本文檔介紹了Nmap的系統結構及掃描流程，最后重點介紹了Nmap的NSE掃描腳本。

[[109803]]

Nmap簡介

Nmap也就是Network Mapper，是一款網絡連接端掃描軟件，用來掃描網上電腦開放的網絡連接端。確定哪些服務運行在哪些連接端，并且推斷計算機運行哪個操作系統。它是網絡管理員比用的軟件之一，以及用以評估網絡系統保安，nmap的核心功能有：

主機發現：用于發現目標主機是否處于活動狀態。Nmap提供多種檢測機制，可以更有效地辯識主機。

端口掃描：用于掃描主機上端口狀態。Nmap可以將端口識別為開放(Open)、關閉(Closed)、過濾(Filtered)、未過濾(Unfiltered)、開放|過濾(Open|Filtered)、關閉|過濾(Closed|Filtered)。默認情況下，Nmap會掃描1000個常用端口，可以覆蓋大多數基本應用情況。

版本偵測：用于識別端口上運行的應用程序與應用版本。Nmap目前可以識別數千鐘中應用的簽名，檢測數百種應用協議。而對于不識別的應用，Nmap默認會將應用的指紋打印出來，如果用于確知該應用程序，那么用戶可以將信息提交到社區，為社區做貢獻。

操作系統偵測：用于識別目標機的操作系統類型、版本編號及設備類型。Nmap目前提供了上千種操作系統或設備的指紋數據庫，可以識別通用PC系統、路由器、交換機等設備類型。

防火墻/IDS規避：Nmap提供多種機制來規避防火墻、IDS的屏蔽和檢查，便于秘密地探查目標機的狀況?；镜囊幈芊绞桨ǎ悍制?IP誘騙/IP偽裝/MAC偽裝等等。

NSE腳本引擎：NSE是Nmap最強大最靈活的特性之一，可以用于增強主機發現、端口掃描、版本偵測、操作系統偵測等功能，還可以用來擴展高級的功能如web掃描、漏洞發現。漏洞利用等等。Nmap使用lua語言來作為NSE腳本語言，目前的Nmap腳本庫已經支持400多個腳本。#p#

Nmap的工作流程

Nmap的執行流程簡單清晰，主要分為三個階段

準備階段：在其中會執行參數解析、資源分配、基本掃描信息的輸出、端口與地址列表的初始化、NSE環境準備及pre_scripts的運行等基本的準備操作。

工作階段：然后進入主循環，每次循環對一組目標地址進行主機發現、端口掃描、服務與版本偵測、OS偵測及腳本掃描等操作，直到所有的目標地址都被掃描完畢才推出主循環

善后階段：在完成所有掃描操作后，調用post-script完成相應處理，然后打印出掃描的最終結果，并釋放掉分配的資源。

下圖為Nmap的執行流程圖

Nmap腳本引擎

Nmap提供了強大的腳本引擎(NSE)，以支持Lua編程來擴展Nmap的功能。目前腳本庫已經包含400多個常用的Lua腳本，輔助完成Nmap的主機發現、端口掃描、服務偵測、操作偵測四個基本功能，并補充了其他掃描能力：如執行HTTP服務詳細信息的探測、暴力破解簡單密碼、檢查常見的漏洞信息等等。如果用戶需要對特定的應用做更深入的探究，可以按照NSE腳本格式便攜Lua腳本來增強Nmap的掃描能力。

實現原理

NSE主要分為兩大部分：內嵌Lua解釋器與NSE library。

解釋器：Nmap采用嵌入的Lua解釋器來支持Lua腳本語言。Lua語言小巧簡單而且擴展靈活自身的C/C++語言融合。

NSE library：為Lua腳本與Nmap提供了連接，負責完成基本初始化及提供腳本調度、并發執行、IO框架及異常處理，并提供了默認的實用的腳本程序。

腳本分類

NSE中提供的Lua腳本分別為不同的類別，根據官方網站，目前的有14中類別：

auth：負責處理鑒權證書(繞開鑒權)的腳本

broadcast：在局域網內探查更多服務開啟狀況，如dhcp/dns/sqlserver等服務。

brute：提供暴力破解方式，針對常見的應用如http/snmp等

default：這是使用-sC或A選項掃描時默認的腳本，提供基本掃描能力

discovery：對網絡進行更多的信息，如SMB枚舉、SNMP查詢等

dos：用于進行拒絕服務攻擊

exploit：利用已知的漏洞入侵系統

external：利用第三方的數據庫或資源，例如whois解析

fuzzer：模糊測試的腳本，發送異常的包的目標機，探測出潛在漏洞

intrusive：入侵性的腳本，此類腳本可能引發對方的IDS/IPS的記錄或屏蔽

malware：探測目標機是否感染了病毒、開啟了后門等信息

safe：此類與instrusive相反，屬于安全性腳本

version：負責增強服務與版本掃描功能的腳本

vuln：負責檢查目標機是否有常見的漏洞，如是否有MS08_067

每種腳本不止屬于一種類型的，具體屬于哪種類型可進入官網查看 http://www.nmap.org 

#p#

NSE掃描流程

Nse腳本掃描屬于主循環流程下的一個部分，其代碼流程圖如下:

初始化流程

在命令行參數中指定腳本(–script/-sC)或指定-A選項或指定-sV選項，都會觸發Nmap啟動腳本引擎。其中-A選項表示全面掃描，會調用default類別的腳本掃描;而-sV選項表示應用與版本偵測，會調用Version類別的腳本，輔助偵測服務詳細信息。

nmap_main()函數中，若判斷需要啟動腳本引擎，這首先需要調用open_nse()函數進行NSE環境的準備，首先要創建luaState(管理Lua解釋器的執行的全局變量)，然后調用init_main()函數進行詳細的初始化過程。

進入init_main()函數，首先加載Lua標準版庫與Nmap的擴展庫，隨后準備參數環境，然后加載并執行nse_main.lua文件。

nse_main.lua腳本為后續的腳本執行準備Lua環境，加載用戶選擇的需要調用的腳本(例如，用戶–script discovery，那么會將該類別中所有的腳本加載進來)，返回一個main()函數對象給init_main()，該main()是否后續腳本掃描需要的主函數，被保存在Lua的環境的注冊表中。

在nse_main.lua中，定義兩個核心的類，Script和Thread，Script用于管理NSE腳本，當新的腳本被加載時，調用Script.new創建腳本對象，該對象被保存下來在后續的掃描過程中使用;Thread用于管理腳本的執行，該類中也包含對腳本健全性的檢查(sanitycheck，如是否包含Action函數，4.4會講到)。在腳本執行時，如果腳本之間存在依賴關系，那么會將基礎的無依賴的腳本統一執行完畢，再執行依賴性的腳本。

腳本掃描流程

執行腳本掃描時，從nmap_main()中調用script_scan()函數。

在進入script_scan()后，會標記掃描階段類型，然后進入到初始化階段返回的main()函數(來自nse_main.lua腳本中的main)中，在函數中解析具體的掃描類型。

main()函數負責處理三種類型的腳本掃描：預掃描(SCRIPT_PRE_SCAN)、腳本掃描(SCRIPT_SCAN)、后掃描(SCRIPT_POST_SCAN)。預掃描即在Nmap調用的最前面(沒有進行主機發現、端口掃描等操作)執行的腳本掃描，通常該類掃描用于準備基本的信息，例如到第三服務器查詢相關的DNS信息。而腳本掃描，是使用NSE腳本來掃描目標主機，這是最核心的掃描方式。后掃描，是整個掃描結束后，做一些善后處理的腳本，比如優化整理某些掃描。

在main()函數中核心操作由run函數負責。而run()函數的本身設計用于執行所有同一級別的腳本(根據依賴關系劃分的級別)，直到所有線程執行完畢才退出。

run()函數中實現三個隊列：執行隊列(Running Queue)、等待隊列(Waiting Queue)、掛起隊列(Pending Queue)，并管理三個隊列中線程的切換，直到全部隊列為空或出錯而退出。#p#

NSE腳本結構

NSE的使用Lua腳本，并且配置固定格式，以減輕用戶編程負擔，通常的一個腳本氛圍幾個部分：

Description 字段：描述腳本功能的字符串，使用雙層方括號表示。

Comment 字段：以__開頭的行，描述腳本輸出格式

Author 字段：描述腳本作者

License 字段：描述腳本使用許可證，通常配置為Nmap相同的license

Categories 字段：描述腳本所屬的類別，以對腳本的調用進行管理。

Rule 字段：描述腳本執行的規則，也就是確定觸發腳本執行的條件。在Nmap中有四種類型的規則。

A.Prerule()用于在Nmap沒有執行掃描之前觸發腳本執行，這類腳本腳本并不需要用到任何Nmap掃描的結果;

B.Hostrule()用在Nmap執行完畢主機發現后觸發的腳本，根據主機發現的結果來觸發該類腳本

C.Postrule用于Nmap執行端口掃描或版本偵測時觸發的腳本,例如檢測到某個端口時觸發某個腳本執行以完成更詳細的偵查

D.Postrule用于Nmap執行完畢所有掃描后，通常用于掃描結果的數據提取和整理。

Action 字段：腳本執行的具體內容。當腳本通過rule字段檢查被觸發執行時，就會調用action字段定義的函數

下面以broadcast-db2-discover.nse腳本為例說明:

local nmap = require "nmap"
local stdnse = require "stdnse"
local string = require "string"
local table = require "table"
local target = require "target"
/*本腳本需要調用的庫函數，可以在Nmap/nselib/文件下查看相關函數*/
description = [[
Attempts to discover DB2 servers on the network by sending abroadcast request to port 523/udp.
]]
/*description字段：發送一個廣播包，試圖在網絡中發現DB2服務器*/
---
-- @usage
-- nmap --script db2-discover
--
-- @output
-- Pre-scan script results:
-- | broadcast-db2-discover:
-- |   10.0.200.132(UBU804-DB2E) - IBM DB2 v9.07.0
-- |_  10.0.200.119(EDUSRV011) - IBM DB2 v9.07.0
-- Version 0.1
-- Created 07/10/2011 - v0.1 - created by Patrik Karlsson<patrik@cqure.net>
/*comment字段：描述了輸入輸出格式*/
author = "Patrik Karlsson"
/*author字段*/
license = "Same as Nmap--See http://nmap.org/book/man-legal.html"
/*license字段*/
categories = {"broadcast", "safe"}
/*categories字段：此腳本的分類類型，輸入broadcast和safe兩種*/
prerule = function() return true end
/*執行腳本規則的條件，預掃描階段執行*/
--- Converts the prodrel server string to a version string
--
-- @param server_version string containing the product release
-- @return ver string containing the version information
/*解釋下面函數的輸入輸出內容*/
local function parseVersion( server_version )
       local pfx = string.sub(server_version,1,3)  /*獲取server_version字符串的第一到第三個字符*/
       if pfx =="SQL" then
              localmajor_version = string.sub(server_version,4,5)    /*如果pfx字符串為SQL，則major_version獲取server_version版本的第四到第五個字符*/
 
              -- strip theleading 0 from the major version, for consistency with
              --nmap-service-probes results
 
              ifstring.sub(major_version,1,1) == "0" then
                     major_version= string.sub(major_version,2)   /*若major_version字符串首字母為0，則去除*/
              end
              localminor_version = string.sub(server_version,6,7) /*minor_version獲取server_version字符串的第6到第7個字符*/
              local hotfix =string.sub(server_version,8)  /*hotfix獲取server_version字符串的第8個字符*/ 
              server_version =major_version .. "." .. minor_version .. "." .. hotfix   /*給server_version字符串附值*/
       else
              return"Unknown version"
       end
       return ("IBM DB2v%s"):format(server_version)  /*函數返回值*/
end
 
action = function()   /*腳本執行函數*/ 
       local DB2GETADDR ="DB2GETADDRSQL09010"
       local socket =nmap.new_socket("udp")
       local result = {}
       local host, port ="255.255.255.255", 523
/*定義字符類型，并附初始值*/ 
       socket:set_timeout(5000) /*若超過5s，數據發送不出去，則發送失敗*/
       local status =socket:sendto( host, port, DB2GETADDR ) /*調用socket:sendto函數,可以在nselib/nmap.nsedoc文檔下查看其返回值，此處是發送一個廣播包，到523端口*/ 
       if ( not(status) ) thenreturn end    /*若發送失敗，則終止操作*/
       while(true) do
              local data
              status, data =socket:receive()
              if( not(status) )then break end  /*若返回信息錯誤，則終止操作*/
             
              local version,srvname = data:match("DB2RETADDR.(SQL%d+).(.-)")  /*根據返回的信息，提取version和srvname字段*/
              local _, ip
              status, _, _, ip,_ = socket:get_info()
              if ( not(status)) then return end  /*若遠程套接字接口返回信息錯誤，則終止操作*/
             
              iftarget.ALLOW_NEW_TARGETS then target.add(ip)      end /*若target.ALLOW_NEW_TARGETS函數為真，則在Nmap掃描隊列中添加此IP*/
              if ( status )then
                     table.insert(result, ("%s - Host: %s; Version: %s"):format(ip, srvname,parseVersion( version ) )  )    /*在result數組中插入相關信息*/
              end
       end
       socket:close()  
       returnstdnse.format_output( true, result )  /*輸出掃描結果*/
end