何被调用的应用程序实体标题。
dict-info 使用DICT协议连接到词典服务器,运行SHOW SERVER命令,并显示结果。 DICT协议在RFC 2229中定义,并且该协议允许客户端从一组自然语言词典数据库中查询字典服务器以获取定义。
distcc-cve2004-2687 检测并利用分布式编译器守护程序distcc中的远程代码执行漏洞。该漏洞于2002年公开,但由于服务配置不佳,在现代实现中仍然存在。
dns-blacklist 针对多个DNS反垃圾邮件检查目标IP地址并打开代理黑名单,并返回已标记IP的服务列表。检查可能会受到服务类别(例如:SPAM,PROXY)或特定服务名称的限制。
dns-brute 尝试通过暴力猜测常见子域来枚举DNS主机名。使用dns-brute.srv参数,dns-brute还将尝试枚举常见的DNS SRV记录。
dns-cache-snoop 针对DNS服务器执行DNS缓存侦听。
dns-check-zone 根据包括RFC 1912在内的最佳实践检查DNS区域配置。配置检查分为几类,每类都有许多不同的测试。
dns-client-subnet-scan 使用edns-client-subnet选项执行域查找,该选项允许客户端指定查询所源自的子网。该脚本使用此选项来提供许多地理位置分布,以尝试枚举尽可能多的不同地址记录。该脚本还支持使用给定子网的请求。
dns-fuzz 对DNS服务器发起DNS模糊攻击。
dns-ip6-arpa-scan 使用一种分析DNS服务器响应代码的技术对IPv6网络执行快速反向DNS查找,以大大减少枚举大型网络所需的查询数量。
dns-nsec-enum 使用DNSSEC NSEC漫游技术枚举DNS名称。
dns-nsec3-enum 尝试从支持DNSSEC NSEC3记录的DNS服务器枚举域名。
dns-nsid 通过请求DNS名称服务器ID(nsid)并询问其id.server和version.bind值,从DNS名称服务器中检索信息。该脚本执行与以下两个dig命令相同的查询:-dig CH TXT bind.version @target-dig + nsid CH TXT id.server @target
dns-random-srcport 检查DNS服务器是否存在可预测的端口递归漏洞。可预测的源端口会使DNS服务器容易受到缓存中毒攻击(请参阅CVE-2008-1447)。
dns-random-txid 检查DNS服务器是否存在可预测的TXID DNS递归漏洞。可预测的TXID值可使DNS服务器容易受到缓存中毒攻击(请参阅CVE-2008-1447)。
dns-recursion 检查DNS服务器是否允许查询第三方名称。预期将在您自己的内部名称服务器上启用递归。
dns-service-discovery 尝试使用DNS服务发现协议发现目标主机的服务。
dns-srv-enum 枚举给定域名的各种公共服务(SRV)记录。服务记录包含给定服务的服务器的主机名,端口和优先级。该脚本列举了以下服务:

-Active Directory全局目录

-Exchange自动发现

-Kerberos KDC服务

-Kerberos Passwd更改服务

-LDAP服务器

-SIP服务器

-XMPP S2S

-XMPP C2S

dns-update 尝试执行动态DNS更新而不进行身份验证。
dns-zeustracker 通过查询ZTDNS @ abuse.ch,检查目标IP范围是否是Zeus僵尸网络的一部分。在开始扫描之前,请查看以下信息:

https://zeustracker.abuse.ch/ztdns.php

dns-zone-transfer 从DNS服务器请求区域传输(AXFR)。
docker-version 检测Docker服务版本。
domcon-brute 针对Lotus Domino控制台执行暴力密码审计。
domcon-cmd 使用给定的认证凭证在Lotus Domino控制台上运行控制台命令(另请参见:domcon-brute)
domino-enum-users 尝试利用CVE-2006-5835漏洞发现有效的IBM Lotus Domino用户并下载其ID文件。
dpap-brute 对iPhoto库执行暴力密码审核。
drda-brute 针对支持IBM DB2协议的数据库(例如Informix,DB2和Derby)执行密码猜测
drda-info 尝试从支持DRDA协议的数据库服务器中提取信息。 该脚本发送DRDA EXCSAT(交换服务器属性)命令包并解析响应。
duplicates 尝试通过分析和比较其他脚本收集的信息来发现多宿主系统。 当前分析的信息包括SSL证书,SSH主机密钥,MAC地址和Netbios服务器名称
eap-info 枚举EAP(可扩展身份验证协议)身份验证器针对给定身份或匿名身份(如果未传递参数)提供的身份验证方法。
enip-info 此NSE脚本用于将EtherNet / IP数据包发送到已打开TCP 44818的远程设备。该脚本将发送一个请求标识数据包,并且一旦收到响应,它将验证它是否是对已发送命令的正确响应,然后将解析出数据。解析的信息包括设备类型,供应商ID,产品名称,序列号,产品代码,版本号,状态,状态以及设备IP。
epmd-info 连接到Erlang Port Mapper守护程序(epmd),并检索具有各自端口号的节点列表。
eppc-enum-processes 尝试通过Apple远程事件协议枚举进程信息。通过Apple Remote Event协议访问应用程序时,服务会在请求身份验证之前以应用程序的uid和pid响应(如果正在运行)。
fcrdns 执行前向确认的反向DNS查找并报告异常结果。
finger 尝试使用Finger服务检索用户名列表。
fingerprint-strings 从未知服务的服务指​​纹中打印可读字符串。
firewalk 尝试使用称为Firewalk的IP TTL过期技术发现防火墙规则。
firewall-bypass 检测netfilter和其他防火墙中的漏洞,这些漏洞使用帮助程序动态打开ftp和sip等协议的端口。
flume-master-info 从Flume主HTTP页面检索信息。
fox-info Tridium Niagara Fox是楼宇自动化系统中使用的协议。基于比利·里奥斯(Billy Rios)和特里·麦考克尔(Terry McCorkle)的工作,该Nmap NSE将从Tridium Niagara系统收集信息。
freelancer-info 通过发送状态查询UDP探针来检测Freelancer游戏服务器(FLServer.exe)服务。
ftp-anon 检查FTP服务器是否允许匿名登录。
ftp-bounce 检查FTP服务器是否允许使用FTP退回方法进行端口扫描。
ftp-brute 对FTP服务器执行暴力密码审计。
ftp-libopie 检查FTPd是否易于发生CVE-2010-1938(OPIE一次堆栈溢出),这是Maksymilian Arciemowicz和Adam“ pi3” Zabrocki发现的漏洞。请参阅https://nmap.org/r/fbsd-sa-opie上的咨询。请注意,如果针对易受攻击的主机启动该脚本,则会使FTPd崩溃。
ftp-proftpd-backdoor 测试是否存在ProFTPD 1.3.3c后门(报告为BID 45150)。此脚本默认情况下尝试使用innocuous id命令来利用后门,但可以使用ftp-proftpd-backdoor.cmd脚本参数对其进行更改。
ftp-syst 发送FTP SYST和STAT命令并返回结果。
ftp-vsftpd-backdoor 2011年7月4日(CVE-2011-2523)报告了是否存在vsFTPd 2.3.4后门的测试。默认情况下,该脚本尝试使用innocuous id命令来利用后门程序,但是可以通过exploit.cmd或ftp-vsftpd-backdoor.cmd脚本参数对其进行更改。
ftp-vuln-cve2010-4221 检查版本1.3.2rc3和1.3.3b之间的ProFTPD服务器中基于堆栈的缓冲区溢出。通过发送大量TELNET_IAC转义序列,proftpd进程将错误计算缓冲区长度,并且远程攻击者将能够在proftpd进程的上下文中破坏堆栈并执行任意代码(CVE-2010-4221)。利用此漏洞不需要身份验证。
ganglia-info 从侦听的Ganglia监控守护程序或Ganglia Meta守护程序中检索系统信息(操作系统版本,可用内存等)。
giop-info 在CORBA命名服务器中查询对象列表。
gkrellm-info 查询GKRellM服务以监视信息。 进行了一次收集,显示了请求时的信息快照。
gopher-ls 在gopher服务的根目录列出文件和目录。
gpsd-info 从GPSD网络守护程序检索GPS时间,坐标和速度。
hadoop-datanode-info 从Apache Hadoop DataNode HTTP状态页面发现信息,例如日志目录
hadoop-jobtracker-info 从Apache Hadoop JobTracker HTTP状态页面检索信息。
hadoop-namenode-info 从Apache Hadoop NameNode HTTP状态页面检索信息。
hadoop-secondary-namenode-info 从Apache Hadoop辅助NameNode HTTP状态页面检索信息。
hadoop-tasktracker-info 从Apache Hadoop TaskTracker HTTP状态页面检索信息。
hbase-master-info 从Apache HBase(Hadoop数据库)主HTTP状态页面检索信息。
hbase-region-info 从Apache HBase(Hadoop数据库)区域服务器HTTP状态页面检索信息。
hddtemp-info 从正在监听的hddtemp服务中读取硬盘信息(例如品牌,型号,有时还包括温度)。
hnap-info 使用HNAP(“家庭网络管理协议”)检索硬件详细信息和配置信息。它是基于HTTP-简单对象访问协议(SOAP)的协议,允许对设备(路由器,摄像机,PC,NAS等)进行远程拓扑发现,配置和管理。
hostmap-bfk 通过查询位于http://www.bfk.de/bfk_dnslogger.html的在线数据库来发现解析为目标IP地址的主机名。
hostmap-crtsh 通过查询Google的证书透明度日志数据库(https://crt.sh)查找Web服务器的子域。
hostmap-robtex 通过查询位于http://ip.robtex.com/的在线Robtex服务,发现解析为目标IP地址的主机名。
http-adobe-coldfusion-apsa1301 尝试利用Adobe Coldfusion服务器中的身份验证绕过漏洞来检索有效的管理员会话cookie。
http-affiliate-id 从网页中获取联属网络ID(例如Google AdSense或Google Analytics(分析),Amazon Associates等)。这些可用于识别具有相同所有者的页面。
http-apache-negotiation 检查目标http服务器是否启用了mod_negotiation。可以利用此功能查找隐藏资源,并使用更少的请求来建立网站。
http-apache-server-status 尝试为启用了mod_status的Apache Web服务器检索服务器状态页面。如果服务器状态页面存在并且似乎来自mod_status,则脚本将解析有用的信息,例如系统正常运行时间,Apache版本和最近的HTTP请求。
http-aspnet-debug 确定ASP.NET应用程序是否使用HTTP DEBUG请求启用了调试。
http-auth 检索需要认证的Web服务的认证方案和领域。
http-auth-finder 搜寻网站,以查找需要基于表单或基于HTTP的身份验证的网页。结果与每个URL和检测到的方法一起返回到表中。
http-avaya-ipoffice-users 尝试枚举Avaya IP Office系统7.x中的用户。
http-awstatstotals-exec 利用Awstats Totals 1.0至1.14中的一个远程执行代码漏洞,以及可能基于该漏洞的其他产品(CVE:2008-3922)。
http-axis2-dir-traversal 通过向参数xsd(BID 40343)发送特制请求,利用Apache Axis2版本1.4.1中的目录遍历漏洞。默认情况下,它将尝试使用路径“ / axis2 / services /”检索Axis2服务“ /conf/axis2.xml”的配置文件,以返回管理员帐户的用户名和密码。
http-backup-finder 搜寻网站并尝试识别发现文件的备份副本。它通过请求文件名的多个不同组合(例如index.bak,index.html〜,index.html的副本)来实现。
http-barracuda-dir-traversal 尝试使用http://seclists.org/fulldisclosure/2010/Oct/119中描述的目录遍历漏洞从梭子鱼网络垃圾邮件和病毒防火墙设备检索配置设置。
http-bigip-cookie 解码HTTP响应中所有未加密的F5 BIG-IP cookie。 BIG-IP cookie包含有关后端系统的信息,例如内部IP地址和端口号。请参阅此处以获取更多信息:https://support.f5.com/csp/article/K6917
http-brute 针对http基本,摘要和ntlm身份验证执行暴力密码审计。
http-cakephp-version 通过对CakePHP框架附带的默认文件进行指纹识别,获取使用CakePHP框架构建的Web应用程序的CakePHP版本。
http-chrono 测量网站交付网页所花费的时间,并返回获取页面所花费的最大,最小和平均时间。
http-cisco-anyconnect 作为Cisco AnyConnect客户端连接到Cisco SSL VPN,并检索版本和隧道信息。
http-coldfusion-subzero 尝试从易受攻击的ColdFusion 9和10安装中检索版本,管理面板的绝对路径以及文件“ password.properties”。
http-comments-displayer 从HTTP响应中提取并输出HTML和JavaScript注释。
http-config-backup 检查公共内容管理系统和Web服务器配置文件的备份和交换文件。
http-cookie-flags 检查HTTP服务设置的cookie。报告未设置httponly标志的任何会话cookie。报告没有安全标志的通过SSL设置的任何会话cookie。如果还运行http-enum.nse,则除根目录外还将检查它找到的所有有趣路径。
http-cors 测试http服务器的跨域资源共享(CORS),这是域明确选择让其他域调用某些方法的一种方式。
http-cross-domain-policy 检查Web应用程序中的跨域策略文件(/crossdomain.xml)和client-acces-policy文件(/clientaccesspolicy.xml),并列出受信任的域。过度宽松的设置会启用跨站点请求伪造攻击,并可能允许攻击者访问敏感数据。该脚本对于检测允许的配置和可能的域名(可供购买以利用该应用程序)很有用。
http-csrf 此脚本检测跨站点请求伪造(CSRF)漏洞。
http-date 从类似HTTP的服务中获取日期。同时打印日期与当地时间的差异。本地时间是发送HTTP请求的时间,因此差异至少包括一个RTT的持续时间。
http-default-accounts 使用各种Web应用程序和设备使用的默认凭据测试访问权限。
http-devframework
http-dlink-backdoor 通过将User-Agent更改为“秘密”值来检测某些D-Link路由器上的固件后门。使用“秘密”用户代理会绕过身份验证,并允许管理员访问路由器。
http-dombased-xss 它查找DOM中攻击者控制的信息可能以某些方式用于影响JavaScript执行的地方。该攻击的解释如下:http://www.webappsec.org/projects/articles/071105.shtml
http-domino-enum-passwords 尝试枚举哈希的Domino Internet密码,默认情况下,所有经过身份验证的用户都可以访问它们。该脚本还可以下载附加到“个人”文档的任何Domino ID文件。密码以适合在《开膛手约翰》中运行的形式出现。
http-drupal-enum 通过使用已知模块和主题的列表枚举已安装的Drupal模块/主题。
http-drupal-enum-users 通过利用Drupal最受欢迎的模块Views中的信息泄露漏洞来枚举Drupal用户。
http-enum 枚举流行的Web应用程序和服务器使用的目录。
http-errors 该脚本会爬网网站并返回任何错误页面。
http-exif-spider 搜寻网站的图片,寻找嵌入在.jpg文件中的有趣exif数据。显示相机的品牌和型号,照片拍摄的日期以及嵌入式地理标签信息。
http-favicon 从网页获取收藏夹图标(“收藏夹图标”),并将其与已知Web应用程序图标的数据库进行匹配。如果匹配,则打印应用程序的名称;否则,将打印图标数据的MD5哈希值。
http-feed 该脚本在网站上进行爬网以查找任何rss或atom提要。
http-fetch 该脚本用于从服务器获取文件。
http-fileupload-exploiter http-fileupload-exploiter
使用各种技术来利用Web应用程序中不安全的文件上传表单,例如更改Content-type标头或创建包含注释中的有效负载的有效图像文件。
http-form-brute 针对基于http表单的身份验证执行暴力密码审计。
http-form-fuzzer 对网站上的表单执行简单的表单模糊处理。尝试增加长度的字符串和数字,并尝试确定模糊测试是否成功。
http-frontpage-login 检查目标计算机是否容易受到匿名Frontpage登录的攻击。
http-generator 显示网页的“ generator”元标记的内容(默认值:/)(如果有)。
http-git 检查在网站文档根目录/.git/ <something>)中找到的Git存储库,并检索尽可能多的存储库信息,包括语言/框架,远程,最后提交消息和存储库描述。
http-gitweb-projects-enum 从gitweb(Git版本控制系统的Web界面)检索Git项目,所有者和描述的列表。
http-google-malware 检查主机是否在Google的可疑恶意软件和网络钓鱼服务器的黑名单中。这些列表会不断更新,并且是Google安全浏览服务的一部分。
http-grep 搜寻网站,并尝试将所有网页和网址与给定的字符串进行匹配。根据发现匹配项的网址对匹配项进行计数和分组。
http-headers 对Web服务器的根文件夹(“ /”)执行HEAD请求,并显示返回的HTTP标头。
http-hp-ilo-info 尝试从HP iLO板上提取信息,包括版本和地址。
http-huawei-hg5xx-vuln 检测易受远程证书和信息泄露漏洞影响的华为调制解调器型号HG530x,HG520x,HG510x(可能还有其他)。它还提取PPPoE凭据和其他有趣的配置值。
http-icloud-findmyiphone 通过查询MobileMe Web服务来检索所有启用了“查找我的iPhone”的iOS设备的位置(需要身份验证)。
http-icloud-sendmsg 通过Apple MobileMe Web服务将消息发送到iOS设备。该设备必须使用“查找我的Iphone”应用程序以Apple ID注册。
http-iis-short-name-brute 尝试强行使用易受攻击的IIS服务器的根文件夹中的文件和目录的8.3文件名(通常称为短名称)。该脚本是PoC“ iis短名称扫描程序”的实现。
http-iis-webdav-vuln 检查IIS 5.1 / 6.0中的漏洞,该漏洞允许任意用户通过搜索受密码保护的文件夹并尝试访问它来访问受保护的WebDAV文件夹。此漏洞已在Microsoft安全公告MS09-020(https://nmap.org/r/ms09-020)中修复。
http-internal-ip-disclosure 确定在发送不带主机头的HTTP / 1.0请求时Web服务器是否泄漏其内部IP地址。
http-joomla-brute 针对Joomla Web CMS安装执行暴力密码审核。
http-jsonp-detection 尝试在Web服务器中发现JSONP端点。 JSONP端点可用于绕过Web浏览器中的同源策略限制。
http-litespeed-sourcecode-download 利用4.0.15之前的Litespeed Web Servers 4.0.x中的一个空字节中毒漏洞,通过发送带有空字节后跟.txt文件扩展名的HTTP请求来检索目标脚本的源代码(CVE-2010-2333)。
http-ls 显示“index索引”网页的内容。
http-majordomo2-dir-traversal 利用Majordomo2中存在的目录遍历漏洞来检索远程文件。 (CVE-2011-0049)。
http-malware-host 寻找已知服务器危害的签名。
http-mcmp 检查Web服务器是否允许使用mod_cluster管理协议(MCMP)方法。
http-method-tamper 尝试通过执行HTTP动词篡改来绕过受密码保护的资源(HTTP 401状态)。如果未设置要检查的路径数组,它将对Web服务器进行爬网,并对发现的任何受密码保护的资源执行检查。
http-methods 通过发送OPTIONS请求来找出HTTP服务器支持哪些选项。列出有潜在风险的方法。它分别测试OPTIONS标头中未提及的那些方法,并查看它们是否已实现。除501/405以外的任何输出均表明该方法的范围不在400到600之间。如果响应落在该范围内,则将其与随机生成的方法的响应进行比较。
http-mobileversion-checker 检查网站是否拥有移动版本。
http-ntlm-info 此脚本枚举启用了NTLM身份验证的来自远程HTTP服务的信息。
http-open-proxy 检查HTTP代理是否打开。
http-open-redirect 搜寻网站并尝试识别开放的重定向。开放重定向是通常将URL作为参数并以HTTP重定向(3XX)响应目标的处理程序。开放重定向的风险在http://cwe.mitre.org/data/definitions/601.html中进行了描述。
http-passwd 通过尝试检索/etc/passwd或 \boot.ini,检查Web服务器是否容易受到目录遍历的攻击。
http-php-version 尝试从Web服务器检索PHP版本。 PHP有许多魔术查询,它们返回的图像或文本可能随PHP版本的不同而不同。该脚本使用以下查询:

/?= PHPE9568F36-D428-11d2-A769-00AA001ACF42:获得GIF徽标,该徽标在愚人节那天有所变化。

/?= PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000:获取HTML信用页面。
http-phpmyadmin-dir-traversal
利用phpMyAdmin 2.6.4-pl1(以及可能的其他版本)中的目录遍历漏洞来检索Web服务器上的远程文件。

http-phpmyadmin-dir-traversal 爬网Web服务器,并尝试通过变量$ _SERVER [“ PHP_SELF”]查找容易受到反映的跨站点脚本攻击的PHP文件。
http-phpself-xss 爬网Web服务器,并尝试通过变量$ _SERVER [“ PHP_SELF”]查找容易受到反映的跨站点脚本攻击的PHP文件。
http-proxy-brute 对HTTP代理服务器执行蛮力密码猜测。
http-put 使用HTTP PUT方法将本地文件上传到远程Web服务器。您必须使用NSE参数指定文件名和URL路径。
http-qnap-nas-info 尝试从QNAP网络附加存储(NAS)设备检索型号,固件版本和启用的服务。
http-referer-checker 有关跨域包含脚本的信息。包含外部JavaScript脚本的网站将部分安全性委托给第三方实体。
http-rfi-spider 搜寻Web服务器以查找RFI(远程文件包含)漏洞。它测试找到的每个表单字段以及包含查询的URL的每个参数。
http-robots.txt 检查Web服务器上/robots.txt中不允许的条目。
http-robtex-reverse-ip 通过查询Robtex服务(https://www.robtex.com/ip-lookup/),最多可获得100个目标IP地址的转发DNS名称。
http-robtex-shared-ns 通过查询位于http://www.robtex.com/dns/的Robtex服务,最多查找100个与目标服务器使用相同名称服务器的域名。
http-sap-netweaver-leak 检测允许匿名访问KM单位导航页面的SAP Netweaver Portal实例。此页面泄漏文件名,ldap用户等。
http-security-headers 检查与OWASP Secure Headers Project中提供的安全性相关的HTTP响应标头,并提供标头及其配置值的简短描述。
http-server-header 使用HTTP Server标头获取缺少的版本信息。由于需要正确匹配非HTTP服务,因此当前在版本探针中是不可行的。
http-shellshock 尝试利用Web应用程序中的“ shellshock”漏洞(CVE-2014-6271和CVE-2014-7169)。
http-sitemap-generator 搜寻Web服务器并显示其目录结构以及每个文件夹中文件的数量和类型。请注意,列为具有“其他”扩展名的文件是不具有扩展名的文件,或者是根文档。
http-slowloris 通过启动Slowloris攻击来测试Web服务器是否受到Slowloris DoS攻击的攻击。
http-slowloris-check 测试Web服务器是否受到Slowloris DoS攻击的漏洞,而无需实际发起DoS攻击。
http-sql-injection 搜寻HTTP服务器以查找包含易受SQL注入攻击攻击的查询的URL。它还从找到的网站中提取表单,并尝试识别易受攻击的字段。
http-stored-xss 未过滤的“>”(大于符号)。潜在的XSS漏洞的迹象。
http-svn-enum 通过检查最新提交的日志来枚举Subversion存储库的用户。
http-svn-info 向Subversion存储库请求信息。
http-title 显示Web服务器默认页面的标题。
http-tplink-dir-traversal 利用多个TP-Link无线路由器中存在的目录遍历漏洞。攻击者可能利用此漏洞无需身份验证即可远程读取任何配置和密码文件。
http-trace 发送HTTP TRACE请求并显示是否启用了TRACE方法。如果启用了debug,它将返回在响应中修改的标头字段。
http-traceroute 利用Max-Forwards HTTP标头检测反向代理的存在。
http-trane-info 尝试从Trane Tracer SC设备获取信息。 Trane Tracer SC是一个智能现场面板,用于与跨多个部门(包括商业设施等)部署的HVAC设备控制器进行通信。
http-unsafe-output-escaping 搜寻网站,并尝试找出将内容反射回用户的输出转义问题。该脚本查找所有参数?x = foo&y = bar并检查值是否在页面上反映出来。如果确实反映了这些问题,则脚本将尝试插入ghz> hzx“ zxc'xcv,并检查哪些(如果有)字符被反射回页面而没有适当的html换码。这表明潜在的XSS漏洞。
http-useragent-tester 检查主机是否允许各种爬网实用程序。
http-userdir-enum 尝试枚举启用了mod_userdir模块或类似功能的Web服务器上的有效用户名。
http-vhosts 通过使用通用主机名对http服务器发出大量HEAD请求来搜索Web虚拟主机名。
http-virustotal 检查Virustotal是否已将文件确定为恶意软件。 Virustotal是一项服务,提供了针对许多主要的防病毒软件供应商扫描文件或检查校验和的功能。该脚本使用公共API,该API需要有效的API密钥,并且每分钟不得超过4个查询。可以通过在病毒总数网页上注册为用户来获取密钥:

http://www.virustotal.com

http-vlcstreamer-ls 连接到VLC Streamer帮助程序服务并列出目录内容。 iOS VLC Streamer应用程序使用VLC Streamer帮助程序服务来启用多媒体内容从远程服务器到设备的流传输。
http-vmware-path-vuln 检查VMWare ESX,ESXi和Server中的路径遍历漏洞(CVE-2009-3733)。
http-vuln-cve2006-3392 利用Webmin中的文件泄露漏洞(CVE-2006-3392)
http-vuln-cve2009-3960 利用cve-2009-3960,也称为Adobe XML外部实体注入。
http-vuln-cve2010-0738 测试JBoss目标是否易受jmx控制台身份验证绕过(CVE-2010-0738)。
http-vuln-cve2010-2861 对ColdFusion服务器执行目录遍历攻击,并尝试获取管理员用户的密码哈希。然后,它使用盐值(隐藏在网页中)创建Web服务器以admin身份验证所需的SHA1 HMAC哈希。您可以将此值作为管理员传递给ColdFusion服务器,而不会破坏密码哈希。
http-vuln-cve2011-3192 以Apache Web服务器处理页面的多个重叠/简单范围的请求的方式检测拒绝服务漏洞。
http-vuln-cve2011-3368 在Apache HTTP服务器的反向代理模式下测试CVE-2011-3368(反向代理绕过)漏洞。该脚本将运行3个测试:

环回测试,带有3个有效负载以处理不同的重写规则

内部主机测试。根据Contextis,我们预计服务器错误之前会有所延迟。

外部网站测试。这并不意味着您可以访问LAN ip,但是无论如何这都是一个相关的问题。

http-vuln-cve2012-1823 检测容易受到CVE-2012-1823攻击的PHP-CGI安装。此严重漏洞使攻击者可以检索源代码并远程执行代码。
http-vuln-cve2013-0156 检测容易受到对象注入,远程命令执行和拒绝服务攻击的Ruby on Rails服务器。 (CVE-2013-0156)
http-vuln-cve2013-6786 在Allegro RomPager Web服务器中检测URL重定向和反映的XSS漏洞。该漏洞已分配为CVE-2013-6786。
http-vuln-cve2013-7091 0天由rubina119在2013年12月6日发布,并在Zimbra 7.2.6中进行了修补。
http-vuln-cve2014-2126 检测Cisco ASA设备是否容易受到Cisco ASA ASDM特权升级漏洞(CVE-2014-2126)的攻击。
http-vuln-cve2014-2127 检测Cisco ASA设备是否容易受到Cisco ASA SSL VPN特权升级漏洞(CVE-2014-2127)的攻击。
http-vuln-cve2014-2128 检测Cisco ASA设备是否容易受到Cisco ASA SSL VPN身份验证绕过漏洞(CVE-2014-2128)的攻击。
http-vuln-cve2014-2129 检测Cisco ASA设备是否容易受到Cisco ASA SIP拒绝服务漏洞(CVE-2014-2129)的攻击。
http-vuln-cve2014-3704 利用CVE-2014-3704(在Drupal中也称为“ Drupageddon”)。已知Drupal内核的版本低于7.32。
http-vuln-cve2014-8877 利用Wordpress CM Download Manager插件中的远程代码注入漏洞(CVE-2014-8877)。已知版本<= 2.0.0会受到影响。
http-vuln-cve2015-1427 该脚本尝试检测漏洞CVE-2015-1427,攻击者可以利用此漏洞利用此API的功能来获得未经身份验证的远程代码执行(RCE)。
http-vuln-cve2015-1635 检查Microsoft Windows系统(CVE2015-2015-1635)中的远程执行代码漏洞(MS15-034)。
http-vuln-cve2017-1001000 尝试检测Wordpress 4.7.0和4.7.1中的特权升级漏洞,该漏洞允许未经身份验证的用户在帖子中注入内容。
http-vuln-cve2017-5638 检测指定的URL是否容易受到Apache Struts远程代码执行漏洞(CVE-2017-5638)的攻击。
http-vuln-cve2017-5689 检测具有英特尔主动管理技术的系统是否容易受到INTEL-SA-00075特权升级漏洞(CVE2017-5689)的攻击。
http-vuln-cve2017-8917 影响Joomla!的SQL注入漏洞! 3.7.1之前的3.7.x允许未经身份验证的用户执行任意SQL命令。此漏洞是由3.7版中引入的新组件com_fields引起的。该组件是可公开访问的,这意味着访问此站点的任何恶意个人都可以利用此组件。
http-vuln-misfortune-cookie 通过安全利用RomPager 4.07 Misfortune Cookie漏洞进行检测。
http-vuln-wnr1000-creds WNR 1000系列中发现了一个漏洞,攻击者可以利用该漏洞通过路由器接口检索管理员凭据。在固件版本上测试:V1.0.2.60_60.0.86(最新)和V1.0.2.54_60.0.82NA
http-waf-detect 尝试通过用恶意负载探测Web服务器并检测响应代码和主体的变化来确定Web服务器是否受IPS(入侵防御系统),IDS(入侵检测系统)或WAF(Web应用防火墙)保护。
http-waf-fingerprint 尝试检测Web应用程序防火墙的存在及其类型和版本。
http-webdav-scan 用于检测WebDAV安装的脚本。使用OPTIONS和PROPFIND方法。
http-wordpress-brute 对Wordpress CMS /博客安装执行暴力密码审核。
http-wordpress-enum 枚举Wordpress安装的主题和插件。该脚本还可以通过比较版本号和从api.wordpress.org获取的信息来检测过时的插件。
http-wordpress-users 通过利用版本2.6、3.1、3.1.1、3.1.3和3.2-beta2中可能存在的信息泄露漏洞来枚举Wordpress博客/ CMS安装中的用户名。
http-xssed 该脚本搜索xssed.com数据库并输出结果。
https-redirect 检查在同一端口上重定向到HTTPS的HTTP服务。
iax2-brute 根据Asterisk IAX2协议执行暴力密码审核。当由于maxcallnumber限制(默认2048)而进行大量尝试时,猜测失败。如果一段时间后出现“错误:重试太多,中止...”,则很可能是这种情况。为了避免出现此问题,请尝试:-减少字典的大小-使用“蛮力延迟”选项在猜测之间引入延迟-将猜测分成多个块,并在它们之间等待一段时间
iax2-version 检测UDP IAX2服务。
icap-info 测试已知的ICAP服务名称列表,并打印有关其检测到的任何信息。 Internet内容适配协议(ICAP)用于扩展透明代理服务器,通常用于内容筛选和防病毒扫描。
iec-identify 尝试识别IEC 60870-5-104 ICS协议。
ike-version 通过向主机发送四个数据包,从IKE服务获取信息(例如,供应商和设备类型(如果可用))。该脚本使用主模式和积极模式进行测试,并根据请求发送多个转换。
imap-brute 使用LOGIN,PLAIN,CRAM-MD5,DIGEST-MD5或NTLM身份验证对IMAP服务器执行暴力密码审核。
imap-capabilities 检索IMAP电子邮件服务器功能。
imap-ntlm-info 此脚本枚举启用了NTLM身份验证的远程IMAP服务中的信息。
impress-remote-discover 测试LibreOffice Impress Remote服务器是否存在。如果提供了PIN,则检查PIN是否有效;如果需要,将强行使用PIN。
informix-brute 针对IBM Informix Dynamic Server执行暴力密码审计。
informix-query 使用给定的认证凭证对IBM Informix Dynamic Server运行查询(另请参见:notifyix-brute)。
informix-tables 检索Informix服务器上每个数据库的表和列定义的列表。
ip-forwarding 通过使用扫描的主机作为默认网关将ICMP回显请求发送到给定目标,来检测远程设备是否已启用ip转发或“ Internet连接共享”。
ip-geolocation-geoplugin 尝试使用Geoplugin地理位置Web服务(http://www.geoplugin.com/)来标识IP地址的物理位置。使用此服务的查询没有限制。
ip-geolocation-ipinfodb 尝试使用IPInfoDB地理位置Web服务(http://ipinfodb.com/ip_location_api.php)标识IP地址的物理位置
ip-geolocation-map-bing 该脚本向Nmap注册表查询以前的地理位置脚本存储的目标的GPS坐标,并呈现表示目标的标记的必应地图。
ip-geolocation-map-google 该脚本向Nmap注册表查询以前的地理位置脚本存储的目标的GPS坐标,并呈现代表目标的标记的Google Map。
ip-geolocation-map-kml 该脚本向Nmap注册表查询以前的地理位置脚本存储的目标的GPS坐标,并生成代表目标的点的KML文件。
ip-geolocation-maxmind 尝试使用Geolocation Maxmind数据库文件(可从http://www.maxmind.com/app/ip-location获得)识别IP地址的物理位置。该脚本支持使用其API支持的所有Maxmind数据库进行查询,包括商业数据库。
ip-https-discover 检查是否支持IP over HTTPS(IP-HTTPS)隧道协议[1]。
ipidseq 对主机的IP ID序列进行分类(测试对空闲扫描的敏感性)。
ipmi-brute 对IPMI RPC服务器执行暴力密码审核。
ipmi-cipher-zero IPMI 2.0密码零身份验证旁路扫描程序。该模块确定了IPMI 2.0兼容系统,这些系统通过使用密码0容易受到身份验证绕过漏洞的攻击。
ipmi-version 通过Channel Auth探针执行IPMI信息发现。
ipv6-multicast-mld-list 使用“多播侦听器发现”在链接本地范围内列出IPv6多播侦听器订阅的多播地址。 IANA IPv6组播地址空间注册表中的地址列出了其描述。
ipv6-node-info 通过IPv6节点信息查询获取主机名,IPv4和IPv6地址。
ipv6-ra-flood 生成大量带有随机源MAC地址和IPv6前缀的路由器广告(RA)。默认情况下启用了无状态自动配置的计算机(每个主要操作系统),将开始计算IPv6后缀并更新其路由表以反映已接受的公告。这将导致Windows和平台上的CPU使用率达到100%,从而阻止处理其他应用程序请求。
irc-botnet-channels 检查IRC服务器中是否有恶意僵尸网络常用的通道。
irc-brute 对IRC(Internet中继聊天)服务器执行暴力密码审计。
irc-info 从IRC服务器收集信息。
irc-sasl-brute 对支持SASL身份验证的IRC(Internet中继聊天)服务器执行暴力密码审核。
irc-unrealircd-backdoor 通过运行基于时间的命令(ping)并检查响应时间,来检查IRC服务器是否被后门。
iscsi-brute 针对iSCSI目标执行暴力密码审计。
iscsi-info 从远程iSCSI目标收集并显示信息。
isns-info 列出向Internet存储名称服务(iSNS)注册的门户和iSCSI节点。
jdwp-exec 尝试利用Java的远程调试端口。当远程调试端口保持打开状态时,可以注入Java字节码并实现远程代码执行。该脚本滥用了它来注入并执行Java类文件,该文件执行提供的shell命令并返回其输出。
jdwp-info 尝试利用Java的远程调试端口。当远程调试端口保持打开状态时,可以注入Java字节码并实现远程代码执行。该脚本将注入并执行一个Java类文件,该文件将返回远程系统信息。
jdwp-inject 尝试利用Java的远程调试端口。当远程调试端口保持打开状态时,可以注入Java字节码并实现远程代码执行。该脚本允许注入任意的类文件。
jdwp-version 检测Java调试线协议。 Java程序使用此协议通过网络进行调试。它不应该对公共Internet开放,因为它不能为恶意攻击者提供任何安全保护,这些恶意攻击者可以将自己的字节码注入调试过程中。
knx-gateway-discover 通过向包含目标端口3671的UDP负载的多播地址224.0.23.12发送KNX搜索请求来发现KNX网关。KNX网关将以KNX搜索响应作为响应,其中包括有关网关的各种信息,例如KNX地址和支持的服务。
knx-gateway-info 通过发送KNX描述请求来标识UDP端口3671上的KNX网关。
krb5-enum-users 通过蛮力针对Kerberos服务查询可能的用户名来发现有效的用户名。 当请求无效的用户名时,服务器将使用Kerberos错误代码KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN进行响应,从而使我们能够确定用户名无效。 有效的用户名将使AS-REP响应中的TGT非法或出现错误KRB5KDC_ERR_PREAUTH_REQUIRED,这表明需要用户执行预身份验证
ldap-brute 尝试强行进行LDAP认证。 默认情况下,它使用内置的用户名和密码列表。 为了使用您自己的列表,请使用userdb和passdb脚本参数。
ldap-novell-getpass 通用密码启用高级密码策略,包括密码中的扩展字符,密码从eDirectory到其他系统的同步以及用于所有对eDirectory的访问的单个密码。
ldap-rootdse 检索LDAP根DSA特定项(DSE)
ldap-search 尝试执行LDAP搜索并返回所有匹配项。
lexmark-config 从Lexmark S300-S400打印机检索配置信息。
llmnr-resolve 通过使用LLMNR(链接本地多播名称解析)协议来解析主机名。
lltd-discovery 使用Microsoft LLTD协议发现本地网络上的主机。
lu-enum 尝试枚举TN3270E服务器的逻辑单元(LU)。
maxdb-info 从SAP Max DB数据库检索版本和数据库信息。
mcafee-epo-agent 检查ePO代理是否正在端口8081上运行或是否被标识为ePO代理端口。
membase-brute 对Couchbase Membase服务器执行暴力密码审核。
membase-http-info 从CouchBase Web管理端口检索信息(主机名,操作系统,正常运行时间等)。此脚本检索的信息不需要任何凭据。
memcached-info 从分布式内存对象缓存系统memcached检索信息(包括系统体系结构,进程ID和服务器时间)。
metasploit-info 从Metasploit rpc服务收集信息。它需要一个有效的登录对。认证后,它将尝试确定Metasploit版本并推断出OS类型。然后,它创建一个新的控制台并执行一些命令以获取其他信息。
metasploit-msgrpc-brute 根据Metasploit msgrpc界面执行暴力用户名和密码审核。
metasploit-xmlrpc-brute 使用XMLRPC协议对Metasploit RPC服务器执行暴力密码审计。
mikrotik-routeros-brute 对启用了API RouterOS接口的Mikrotik RouterOS设备执行暴力密码审核。
mmouse-brute 对RPA Tech Mobile Mouse服务器执行暴力密码审核。
mmouse-exec 连接到RPA Tech移动鼠标服务器,启动应用程序并向其发送一系列按键。可以启动用户有权访问的任何应用程序,并且在启动后将键序列发送到该应用程序。
modbus-discover 枚举SCADA Modbus从站ID(sid)并收集其设备信息。
mongodb-brute 对MongoDB数据库执行暴力密码审计。
mongodb-databases 尝试从MongoDB数据库中获取表列表。
mongodb-info 尝试从MongoDB数据库获取构建信息和服务器状态。
mqtt-subscribe 转储来自MQTT代理的消息流量。
mrinfo 组播路由信息的查询目标。
ms-sql-brute 针对Microsoft SQL Server(ms-sql)执行密码猜测。与broadcast-ms-sql-discover脚本一起使用时效果最佳。
ms-sql-config 查询Microsoft SQL Server(ms-sql)实例以获取数据库,链接服务器和配置设置的列表。
ms-sql-dac 查询给定(或所有)SQL Server实例的DAC(专用管理连接)端口的Microsoft SQL Browser服务。当正常的连接尝试失败时,例如,当服务器挂起,内存不足或处于其他不良状态时,DAC端口用于连接数据库实例。此外,DAC端口为管理员提供了对系统对象的访问权限,否则无法通过常规连接进行访问。
ms-sql-dump-hashes 从MS-SQL服务器转储密码散列,其格式适合于使用John-the-ripper之类的工具进行破解。为此,用户需要具有适当的数据库特权。
ms-sql-empty-password 尝试使用sysadmin(sa)帐户的空密码向Microsoft SQL Server进行身份验证。
ms-sql-hasdbaccess 查询Microsoft SQL Server(ms-sql)实例以获取用户有权访问的数据库列表。
ms-sql-info 尝试确定Microsoft SQL Server实例的配置和版本信息。
ms-sql-ntlm-info 该脚本枚举启用了NTLM身份验证的来自远程Microsoft SQL服务的信息。
ms-sql-query 针对Microsoft SQL Server(ms-sql)运行查询。
ms-sql-tables 查询Microsoft SQL Server(ms-sql),以获取每个数据库的表列表。
ms-sql-xp-cmdshell 尝试使用Microsoft SQL Server(ms-sql)的命令外壳程序运行命令。
msrpc-enum 查询MSRPC终结点映射程序以获取已映射服务的列表,并显示收集的信息。
mtrace 查询从源主机到目标主机的多播路径。
murmur-version 检测Murmur服务(用于Mumble语音通信客户端的服务器)版本1.2.X。
mysql-audit 根据CIS MySQL v1.0.2基准测试的部分审核MySQL数据库服务器安全配置(通过创建适当的审核文件,该引擎可用于其他MySQL审核)。
mysql-brute 针对MySQL执行密码猜测。
mysql-databases 尝试列出MySQL服务器上的所有数据库。
mysql-dump-hashes 从MySQL服务器转储密码散列,其格式适用于开膛手John之类的工具破解。需要适当的数据库特权(root)。
mysql-empty-password 使用空密码(root或匿名)检查MySQL服务器。
mysql-enum 使用Kingcope发现并发布的错误(http://seclists.org/fulldisclosure/2012/Dec/9)对MySQL服务器执行有效用户枚举。
mysql-info 连接到MySQL服务器并打印信息,例如协议和版本号,线程ID,状态,功能和密码盐。
mysql-query 针对Mysql执行查询
mysql-users 尝试列出MySQL服务器上的所有用户。
mysql-variables 尝试在MySQL服务器上显示所有变量。
mysql-vuln-cve2012-2122
nat-pmp-info 使用NAT端口映射协议(NAT-PMP)获取路由器的WAN IP。广泛的路由器支持NAT-PMP协议,其中包括:

苹果AirPort Express

苹果AirPort Extreme

苹果时间胶囊

DD-WRT

OpenWrt v8.09或更高版本,带有MiniUPnP守护程序

pfSense v2.0

塔里法(固件)(Linksys WRT54G / GL / GS)

Tomato Firmware v1.24或更高版本。 (Linksys WRT54G / GL / GS等)

Peplink余额

nat-pmp-mapport 使用NAT端口映射协议(NAT-PMP)将路由器上的WAN端口映射到客户端上的本地端口。它支持以下操作:

map-将路由器上的新外部端口映射到请求IP的内部端口

unmap-为请求的IP取消映射先前映射的端口

unmapall-为请求的IP取消映射所有先前映射的端口

nbd-info 显示来自NBD服务器的协议和阻止设备信息。
nbstat 尝试检索目标的NetBIOS名称和MAC地址。
ncp-enum-users 从Novell NetWare核心协议(NCP)服务检索所有eDirectory用户的列表。
ncp-serverinfo 从Novell NetWare核心协议(NCP)服务中检索eDirectory服务器信息(操作系统版本,服务器名称,安装等)。
ndmp-fs-info 通过使用网络数据管理协议(ndmp)查询远程设备来列出远程文件系统。 NDMP是一种旨在在NAS设备和备份设备之间传输数据的协议,从而无需数据通过备份服务器。已知以下产品支持该协议:

  • Amanda
  • Bacula
  • CA Arcserve
  • CommVault Simpana
  • EMC Networker
  • Hitachi Data Systems
  • IBM Tivoli
  • Quest Software Netvault Backup
  • Symantec Netbackup
  • Symantec Backup Exec
ndmp-version 从远程网络数据管理协议(ndmp)服务检索版本信息。 NDMP是一种旨在在NAS设备和备份设备之间传输数据的协议,从而无需数据通过备份服务器。已知以下产品支持该协议:

  • Amanda
  • Bacula
  • CA Arcserve
  • CommVault Simpana
  • EMC Networker
  • Hitachi Data Systems
  • IBM Tivoli
  • Quest Software Netvault Backup
  • Symantec Netbackup
  • Symantec Backup Exec
nessus-brute 使用NTP 1.2协议针对Nessus漏洞扫描守护程序执行暴力密码审计。
nessus-xmlrpc-brute 使用XMLRPC协议对Nessus漏洞扫描守护程序执行暴力密码审计。
netbus-auth-bypass 检查NetBus服务器是否容易受到身份验证绕过漏洞的攻击,该漏洞允许完全访问而无需密码。
netbus-brute 针对Netbus后门服务(“远程管理”)执行暴力密码审计。
netbus-info 打开与NetBus服务器的连接,并提取有关主机和NetBus服务本身的信息。
netbus-version 扩展了版本检测功能,以检测NetBuster(模仿NetBus的蜜罐服务)。
nexpose-brute 使用API​​ 1.1对Nexpose漏洞扫描程序执行暴力密码审核。
nfs-ls 尝试从NFS导出中获取有关文件的有用信息。该输出旨在类似于ls的输出。
nfs-showmount 显示NFS导出,如showmount -e命令。
nfs-statfs 从远程NFS共享中检索磁盘空间统计信息和信息。该输出旨在类似于df的输出
nje-node-brute z/OS JES网络作业条目(NJE)目标节点名称蛮力。
nje-pass-brute z/OS JES网络作业条目(NJE)“我记录”密码暴力破解者。
nntp-ntlm-info 该脚本枚举启用了NTLM身份验证的来自远程NNTP服务的信息。
nping-brute 针对Nping Echo服务执行暴力密码审计。
nrpe-enum 查询Nagios远程插件执行器(NRPE)守护程序以获取信息,例如平均负载,进程计​​数,登录的用户信息等。
ntp-info 从NTP服务器获取时间和配置变量。我们发送两个请求:一个时间请求和一个“读取变量”(操作码2)控制消息。没有冗长的内容,该脚本会显示时间,版本,处理器,系统,refid和阶层变量的值。详细显示所有变量。
ntp-monlist 获取并打印NTP服务器的监视数据。
omp2-brute 使用OMPv2对OpenVAS管理器执行暴力密码审计。
omp2-enum-targets 尝试从OpenVAS Manager服务器检索目标系统和网络的列表。
omron-info 此NSE脚本用于将FINS数据包发送到远程设备。该脚本将发送一个控制器数据读取命令,并且一旦收到响应,它将验证它是否是对已发送命令的正确响应,然后将解析出数据。
openlookup-info 解析并显示OpenLookup(网络键值存储)服务器的标语信息。
openvas-otp-brute 使用OTP 1.0协议对OpenVAS漏洞扫描程序守护程序执行暴力密码审计。
openwebnet-discovery OpenWebNet是Bticino自2000年以来开发的一种通信协议。检索设备标识信息和已连接设备的数量。
oracle-brute 对Oracle服务器执行暴力密码审计。
oracle-brute-stealth 利用CVE-2012-3137漏洞,该漏洞是Oracle O5LOGIN身份验证方案中的一个弱点。该漏洞存在于Oracle 11g R1 / R2中,并允许将会话密钥链接到密码哈希。当以有效用户身份启动身份验证尝试时,服务器将使用会话密钥和盐响应。一旦接收到脚本,该脚本将断开连接,从而不记录登录尝试。然后可以使用会话密钥和salt暴力破解用户密码。
oracle-enum-users 尝试针对未打补丁的Oracle 11g服务器枚举有效的Oracle用户名(此错误已在Oracle 2009年10月的重要补丁更新中修复)。
oracle-sid-brute 根据TNS监听器猜测Oracle实例/ SID名称。
oracle-tns-version 从Oracle TNS侦听器解码VSNNUM版本号。
ovs-agent-version 通过对对HTTP GET请求和XML-RPC方法调用的响应进行指纹识别来检测Oracle Virtual Server Agent的版本。
p2p-conficker 根据Conficker的对等通信,检查主机是否感染Conficker.C或更高版本。
path-mtu 对目标主机执行简单的路径MTU发现。
pcanywhere-brute 根据pcAnywhere远程访问协议执行暴力密码审计。
pcworx-info 该NSE脚本将查询pcworx协议并将其解析到远程PLC。该脚本将发送初始请求数据包,并且一旦收到响应,它将验证它是否是对已发送命令的正确响应,然后将解析出数据。 PCWorx是Phoenix Contact的协议和程序。
pgsql-brute 针对PostgreSQL执行密码猜测。
pjl-ready-message 在支持打印机作业语言的打印机上检索或设置就绪消息。这包括大多数侦听端口9100的PostScript打印机。不带参数的情况下,显示当前的就绪消息。使用pjl_ready_message脚本参数,显示旧的就绪消息并将其更改为给定的消息。
pop3-brute 尝试通过猜测用户名和密码来登录POP3帐户。
pop3-capabilities 检索POP3电子邮件服务器功能。
pop3-ntlm-info 该脚本枚举启用了NTLM身份验证的来自远程POP3服务的信息。
pptp-version 尝试从点对点隧道协议(PPTP)服务中提取系统信息。
puppet-naivesigning 检测是否在Puppet服务器上启用了天真签名。这使攻击者可以创建任何证书签名请求并进行签名,从而使他们可以模拟为as代理。这可能会泄漏代理的配置以及配置文件中发现的任何其他敏感信息。
qconn-exec 尝试识别正在侦听的QNX QCONN守护程序是否允许未经身份验证的用户执行任意操作系统命令。
qscan 反复探测主机上的打开和/或关闭端口,以获取每个端口的一系列往返时间值。 这些值用于对端口集合进行分组,这些集合在统计上与其他组不同。 端口位于不同的组(或“系列”)中可能是由于网络机制(例如将端口转发到NAT后面的计算机)引起的。
quake1-info 从Quake游戏服务器和其他使用相同协议的游戏服务器中提取信息。
quake3-info 从Quake3游戏服务器和其他使用相同协议的游戏中提取信息。
quake3-master-getservers 查询用于游戏服务器的Quake3样式的主服务器(除Quake 3以外的许多其他游戏都使用相同的协议)。
rdp-enum-encryption 确定RDP服务支持哪个安全层和加密级别。它通过循环所有现有协议和密码来实现。在调试模式下运行时,脚本还会返回失败的协议和密码以及所报告的任何错误。
rdp-ntlm-info 该脚本枚举启用了CredSSP(NLA)身份验证的远程RDP服务中的信息。
rdp-vuln-ms12-020 检查计算机是否容易受到MS12-020 RDP漏洞的影响。
realvnc-auth-bypass 检查VNC服务器是否容易受到RealVNC身份验证绕过(CVE-2006-2369)。
redis-brute 针对Redis键值存储执行暴力密码审计。
redis-info 从Redis键值存储中检索信息(例如版本号和体系结构)。
resolveall 注意:此脚本已由Nmap 7.70中的--resolve-all命令行选项替换。
reverse-index 在扫描输出的末尾创建一个反向索引,以显示哪些主机在运行特定服务。这是Nmap列出每个主机上服务的常规输出的补充。
rexec-brute 针对传统的UNIX rexec(远程exec)服务执行暴力密码审计。
rfc868-time 从“time”服务中检索日期和时间。
riak-http-info 使用HTTP协议从Basho Riak分布式数据库中检索信息(例如节点名称和体系结构)。
rlogin-brute 针对经典UNIX rlogin(远程登录)服务执行暴力密码审计。此脚本必须在UNIX上以特权模式运行,因为它必须绑定到低源端口号。
rmi-dumpregistry 连接到远程RMI注册表并尝试转储其所有对象。
rmi-vuln-classloader 测试Java rmiregistry是否允许类加载。 rmir​​egistry的默认配置允许从远程URL加载类,这可能导致远程执行代码。供应商(Oracle / Sun)将其分类为设计功能。
rpc-grind 对目标RPC端口进行指纹识别以提取目标服务,RPC编号和版本。
rpcap-brute 针对WinPcap远程捕获守护程序(rpcap)执行暴力密码审核。
rpcap-info 连接到rpcap服务(通过WinPcap提供远程嗅探功能)并检索接口信息。可以将服务设置为是否需要身份验证,并且还支持IP限制。
rpcinfo 连接到portmapper并获取所有已注册程序的列表。然后,它打印出一个表,该表包括(对于每个程序)RPC程序号,支持的版本号,端口号和协议以及程序名。
rsa-vuln-roca 检测容易受到“铜匠攻击回返”(ROCA)分解影响的RSA密钥。
rsync-brute 根据rsync远程文件同步协议执行暴力密码审计。
rsync-list-modules 列出可用于rsync(远程文件同步)同步的模块。
rtsp-methods 确定RTSP(实时流协议)服务器支持哪些方法。
rtsp-url-brute 尝试通过测试监视IP摄像机等设备上的公用路径来枚举RTSP媒体URL。
rusers 连接到rusersd RPC服务并检索已登录用户的列表。
s7-info 枚举Siemens S7 PLC设备并收集其设备信息。该脚本基于Positive Research和Scadastrangelove(https://code.google.com/p/plcscan/)开发的PLCScan。该脚本旨在提供与Nmap内部的PLCScan相同的功能。 PLCScan收集的某些信息尚未移植。可以从接收到的数据包中解析出此信息。
samba-vuln-cve-2012-1182 检查目标计算机是否易受Samba堆溢出漏洞CVE-2012-1182的攻击。
servicetags 尝试从Sun Service Tags服务代理(UDP端口6481)提取系统信息(操作系统,硬件等)。
shodan-api 查询给定目标的Shodan API,并产生与-sV nmap扫描类似的输出。 ShodanAPI密钥可以使用'apikey'脚本参数设置,也可以硬编码在.nse文件本身中。您可以从https://developer.shodan.io获取免费密钥。
sip-brute 针对会话发起协议(SIP)帐户执行暴力密码审计。此协议最常与VoIP会话关联。
sip-call-spoof 欺骗对SIP电话的呼叫,并检测目标所采取的操作(忙,拒绝,挂断等)
sip-enum-users 枚举SIP服务器的有效扩展名(用户)。
sip-methods 枚举SIP服务器允许的方法(邀请,选项,订阅等)
skypev2-version 检测Skype版本2服务。
smb-brute 尝试猜测SMB上的 用户名/密码 组合,存储发现的组合以供其他脚本使用。在实际使用用户之前,将尽一切努力获取有效的用户列表并验证每个用户名。发现用户名后,除了打印用户名外,还将其保存在Nmap注册表中,以便其他Nmap脚本可以使用它。这意味着,如果要运行smb-brute.nse,则应运行所需的其他smb脚本。对于Vista之前的Windows版本,这将以不区分大小写的方式检查密码,确定找到密码后是否区分大小写。
smb-double-pulsar-backdoor 检查目标计算机是否正在运行Double Pulsar SMB后门。
smb-enum-domains 尝试枚举系统上的域及其策略。除Windows 2000以外,这通常需要凭据。除了实际域外,通常还会显示“ Builtin”域。 Windows在域列表中返回此值,但是它的策略似乎没有在任何地方使用。
smb-enum-groups 从远程Windows系统获取组列表,以及组用户的列表。这与使用/ G开关的enum.exe相似。
smb-enum-processes 通过SMB从远程服务器提取进程列表。这将确定所有正在运行的进程,它们的进程ID和它们的父进程。这是通过查询远程注册表服务完成的,该服务在Vista上默认为禁用;在所有其他Windows版本上,它需要管理员权限。
smb-enum-services 检索在远程Windows系统上运行的服务的列表。每个服务属性都包含每个服务的服务名称,显示名称和服务状态。
smb-enum-sessions 枚举在本地或通过SMB共享登录到系统的用户。本地用户可以在计算机上物理登录,也可以通过终端服务会话登录。例如,与SMB共享的连接是连接到文件共享或进行RPC调用的人员。 Nmap的连接也会显示出来,并且通常由“ 0秒前”连接的连接来标识。
smb-enum-shares 尝试使用srvsvc.NetShareEnumAll MSRPC函数列出共享,并使用srvsvc.NetShareGetInfo检索有关共享的更多信息。如果拒绝访问这些功能,则会检查公用共享名列表。
smb-enum-users 尝试通过两种不同的技术(都通过使用端口445或139的MSRPC;请参见smb.lua)枚举远程Windows系统上的用户,并提供尽可能多的信息。该脚本的目标是发现远程系统上存在的所有用户帐户。通过查看谁在服务器上拥有一个帐户,或者通过确定系统上存在哪些帐户,对于渗透测试或网络足迹,这对管理很有帮助。
smb-flood 通过打开尽可能多的连接来耗尽远程SMB服务器的连接限制。 SMB的大多数实现都有一个严格的全局限制,即用户帐户有11个连接,匿名用户有10个连接。达到该限制后,其他连接将被拒绝。该脚本通过占用所有连接并保持它们来利用该限制。
smb-ls 尝试检索有关SMB卷上共享的文件的有用信息。该输出旨在类似于UNIX ls命令的输出。
smb-mbenum 查询由Windows主浏览器管理的信息。
smb-os-discovery 尝试通过SMB协议(端口445或139)确定操作系统,计算机名称,域,工作组和当前时间。这可以通过使用匿名帐户(或适当的用户帐户,如果已指定)开始会话来完成;响应会话开始,服务器将发回所有这些信息。
smb-print-text 尝试通过调用Print Spooler Service RPC函数在共享打印机上打印文本。
smb-protocols 尝试列出SMB服务器支持的协议和方言。
smb-psexec 实现类似于Sysinternals的psexec工具的远程进程执行,允许用户在远程计算机上运行一系列程序并读取输出。这对于收集有关服务器的信息,在一系列系统上运行相同的工具,甚至在一组计算机上安装后门程序非常有用。
smb-security-mode 返回有关SMB确定的SMB安全级别的信息。
smb-server-stats 尝试通过SMB和MSRPC(使用TCP端口445或139)获取服务器的统计信息。
smb-system-info 从注册表中拉回有关远程系统的信息。获取所有信息都需要一个管理帐户,尽管用户帐户仍然可以获取很多信息。来宾可能什么也不会获得,也不会匿名。这适用于所有操作系统,包括Windows 2000。
smb-vuln-conficker 检测被Conficker蠕虫感染的Microsoft Windows系统。该检查很危险,并且可能使系统崩溃。
smb-vuln-cve-2017-7494 检查目标计算机是否容易受到任意共享库加载漏洞CVE-2017-7494的攻击。
smb-vuln-cve2009-3103 检测容易受到拒绝服务攻击的Microsoft Windows系统(CVE-2009-3103)。如果该脚本容易受到攻击,它将使该服务崩溃。
smb-vuln-ms06-025 使用Ras RPC服务检测易受MS06-025影响的Microsoft Windows系统。
smb-vuln-ms07-029 使用Dns服务器RPC检测易受MS07-029影响的Microsoft Windows系统。
smb-vuln-ms08-067 检测容易受到称为MS08-067的远程执行代码漏洞的Microsoft Windows系统。该检查很危险,并且可能使系统崩溃。
smb-vuln-ms10-054 测试目标计算机是否容易受到ms10-054 SMB远程内存损坏漏洞的攻击。
smb-vuln-ms10-061 测试目标计算机是否易受ms10-061打印机后台处理程序模拟漏洞的攻击。
smb-vuln-ms17-010 尝试检测Microsoft SMBv1服务器是否易受远程代码执行漏洞(ms17-010,又称EternalBlue)的攻击。 WannaCry和Petya勒索软件及其他恶意软件积极利用此漏洞。
smb-vuln-regsvc-dos 检查Microsoft Windows 2000系统是否容易受到空指针取消引用引起的regsvc崩溃的影响。如果该服务容易受到攻击并且需要访客帐户或更高级别的服务,则此检查将使该服务崩溃。
smb-vuln-webexec WebExService(WebExec)中存在一个严重的远程执行代码漏洞。
smb-webexec-exploit 尝试使用WebExec漏洞通过WebExService运行命令。给定一个Windows帐户(本地或域),这将以SMB协议的SYSTEM特权启动一个任意可执行文件。
smb2-capabilities 尝试列出每个启用的方言的SMBv2服务器中支持的功能。
smb2-security-mode 确定所有受支持的方言的SMBv2服务器中的消息签名配置。
smb2-time 尝试获取当前系统日期和SMB2服务器的开始日期。
smb2-vuln-uptime 尝试通过检查SMB2协议协商期间返回的正常运行时间来检测Windows系统中缺少的修补程序。
smtp-brute 使用LOGIN,PLAIN,CRAM-MD5,DIGEST-MD5或NTLM身份验证对SMTP服务器执行暴力密码审计。
smtp-commands 尝试使用EHLO和HELP收集SMTP服务器支持的扩展命令。
smtp-enum-users 尝试通过发出VRFY,EXPN或RCPT TO命令来枚举SMTP服务器上的用户。该脚本的目标是发现远程系统中的所有用户帐户。
smtp-ntlm-info 此脚本枚举启用了NTLM身份验证的远程SMTP服务中的信息。
smtp-open-relay 尝试通过发出SMTP命令的预定义组合来中继邮件。该脚本的目的是告诉SMTP服务器是否容易受到邮件中继的攻击。
smtp-strangeport 检查SMTP是否在非标准端口上运行。
smtp-vuln-cve2010-4344 检查和/或利用4.69之前版本(CVE-2010-4344)的Exim版本中的堆溢出和Exim 4.72之前版本(CVE-2010-4345)中的特权提升漏洞。
smtp-vuln-cve2011-1720 当它使用Cyrus SASL库身份验证机制(CVE-2011-1720)时,检查Postfix SMTP服务器中的内存损坏。此漏洞可能导致拒绝服务和可能的远程代码执行。
smtp-vuln-cve2011-1764 在具有DomainKeys Identified Mail(DKIM)支持(CVE-2011-1764)的Exim SMTP服务器(版本4.70至4.75)中检查格式字符串漏洞。记录DKIM-Signature标头字段的某些部分时,DKIM记录机制未使用格式字符串说明符。能够发送电子邮件的远程攻击者可以利用Exim守护程序的特权来利用此漏洞并执行任意代码。
sniffer-detect 检查本地以太网上的目标是否其网卡处于混杂模式。
snmp-brute 尝试通过蛮力猜测来找到SNMP社区字符串。
snmp-hh3c-logins 尝试通过hh3c-user.mib OID枚举 Huawei /HP/H3C 本地定义的用户
snmp-info 从SNMPv3 GET请求中提取基本信息。与服务版本检测扫描中使用的探针相同。
snmp-interfaces 尝试通过SNMP枚举网络接口。
snmp-ios-config 尝试使用SNMP RW(v1)下载Cisco路由器IOS配置文件并显示或保存它们。
snmp-netstat 尝试向SNMP查询netstat之类的输出。通过提供newtargets脚本参数,该脚本可用于识别新目标并将其自动添加到扫描中。
snmp-processes 尝试通过SNMP枚举正在运行的进程。
snmp-sysdescr 尝试从SNMP版本1服务中提取系统信息。
snmp-win32-services 尝试通过SNMP枚举Windows服务。
snmp-win32-shares 尝试通过SNMP枚举Windows共享。
snmp-win32-software 尝试通过SNMP枚举已安装的软件。
snmp-win32-users 尝试通过SNMP枚举Windows用户帐户
socks-auth-info 确定远程SOCKS代理服务器支持的身份验证机制。从SOCKS 5版本开始,袜子服务器可能支持身份验证。该脚本检查以下身份验证类型:

0-无身份验证

1-GSSAPI

2-用户名和密码

socks-brute 针对SOCKS 5代理服务器执行暴力密码审计。
socks-open-proxy 检查目标上是否正在运行开放式socks代理。
ssh-auth-methods 返回SSH服务器支持的身份验证方法。
ssh-brute 对ssh服务器执行暴力密码猜测。
ssh-hostkey 显示SSH主机密钥。
ssh-publickey-acceptance 该脚本获取私钥,口令和用户名的路径表,并检查每对路径,以查看目标ssh服务器是否接受它们进行公钥身份验证。如果未给出密钥或给出了已知错误选项,脚本将检查是否接受已知静态公钥列表进行身份验证。
ssh-run 在ssh服务器上运行远程命令并返回命令输出。
ssh2-enum-algos 报告目标SSH2服务器提供的算法数量(用于加密,压缩等)。如果设置了详细程度,则所提供的算法均按类型列出。
sshv1 检查SSH服务器是否支持过时且安全性较低的SSH协议版本1。
ssl-ccs-injection 检测服务器是否容易受到由Masashi Kikuchi首次发现的SSL / TLS“ CCS注入”漏洞(CVE-2014-0224)的攻击。该脚本基于Ramon de C Valle(https://gist.github.com/rcvalle/71f4b027d61a78c42607)编写的ccsinjection.c代码。
ssl-cert 检索服务器的SSL证书。有关证书的打印信息量取决于详细程度。该脚本无需额外的冗长,即可打印有效期以及主题的commonName,organizationalName,stateOrProvinceName和countryName。
ssl-cert-intaddr 报告在SSL服务的证书的各个字段中找到的任何专用(RFC1918)IPv4地址。仅当目标地址本身不是私有地址时,才会报告这些信息。需要Nmap v7.30或更高版本。
ssl-date 从其TLS ServerHello响应中检索目标主机的时间和日期。
ssl-dh-params SSL/TLS服务的短暂的Diffie-Hellman参数检测弱。
ssl-enum-ciphers 该脚本重复启动SSLv3 / TLS连接,每次在记录主机是否接受时都尝试使用新的密码或压缩器。最终结果是服务器接受的所有密码套件和压缩器的列表。
ssl-heartbleed 检测服务器是否容易受到OpenSSL Heartbleed错误(CVE-2014-0160)的攻击。该代码基于Jared Stafford([email protected])编写的Python脚本ssltest.py。
ssl-known-key 检查主机使用的SSL证书是否具有与包含的问题密钥数据库匹配的指纹。
ssl-poodle 检查是否允许SSLv3 CBC密码(POODLE)
sslv2 确定服务器是否支持过时且安全性较低的SSLv2,并发现其支持的密码。
sslv2-drown 确定服务器是否支持SSLv2,支持的密码并测试CVE-2015-3197,CVE-2016-0703和CVE-2016-0800(DROWN)
sstp-discover 检查是否支持安全套接字隧道协议。这是通过尝试建立HTTPS层来完成的,该层用于承载SSTP通信,如以下所述:-http://msdn.microsoft.com/zh-cn/library/cc247364.aspx
stun-info 使用STUN协议检索NAT:ed主机的外部IP地址。
stun-version 如果存在服务器属性,则将绑定请求发送到服务器,并尝试从响应中提取版本信息。
stuxnet-detect 检测主机是否感染了Stuxnet蠕虫(http://en.wikipedia.org/wiki/Stuxnet)。
supermicro-ipmi-conf 尝试在易受攻击的Supermicro Onboard IPMI控制器中下载包含纯文本用户凭据的不受保护的配置文件。
svn-brute 对Subversion源代码控制服务器执行暴力密码审计。
targets-asn 产生给定路由AS号(ASN)的IP前缀列表。
targets-ipv6-map4to6 该脚本在预扫描阶段运行,以将IPv4地址映射到IPv6网络并将其添加到扫描队列中。
targets-ipv6-multicast-echo 将ICMPv6回显请求数据包发送到所有节点的本地链接多播地址(ff02 :: 1),以发现LAN上的响应主机,而无需单独ping每个IPv6地址。
targets-ipv6-multicast-invalid-dst 将带有无效扩展头的ICMPv6数据包发送到所有节点的链路本地多播地址(ff02 :: 1),以发现LAN上的(某些)可用主机。之所以可行,是因为某些主机将使用ICMPv6参数问题数据包来响应此探测。
targets-ipv6-multicast-mld 尝试通过向链接本地多播地址(ff02 :: 1)发送MLD(多播侦听器发现)查询并侦听任何响应来发现LAN上可用的IPv6主机。查询的最大响应延迟设置为1,以激发主机立即响应,而不是等待来自其多播组的其他响应。
targets-ipv6-multicast-slaac 通过触发无状态地址自动配置(SLAAC)执行IPv6主机发现。
targets-ipv6-wordlist 使用十六进制“单词”的单词列表将IPv6地址添加到扫描队列中,这些单词列表形成给定子网中的地址。
targets-sniffer 嗅探本地网络一段可配置的时间(默认为10秒),并打印发现的地址。如果设置了newtargets脚本参数,则将发现的地址添加到扫描队列中。
targets-traceroute 将traceroute跃点插入Nmap扫描队列。它仅在使用Nmap的--traceroute选项并且给出了newtargets脚本参数的情况下起作用。
targets-xml 从Nmap XML输出文件加载地址以进行扫描。
teamspeak2-version 检测TeamSpeak 2语音通信服务器,并尝试确定版本和配置信息。
telnet-brute 对telnet服务器执行暴力密码审核。
telnet-encryption 确定远程telnet服务器上是否支持加密选项。某些系统(包括许多Linux发行版中可用的FreeBSD和krb5 telnetd)错误地实现了此选项,从而导致远程root漏洞。该脚本当前仅测试是否支持加密,而不测试该特定漏洞。
telnet-ntlm-info 此脚本枚举启用了NTLM身份验证的来自远程Microsoft Telnet服务的信息。
tftp-enum 通过测试常见文件名列表来枚举TFTP(简单文件传输协议)文件名。
tls-alpn 使用ALPN协议枚举TLS服务器支持的应用程序层协议。
tls-nextprotoneg 使用下一个协议协商扩展枚举TLS服务器支持的协议。
tls-ticketbleed 检测服务器是否容易受到F5 Ticketbleed错误(CVE-2016-9244)的攻击。
tn3270-screen 连接到tn3270“服务器”并返回屏幕。
tor-consensus-checker 检查目标是否是已知的Tor节点。
traceroute-geolocation 列出跟踪路径中每个跃点的地理位置,并有选择地将结果保存到KML文件中,该文件可在Google Earth和地图上绘制。
tso-brute TSO帐户暴力破解。
tso-enum IBM大型机(z / OS)的TSO用户ID枚举器。 TSO登录面板会通过以下消息告诉您用户ID有效或无效:IKJ56420I用户ID <用户ID>无权使用TSO。
ubiquiti-discovery 从Ubiquiti网络设备中提取信息。
unittest 在所有NSE库上运行单元测试。
unusual-port 将端口上检测到的服务与该端口号的预期服务进行比较(例如ssh表示22,http表示80),并报告偏差。 该脚本要求已运行版本扫描,以便能够发现每个端口上实际正在运行的服务。
upnp-info 尝试从UPnP服务中提取系统信息。
url-snarf 嗅探HTTP流量的接口,并转储所有URL及其原始IP地址。 脚本输出与其他脚本不同,因为URL直接写入stdout。 还有一个选项可以将结果记录到文件中。
ventrilo-info 检测Ventrilo语音通信服务器服务版本2.1.2及更高版本,并尝试确定版本和配置信息。默认情况下,某些较早版本(3.0.0之前的版本)可能没有启用此探针依赖的UDP服务。
versant-info 从Versant对象数据库中提取信息,包括文件路径,版本和数据库名称。
vmauthd-brute 针对VMWare身份验证后台驻留程序(vmware-authd)执行暴力密码审核。
vmware-version 查询VMware服务器(vCenter,ESX,ESXi)SOAP API以提取版本信息。
vnc-brute 对VNC服务器执行暴力密码审计。
vnc-info 查询VNC服务器的协议版本和支持的安全性类型。
vnc-title 尝试登录到VNC服务器并获取其桌面名称。使用通过vnc-brute发现的凭据或“无”身份验证类型。如果运行realvnc-auth-bypass并返回VULNERABLE,则此脚本将使用该漏洞绕过身份验证。
voldemort-info 使用Voldemort本机协议从Voldemort分布式键值存储检索群集和存储信息。
vtam-enum 许多大型机使用VTAM屏幕连接到各种应用程序(CICS,IMS,TSO等)。
vulners 对于每个可用的CPE,脚本都会打印出已知的漏洞(链接至对应的信息)和对应的CVSS分数。
vuze-dht-info 检索一些基本信息,包括来自Vuze文件共享节点的协议版本。
wdb-version 检测漏洞并从VxWorks Wind DeBug代理收集信息(例如版本号和硬件支持)。
weblogic-t3-info 检测T3 RMI协议和Weblogic版本
whois-domain 尝试检索有关目标域名的信息
whois-ip 查询区域Internet注册中心(RIR)的WHOIS服务,并尝试检索有关包含目标IP地址的IP地址分配的信息。
wsdd-discover 从支持Web服务动态发现(WS-Discovery)协议的设备检索并显示信息。 它还尝试查找任何已发布的Windows Communication Framework(WCF)Web服务(.NET 4.0或更高版本)。
x11-access 检查是否允许您连接到X服务器。
xdmcp-discover 请求XDMCP(X显示管理器控制协议)会话,并列出支持的身份验证和授权机制。
xmlrpc-methods 通过system.listMethods方法执行XMLRPC自省。
xmpp-brute 对XMPP(Jabber)即时消息传递服务器执行暴力密码审计。
xmpp-info 连接到XMPP服务器(端口5222)并收集服务器信息,例如:支持的身份验证机制,压缩方法,是否支持和强制使用TLS,流管理,语言,带内注册支持,服务器功能。 如果可能,请研究服务器供应商。
    A+
发布日期:2019年10月22日 18:08:41  所属分类:渗透测试
最后更新时间:2019-10-22 18:08:41
评分: (1 票;平均数5.00 ;最高评分 5 ;用户总数1;总得分 5;百分比100.00)
付杰
wp discux 帝国 dedecms phpcms等快速建站
wp discux 帝国 dedecms phpcms等快速建站
  • ¥ 99.9元
  • 市场价:499.9元
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
  • ¥ 199.9元
  • 市场价:20000元
wordpress站群服务 泛解析二级域名 二级目录站群
wordpress站群服务 泛解析二级域名 二级目录站群
  • ¥ 1999.9元
  • 市场价:4800元
SEO顾问 中小型网站 单站/最低99.9元 全方位优化
SEO顾问 中小型网站 单站/最低99.9元 全方位优化
  • ¥ 99.9元
  • 市场价:5000元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  1   博主  1

  1. 头像 sensedj 0

    第3步一执行就报错,过不去呀 : Failed to parse template: Error parsing JSON: invalid character ‘<' looking for beginning of value

    • 付杰 付杰

      @sensedj 你要说你执行的什么命令?把整个命令发出来先。

      Failed to parse template: Error parsing JSON: invalid character ‘< ' looking for beginning of value

      中文翻译

      无法解析模板:解析JSON时出错:无效字符“ < ”正在寻找值的开头