nmap (https://underc0de.org)

El manual en pdf sobre nmap subido por Hati en underc0de en versión org-mode.

<!doctype html>

-NMAP- LISTADO COMPLETO DE COMANDOS

hati (https://underc0de.org/foro/hacking/nmap-listado-completo-de-comandos/)

1 ESPECIFICACIÓN DE OBJETIVOS

1.1 -iL <fich>

Objetivos en fichero. Se pasan los objetivos en un fichero, cada uno en una línea.

1.2 -iR <num>

Objetivos aleatorios. Elige los objetivos de forma aleatoria.

1.3 --exclude <hosts>

Lista exclusión. Indica equipos a excluir del análisis.

1.4 --excludefile <fich>

Fichero de exclusión. Se pasan en un fichero los equipos a excluir del análisis

2 DESCUBRIMIENTO DE EQUIPOS

2.1 -Pn

No ping. No realiza ninguna técnica de descubrimiento. Pasa directamente al análisis de puertos. Considera a todos los objetivos como aptos para un análisis de puertos.

2.2 -sL

List Scan. Sólo lista equipos. No envía ningún paquete a los objetivos. Hace resolución inversa DNS.

2.3 -sn

Ping Sweep. Implica un -PE + -PA 80 + -PS 443 y si es en la misma subred también -PR. No hace análisis de puertos posterior. Si usuario sin privilegios: connect() a 80 y 443 hace resolución inversa DNS.

2.4 -PR

Ping ARP. Sólo para objetivos de nuestra red local (activo por defecto). Envía un ARP Request. Host Up: Se recibe un ARP Reply. Host Down: Expira el timeout.

2.5 -PS<ports>

Ping TCP SYN. Envía un SYN, por defecto al puerto 80. Acepta lista de puertos. Se ejecuta este si usuario sin privilegios. Host Up: Se recibe un SYN/ACK o RST. Host Down: Expira el timeout.

2.6 -PA<ports>

Ping TCP ACK. Envía un ACK vacío, por defecto al puerto 80. Acepta lista de puertos. Traspasa cortafuegos sin estado. Host Up: Se recibe un RST. Host Down: Expira el timeout.

2.7 -PU<ports>

Ping UDP. Envía un UDP vacío al puerto 31338. Acepta lista de puertos. Traspasa cortafuegos que sólo filtran TCP. Host Up: Se recibe un ICMP port unreachable. Host Down: Otros ICMPs, expira el timeout.

2.8 -PY <ports>

Ping SCTP. Envía un paquete SCTP INIT al puerto 80. Acepta lista de puertos. Solo usuarios privilegiados. Host Up: Se recibe ABORT o INIT-ACK. Host Down: Expira el timeout.

2.9 -PE

Ping ICMP Echo. Envía un ICMP Echo Request. Poco fiable. Filtrado en la mayoría de cortafuegos. Host Up: Se recibe ICMP Echo Reply. Host Down: Expira el timeout.

2.10 -PP

Ping ICMP Timestamp. Envía un ICMP Timestamp Request. Muchos cortafuegos no filtran este ICMP. Host Up: Se recibe ICMP Timestamp Reply. Host Down: Expira el timeout.

2.11 -PM

Ping ICMP Address mask. Envía un ICMP Address Mask Request. Muchos cortafuegos no filtran este ICMP. Host Up: Se recibe ICMP AddMask Reply. Host Down: Expira el timeout.

2.12 -PO<proto>

IP Protocol Ping. Envía sondas IP con protocolo 1, 2 y 4. Acepta lista de protocolos. Host Up: Respuesta o ICMP Prot. Unreachable. Host Down: Expira el timeout.

3 MODIFICADORES

3.1 -n

DNS. No realiza nunca resolución inversa de DNS. Más sigiloso y más rápido.

3.2 -R

DNS. Realiza la resolución inversa de DNS incluso a los objetivos que aparecen como Down.

3.3 --dns-servers <srv>

DNS. Especifica la lista de servidores DNS a utilizar para hacer la resolución.

3.4 --system-dns

DNS. Utiliza el sistema de resolución DNS del sistema operativo.

3.5 --tracetoute

Ruta. Descubre la ruta seguida por los paquetes hasta el equipo objetivo.

4 ANÁLISIS DE PUERTOS

4.1 -sT

Connect. Envía un SYN, luego un RST para cerrar conexión. Puede utilizarse sin privilegios de root. Se utilizan llamadas del SO. Menos eficiente que SYN Stealth. Closed: Recibe RST. Open: Recibe SYN/ACK. Filtered: ICMP unreachable o expira el timeout.

4.2 -sS

SYN Stealth. Envía un SYN. Es la técnica usada por defecto. Rápida, fiable y relativamente sigilosa. También denominada half-open scan. Closed: Recibe RST. Open: Recibe SYN/ACK. Filtered: ICMP unreachable o expira el timeout.

4.3 -sU

UPD Scan. Envía UDP vacío. Más lento que un análisis TCP. Se puede realizar en paralelo a otras técnicas. Para diferenciar entre Open y Filtered se puede usar el detector de versiones (-sV). Closed: Recibe ICMP port unreachable. Filtered: Recibe otros ICMP unreachable. Open: Ha habido una respuesta. Open|Filtered: Expira el timeout.

4.4 -sI<zombie[:port]>

Idle Scan. Compleja. Usa IP origen de un equipo intermedio (Zombie) para analizar el objetivo. Según los cambios en el IPID del zombie, se deduce el estado de los puertos del objetivo. Técnica muy avanzada y sigilosa. No queda registro de ningún paquete directo al objetivo.

4.5 -sA

TCP ACK. Envía ACK vacío. Sólo determina si los puertos están o no filtrados. Unfiltered: Recibe RST. Filtered: ICMP error; expira el timeout.

4.6 -sN

TCP NULL. Envía TCP con todos los flags a 0. Closed: Recibe RST. Filtered: Recibe ICMP unreachable. Open|Filtered: expira el timeout.

4.7 -sF

TCP FIN. Envía TCP con el flag FIN a 1. Closed: Recibe RST.Filtered: Recibe ICMP unreachable. Open|Filtered: expira el timeout.

4.8 -sX

XMas Scan. Envía TCP con los flags FIN, PSH y URG a 1. Closed: Recibe RST. Filtered: Recibe ICMP unreachable. Open|Filtered: expira el timeout.

4.9 -sM

TCP Maimon. Envía ACK con el flag FIN a 1. Closed: Recibe RST. Filtered: Recibe ICMP unreachable. Open|Filtered: expira el timeout.

4.10 -sW

TCP Window. Envía ACK vacío. Muy parecido a ACK Stealth. Diferencia entre puertos open y closed. No siempre es fiable. Open: Recibe RST con Window size positivo. Closed: Recibe RST con Window size cero. Filtered: ICMP error; expira el timeout.

4.11 --scanflags <flags>

TCP Personal. Envía TCP con los flags que se indiquen. Por defecto, trata estado de puertos como lo hace -sS, pero se puede especificar otro scan. Flags posibles: URG, ACK, PSH, RST, SYN, y FIN. Sin espacios.

4.12 -sO

IP Protocol. Envía paquetes IP con la cabecera vacía (excepto para TCP, UDP e ICMP) iterando sobre el campo IP Protocol. Determina los protocolos de transporte soportados por el objetivo. Open: Recibe cualquier respuesta (no error). Closed: Recibe ICMP protocol unreachable. Filtered: Recibe otros ICMP unreachable. Open|Filtered: expira el timeout

4.13 -sY

SCTP INIT. Envía paquetes SCTP INIT (inicio conexión). Equivalente a TCP SYN. Open: Recibe SCTP INIT-ACK. Closed: Recibe SCTP ABORT. Filtered: Recibe ICMP unreachable o expira el timeout.

4.14 -sZ

SCTP Cookie echo. Envía paquetes SCTP Cookie Echo (3ª fase conexión). Útil si hay cortafuegos sin estado. Closed: Recibe SCTP ABORT. Open|Filtered: Expira timeout. Filtered: Recibe ICMP Unreachable.

4.15 -b <ftpsrv>

FTP Bounce. Usa la funcionalidad Proxy-FTP para recorrer puertos del objetivo. Las respuestas FTP indican estado del puerto. Parámetro: username:pwd@server:port. Explota las conexiones Proxy-FTP, poco extendidas. Se usa para traspasar cortafuegos.

5 ESPECIFICACIÓN DE PUERTOS

5.1 -F

Limita el análisis a los 100 puertos más comunes (ver archivo nmap-services). Por defecto, se usan los 1000 puertos más comunes.

5.2 -r

Los puertos se analizan en orden secuencial creciente. Por defecto, la lista de puertos se recorre 0aleatoriamente.

5.3 -p<rango>

Especifica el rango de puertos a analizar. -p- escanea todos los puertos. U: indica sólo UDP; T: sólo TCP; S: sólo SCTP. Ej: -p U:53,111,T:21-25,80,139,S:9 Sin espacios.

5.4 --top-ports <num>

Analiza los <num> puertos más comunes, según clasificación de Nmap.

5.5 --port-ratio <ratio>

Analiza los puertos cuyo ratio de uso sea superior a <ratio>.

6 DETECCIÓN DE VERSIONES

6.1 -sV

Interroga al conjunto de puertos abiertos detectados para tratar de descubrir servicios y versiones en puertos abiertos. También usado para distinguir entre puertos marcados como open|filtered.

6.2 --allports

Incluye todos los puertos en la fase de detección de versiones. Por defecto se excluyen algunos.

6.3 --version-intensity <num>

servicios y versiones disponibles. Intensidad con que se realizan pruebas para comprobar valores de 0 (ligera) a 9 (todas pruebas disponibles).

6.4 --version-light

Alias de –version-intensity 2

6.5 --version-all

Alias de –version-intensity 9

6.6 --version-trace

Muestra traza de actividad del análisis de versiones y servicios. Útil para tareas de depuración.

7 DETECCIÓN DE SISTEMA OPERATIVO

7.1 -O

Envía paquetes TCP y UDP al objetivo. Analiza las respuestas para conocer qué tipo de implementación de la pila TCP/IP tiene el objetivo. Muy efectivo si al menos existe un puerto abierto y otro cerrado.

7.2 --osscan-limit

Limita la detección del SO a objetivos prometedores.

7.3 --osscan-guess

Realiza un proceso más agresivo para la detección del SO. Alias: –fuzzy

7.4 --max-os-tries

Fija máximo de intentos para detectar el SO. Por defecto, 5 intentos.

8 EVASIÓN DE CORTAFUEGOS/IDS Y SPOOFING

8.1 -f

Fragmentar paquetes. Divide los paquetes en fragmentos de 8 bytes después de la cabecera IP. Cada f extra aumenta en 8 bytes más el tamaño de los fragmentos. Usado para dividir las cabeceras TCP y complicar su análisis.

8.2 --mtu

Fragmentar paquetes. Especifica el tamaño deseado. En múltiplos de 8 bytes. Usado para dividir las cabeceras TCP y complicar su análisis.

8.3 --data-length

Tamaño del paquete. Añade datos aleatorios a los paquetes enviados. Por defecto, las sondas se envían vacías. Usado debido a que un paquete no vacío es menos sospechoso.

8.4 --randomize-hosts

Objetivos aleatorios. Divide la lista de objetivos en grupos de hasta 16384 equipos y los analiza en orden aleatorio. Evita flujo de paquetes hacia IP consecutivas (suele ser sospechoso).

8.5 -D <host1>[,<hostN>]

Señuelos. Permite especificar un conjunto de IPs válidas que se usarán como dirección origen en el análisis a modo de señuelos. Las respuestas de los objetivos llegarán también a los señuelos. Usado para enmascarar la propia IP en el escaneo y dificultar la traza del origen. Los señuelos deben estar activos.

8.6 -S <IP>

Falsear dirección/puerto origen. Envía paquetes IP con la dirección origen especificada. Usado para hacer creer al objetivo que hay otra persona escaneándolo. Algunos ISP filtran las IP origen falseadas. No se reciben respuestas.

8.7 --spoof-mac <mac>

Falsear dirección/puerto origen. Envía tramas Ethernet con la dirección origen especificada. Si no se especifica completa, el resto se completa de forma aleatoria. Usado para hacer creer al objetivo que hay otra persona escaneándolo. Algunos ISP filtran las IP origen falseadas. No se reciben respuestas.

8.8 -g <port> --sourceport <port>

Envía paquetes usando el puerto especificado, cuando sea posible. Usado porque muchos cortafuegos aceptan conexiones entrantes a puertos típicos como p.e. TCP20 ó UDP53.

8.9 -e <iface>

Definir interfaz. Define la interfaz de red, en caso de existir múltiples, por la que Nmap lanzará el análisis.

8.10 --ip-options <opts>

Opciones IP. Permite fijar opciones del protocolo IP. Routers bloquean muchas de ellas. Útil para definir o reconocer rutas.

8.11 --ttl <valor>

TTL. Fija el tiempo de vida de las sondas enviadas.

8.12 --badsum

Checksums incorrectos. Usa checksums inválidos para TCP, UDP y SCTP. Usado porque muchos cortafuegos/IDSs no procesan este campo y los objetivos sí.

8.13 --adler32

SCTP Checksum. Utiliza método de cálculo de resumen Adler32, en lugar del actual CRC-32C, para paquetes SCTP. Útil para obtener respuestas de implementaciones SCTP antiguas.

9 TEMPORIZACIÓN Y RENDIMIENTO

9.1 --minhostgroup <num> --maxhostgroup <num>

Objetivos en paralelo. Establece los límites mínimo y máximo de objetivos que se pueden analizar de forma concurrente.

9.2 --minparallelism <num> --maxparallelism <num>

Pruebas en paralelo. Establece los límites mínimo y máximo de pruebas que pueden estar llevándose a cabo de forma concurrente. Por defecto valor dinámico basado en el rendimiento de la red. Útil en redes o equipos lentos. Valor demasiado alto puede afectar precisión.

9.3 --min-rtttimeout <time> --max-rtttimeout <time> --initial-rtttimeout <time>

Tiempo de respuesta de las sondas. Si vence el tiempo de espera, Nmap considera que no hay respuesta y sigue con la siguiente sonda. Por defecto valor dinámico basado en tiempo de sondas anteriores. Útil en redes rápidas o cuando muchos puertos están cerrados.

9.4 --max-retries <num>

Retransmisiones. Especifica el número de retransmisiones para cada sonda, en caso de no recibir respuesta.. Por defecto 10 reintentos.

9.5 --hosttimeout <time>

Tiempo de análisis de equipo. Especifica el tiempo máximo que ocupa Nmap en el análisis de un equipo completo. Si vence este tiempo, no se muestra nada sobre el mismo en el análisis final. Útil para análisis grandes en redes poco fiables o lentas, a costa de perder algunos resultados.

9.6 --scan-delay <time> --max-scandelay <time>

Tiempo entre sondas. Define el tiempo inicial y máximo que espera Nmap entre cada prueba. Nmap trata de ajustar ese tiempo de forma dinámica. Útil si la red limita la tasa de transferencia o de respuestas. P.ej. equipos que solo envían 1 respuesta ICMP por segundo.

9.7 --min-rate <num> --max-rate <num>

Tasa de envío de sondas. Controla la tasa de envío de sondas. Ámbito global del análisis, no por objetivo.

9.8 --default-rstratelimit

Límite de respuestas RST. Muchos equipos limitan, además del número de ICMP, el número de RST que envían. Por defecto Nmap se ajusta al límite. Este parámetro hace que Nmap no tenga en cuenta este límite. Puede reducir precisión.

9.9 --nsockengine <motor>

Motor E/S nsock. Fuerza el uso de un motor de control de entrada salida. Valores posibles: epoll y select.

9.10 -T <plant>

Plantillas de tiempo. Define una plantilla genérica de tiempos que configura varios de los parámetros vistos anteriormente. Valores (de + a – lento): paranoid, sneaky, polite, normal, plantillas de tiempo aggressive, insane. Alias: 0 a 5 (p.ej. -T4). Por defecto: Normal (3).

10 SCRIPTING

10.1 -sC

Incluye en el análisis actual el conjunto por defecto de scripts (algunos pueden ser intrusivos). Equivalente a: –script default

10.2 --script <valor>

Define el/los script a utilizar. Valor puede ser un nombre de fichero, categoría, directorio, expresión, etcétera. Alias all ejecuta todos los script (peligroso). Valores separados por comas. Prefijo + hace que se ejecuten aunque no corresponda.

10.3 --script-args <args>

Argumentos a pasar a los scripts. Formato: <nombre>=<valor>. Argumentos separados por comas. Prioridad sobre los definidos en fichero.

10.4 --script-argsfile <file>

Carga argumentos de un fichero. Por defecto, 5 intentos.

10.5 --script-help <valor>

Muestra ayuda sobre los scripts. Valores como –script.

10.6 --script-trace

Símil de –packet-trace una capa ISO por encima. Muestra todas las comunicaciones realizadas por un script.

10.7 --script-updatedb

Actualiza la BBDD de scripts existente. Útil si se realizan cambios a la carpeta de scripts por defecto.

11 SALIDA

11.1 -sC

Incluye en el análisis actual el conjunto por defecto de scripts Equivalente a: –script default (algunos pueden ser intrusivos).

11.2 scrypt <valor>

Define el/los script a utilizar. Valor puede ser un nombre de fichero, categoría, directorio, expresión, etcétera. Alias all ejecuta todos los script (peligroso). Valores separados por comas. Prefijo + hace que se ejecuten aunque no corresponda.

11.3 --script-args <args>

Argumentos a pasar a los scripts. Argumentos separados por comas. Formato: <nombre>=<valor>. Prioridad sobre los definidos en fichero.

11.4 --script-argsfile <file>

Carga argumentos de un fichero. Por defecto, 5 intentos.

11.5 --script-help <valor>

Muestra ayuda sobre los scripts. Valores como –script.

11.6 --script-trace

Símil de –packet-trace una capa ISO por encima. Muestra todas las comunicaciones realizadas por un script.

11.7 --script-updatedb

Actualiza la BBDD de scripts existente. Útil si se realizan cambios a la carpeta de scripts por defecto.

12 MISCELÁNEA

12.1 -6

Ipv6. Habilita el análisis en redes IPv6 .

12.2 -A

Análisis agresivo. Alias para -O -sV -sC –traceroute

12.3 --datadir <dir>

Directorio de datos. Indica el directorio de donde Nmap lee algunos ficheros que necesita para su uso (nmapservice-probes, nmap-services, nmap-protocols, nmap-rpc, nmap-mac-prefixes y nmap-os-db).

12.4 --servicedb <file>

Fichero de servicios. Indica una localización personalizada para el fichero de donde Nmap obtiene la información sobre servicios. Fichero nmap-services. Más prioritario que –datadir. Activa -F

12.5 --versiondb <file>

Fichero de versiones. Indica la ubicación del fichero de donde Nmap obtiene las sondas que debe enviar para detectar servicios (-sV). Fichero nmap-service-probes. Más prioritario que –datadir.

12.6 --send-eth

Escribir en tramas ethernet. Escribe directamente tramas a nivel Ethernet sin usar el API de red ni transporte. Por defecto se decide de forma dinámica el tipo de tramas a enviar. Usado para evitar limitaciones de algunas implementaciones de la pila TCP/IP.

12.7 --send-ip

Escribir tramas IP. Escribe paquetes a nivel IP, y los pasa al sistema operativo para que este se encargue de enviarlos. Complementaria de la opción anterior.

12.8 --privileged

Modo privilegiado. Asume que tiene suficientes permisos para realizar operaciones que requieren elevación de privilegios, como apertura de sockets RAW y captura de paquetes, entre otros. Útil si se permite a usuarios sin privilegios realizar dichas acciones. Alternativa: Fijar la variable de entorno NMAPPRIVILEGED.

12.9 --unprivileged

Modo sin privilegios. Opuesto al anterior. Asume que no se tienen privilegios para realizar operaciones privilegiadas. Útil para pruebas o depuración.

12.10 releasememory

Liberar memoria. Hace que Nmap libere toda su memoria antes de finalizar su ejecución. Normalmente es el SO quien hace esta tarea. Facilita descubrimiento de filtraciones de memoria.

12.11 -V --version

Versión. Imprime la versión de Nmap y finaliza la ejecución.

12.12 -h --help

Ayuda. Imprime la página de ayuda resumida. Alias: Lanzar nmap sin argumentos.

Share

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *