這是我們的Nmap備忘單的第四部分（Part 1、 Part 2、 Part 3）。本文中我們將討論更多東西關(guān)于掃描防火墻，IDS / IPS 逃逸，Web服務(wù)器滲透測試等。在此之前，我們應(yīng)該了解一下防火墻的一些基礎(chǔ)知識以便繞過它。

什么是防火墻？

防火墻是用來控制網(wǎng)絡(luò)訪問的軟件或硬件。分為以下兩類：1、基于主機的防火墻；2、基于網(wǎng)絡(luò)的防火墻。

基于主機的防火墻

這是在單臺主機上運行的軟件，用來控制入站流量（從網(wǎng)絡(luò)向主機）和出站流量（從主機向網(wǎng)絡(luò)）。這些軟件安裝于操作系統(tǒng)之上，常見例子就是Linux上面的iptables和Windows上的Zone Alarm。

基于網(wǎng)絡(luò)的防火墻

這些可以是硬件設(shè)備或軟件，或者硬件設(shè)備和軟件相結(jié)合。用來保護(hù)來自于未受保護(hù)的入站通信。

防火墻被安裝在受保護(hù)和不受保護(hù)的網(wǎng)絡(luò)之間，它們會查看所有的通信，并通過設(shè)置規(guī)則來控制入站和出站的通信。

掃描防火墻

為了有效地掃描防火墻，我們必須檢查所有開放端口，服務(wù)和狀態(tài)。在使用Nmap掃描時也要采取行動，設(shè)置時間選項來確定防火墻的存在。所以你可以看到下面有關(guān)Nmap掃描結(jié)果的表格，我們可以很容易地知道防火墻是否存在。

通過谷歌搜索時候我才知道，下面的IP地址是由WAF（Web應(yīng)用防火墻），以及某些IDS保護(hù)下。我們試圖以某種強力攻擊（SQL注入）。我們提交一些特殊字符時，它都會被顯示“失敗的防火墻認(rèn)證”。我們才知道這個東西可以用HTTP動詞篡改來繞過。我們將稍后討論。

首先我們使用選項-Pn進(jìn)行掃描。

發(fā)現(xiàn)有被過濾的端口，因此我們肯定服務(wù)器有防火墻保護(hù)，我們掃描指定端口獲得更多的信息。

讓我們做一個內(nèi)部網(wǎng)絡(luò)掃描。首先,我們將檢查掃描版本：

通過指定時間選項和端口選項發(fā)現(xiàn)了更多服務(wù)。

觀察：

掃描防火墻給內(nèi)部網(wǎng)絡(luò)提供的各種服務(wù)，包括DNS，SSH，HTTPS和Web代理。這些都是在內(nèi)部網(wǎng)絡(luò)中的所有PC可以訪問。它也在80端口運行透明代理，所以并不需要客戶端的瀏覽器更改設(shè)置。

逃避或繞過防火墻

bypass或規(guī)避或逃避無非是進(jìn)入系統(tǒng)的另一種方式。管理員使用防火墻或IDS / IPS阻止惡意攻擊或垃圾郵件。但是從攻擊者的角度來看，他會想辦法繞過防火墻規(guī)則；Nmap有很多辦法繞過防火墻。

1、碎片化

Nmap發(fā)送8個字節(jié)的數(shù)據(jù)包繞過防火墻/IDS/IPS。這種技術(shù)已經(jīng)很古老了，但是在防火墻配置不當(dāng)?shù)臅r候依舊有用。

Nmap -f host

MTU，最大傳輸單元，它是碎片化的別名，我們可以指定它的大小。

Nmap --mtu 16 host

上面的Nmap掃描使用16字節(jié)的數(shù)據(jù)包而不是8個字節(jié)。所以我們可以指定自定義數(shù)據(jù)包大小為8的倍數(shù)。

2、誘餌

這種類型的掃描是非常隱蔽且無法察覺。目標(biāo)由多個假冒或偽造IP地址進(jìn)行掃描。這樣防火墻就會認(rèn)為攻擊或掃描是通過多個資源或IP地址進(jìn)行，于是就繞過了防火墻。

誘餌在初始的ping掃描（使用ICMP，SYN，ACK等）使用，在實際的端口掃描階段使用。誘餌在遠(yuǎn)程操作系統(tǒng)檢測（-O）期間也使用。誘餌不在版本檢測工作或TCP連接掃描中使用。

這實際上在目標(biāo)看來是由多個系統(tǒng)同時掃描，這使得防火墻更難追查掃描的來源。

有兩種方式來執(zhí)行誘餌掃描：

1.nmap –D RND:10 TARGET

2.nmap –D decoy1,decoy2,decoy3 target

以下網(wǎng)絡(luò)抓包顯示多個誘餌將欺騙防火墻。

3、空閑掃描

攻擊者將首先利用一個空閑的系統(tǒng)并用它來掃描目標(biāo)系統(tǒng)。

掃描的工作原理是利用某些系統(tǒng)中采用可預(yù)見的IP序列ID生成。為了使空閑掃描成功，僵尸主機的系統(tǒng)必須是在掃描時間處于閑置狀態(tài)。對于任何疑問，請參考之前的文章。

在這種技術(shù)中會隱藏攻擊者的IP地址。

Nmap –P0 -sI zombie target

我們使用tcpdump來捕獲所有網(wǎng)絡(luò)流量。

Tcpdump -i interface

4、選項–source-port

每個TCP數(shù)據(jù)包帶有源端口號。默認(rèn)情況下Nmap會隨機選擇一個可用的傳出源端口來探測目標(biāo)。該–source-port選項將強制Nmap使用指定的端口作為源端口。這種技術(shù)是利用了盲目地接受基于特定端口號的傳入流量的防火墻的弱點。端口21（FTP），端口53（DNS）和67（DHCP）是這種掃描類型的常見端口。

Nmap --source-port port target

5、隨機數(shù)據(jù)長度：

附加隨機數(shù)據(jù)長度，我們也可以繞過防火墻。許多防火墻通過檢查數(shù)據(jù)包的大小來識別潛伏中的端口掃描。這是因為許多掃描器會發(fā)送具有特定大小的數(shù)據(jù)包。為了躲避那種檢測，我們可以使用命令–data-length增加額外的數(shù)據(jù)，以便與默認(rèn)大小不同。在下圖中，我們通過加入25多個字節(jié)改變數(shù)據(jù)包大小。

nmap --data-length target

捕獲數(shù)據(jù)流量

6、隨機順序掃描目標(biāo)：

選項–randomize-host用于隨機 順序掃描指定目標(biāo)。–randomize-host有助于防止因連續(xù) 掃描多個目標(biāo)而防火墻和入侵檢測系統(tǒng)檢測到。

nmap --randomize-hosts targets

7、MAC地址欺騙：

每臺機器都有自己獨特的mac地址。因此這也是繞過防火墻的另一種方法，因為某些防火墻是基于MAC地址啟用規(guī)則的。為了獲得掃描結(jié)果，您需要先了解哪些MAC地址可以使用。這可以通過手動或先進(jìn)的模糊測試完成。我更喜歡模糊測試，用Python實現(xiàn)非常容易。我們只需要手工導(dǎo)入正則表達(dá)式到Python中，然后自動化執(zhí)行。

特別是–spoof-MAC選項使您能夠從一個特定的供應(yīng)商選擇一個MAC地址，選擇一個隨機的MAC地址，或者設(shè)定您所選擇的特定MAC地址。 MAC地址欺騙的另一個優(yōu)點是，你讓你的掃描隱蔽，因為你的實際MAC地址就不會出現(xiàn)在防火墻的日志文件。

nmap -sT -PN –spoof-mac aa:bb:cc:dd:ee:ff target

Mac地址欺騙需要以下參數(shù)：

8、發(fā)送錯誤校驗

在某些防火墻和IDS / IPS，只會檢查有正確校驗包的數(shù)據(jù)包。因此，攻擊者通過發(fā)送錯誤校驗欺騙IDS / IPS。

nmap --badsum target

9、Sun-RPC 掃描

什么是Sun RPC？Sun RPC（遠(yuǎn)程過程調(diào)用）是一種Unix協(xié)議，用來實現(xiàn)多種服務(wù)比如NFS。最初由Sun開發(fā)，但現(xiàn)在廣泛使用在其他平臺上（包括Digital Unix的）。也被稱為開放式網(wǎng)絡(luò)計算（ONC）。

Sun RPC包帶有一個RPC編譯器，自動生成服務(wù)端和客戶端的存根。

nmap帶有將近600個RPC程序的數(shù)據(jù)庫。許多RPC服務(wù)使用高端口編號或者使用UDP協(xié)議，RPC程序還有嚴(yán)重的遠(yuǎn)程利用漏洞。所以網(wǎng)絡(luò)管理員和安全審計人員往往希望了解更多在他們的網(wǎng)絡(luò)內(nèi)有關(guān)任何RPC程序。

我們可以通過以下命令獲得RPC的詳細(xì)信息：

rpcinfo/rpcinfo --p hostname

nmap通過以下三個步驟跟開放的RPC端口直接通信，然后獲取信息。

1)使用TCP或者UDP掃描開放的端口。

2)-sV選項檢查使用Sun RPC協(xié)議的開放端口。

3)RPC暴力破解引擎會逐一向nmap-rpc數(shù)據(jù)庫中記錄的端口發(fā)送空命令，來判斷RPC程序。當(dāng)nmap猜測錯誤，會收到一條錯誤消息，指出請求的端口并沒有運行PRC程序。當(dāng)nmap耗盡了所有已知的記錄，或者端口返回了非RPC的數(shù)據(jù)包，nmap才會放棄。

SSL后處理器掃描

NMAP具有檢測SSL加密協(xié)議的能力，進(jìn)行版本檢測時會自動啟用這個功能。正如先前討論的RPC掃描，只要檢測一個適當(dāng)?shù)模⊿SL）端口自動執(zhí)行將SSL后處理器掃描。

命令：

nmap -Pn -sSV -T4 –F target

NMAP服務(wù)探針文件格式

Nmap使用本地文件來存儲版本檢測探針和匹配字符串。雖然nmap自帶的nmap-services足以滿足大多數(shù)用戶，理解文件格式有助于滲透測試人員添加新的規(guī)則到掃描引擎中。#號開始的行用于注釋和忽略。

排除指令

版本掃描中會排除指定的端口。它只能使用一次，在所有的探針指令的最上方，位于文件頂部。端口應(yīng)該用逗號分隔。

語法：Exclude <port specification>

探針指令

語法：Probe <protocol> <probename> <probestring>

例子：

Probe TCP GetRequest q|GET / HTTP/1.0\r\n\r\n|

Probe UDP DNSStatusRequest q|\x10|

Probe TCP NULL q||

探針指令告訴nmap發(fā)送指定字符串去識別服務(wù)。參數(shù)如下：

<協(xié)議>

這必須是TCP或UDP。 NMAP只使用匹配它試圖掃描服務(wù)的協(xié)議的探針。

<探測器名稱>

這是一個純英文名稱。

<探測字符串>

告訴Nmap發(fā)送什么。它必須有一個q，用分隔符標(biāo)記字符串的開始和結(jié)束。它允許下列標(biāo)準(zhǔn)轉(zhuǎn)義字符C或Perl的字符串：\\ , \a, \b, \f, \n, \r, \t, \v,和\xHH（ H是任何十六進(jìn)制數(shù)字）。Nmap的探針也有空內(nèi)容探針比如上面的第三個例子，這個TCP空探針用來接收服務(wù)返回的banner。如果你的分隔符（在這些例子中是|）需要在探測字符串中，你需要選擇不同的分隔符。

語法：match <service> <pattern> [<versioninfo>]

Examples：

match ftp m/^220.*Welcome to .*Pure-?FTPd (\d\S+\s*)/ p/Pure-FTPd/ v/$1/ cpe:/a:pureftpd:pure-ftpd:$1/
match ssh m/^SSH-([\d.]+)-OpenSSH[_-]([\w.]+)\r?\n/i p/OpenSSH/ v/$2/ i/protocol $1/ cpe:/a:openbsd:openssh:$2/
match mysql m|^\x10\x01\xff\x13\x04Bad handshake$| p/MySQL/ cpe:/a:mysql:mysql/
match chargen m|@ABCDEFGHIJKLMNOPQRSTUVWXYZ|
match uucp m|^login: login: login: $| p/NetBSD uucpd/ o/NetBSD/ cpe:/o:netbsd:netbsd/a
match printer m|^([\w-_.]+): lpd: Illegal service request\n$| p/lpd/ h/$1/
match afs m|^[\d\D]{28}\s*(OpenAFS)([\d\.]{3}[^\s]*)| p/$1/ v/$2/
 

匹配指令

匹配指令告訴Nmap如何根據(jù)之前發(fā)送探針后服務(wù)器的響應(yīng)來識別服務(wù)。每一個探針后可跟隨數(shù)十或數(shù)百個匹配的語句。匹配指令包括：可選的版本說明，應(yīng)用程序名稱，版本號，以及Nmap報告的其他信息。該參數(shù)這個指令如下：

<服務(wù)>

這是簡單的模式匹配的服務(wù)名稱。比如ssh、smtp、http或snmp。

<模式>

該模式被用來確定接收到的響應(yīng)是否與先前給出的服務(wù)參數(shù)相匹配。格式如Perl，使用語法為m/[regex]/[opts]。“m”告訴Nmap一個匹配的字符串開始。正斜杠（/）是一個分隔符。該正則表達(dá)式是一個Perl風(fēng)格的正則表達(dá)式。目前可以配置的選項是‘i’（不區(qū)分大小寫），‘s’（.也可以匹配換行符）。在Perl這兩個選項具有相同的語義。用括號包圍需要捕獲的字符串，比如版本號。

<版本信息>

在<VERSIONINFO>部分實際上包含幾個可選字段。每個字段始于一個確認(rèn)字母(如h為“主機名”)。接下來是一個分隔符，優(yōu)選的分隔符是斜杠（’/'），除非是在斜杠會在內(nèi)容中體現(xiàn)。接下來是字段的值，然后是分隔符。下表描述了六個字段：

軟匹配指令

語法：softmatch <service> <pattern>

樣例：

softmatch ftp m/^220 [-.\w ]+ftp.*\r\n$/i

softmatch smtp m|^220 [-.\w ]+SMTP.*\r\n|

softmatch pop3 m|^\+OK [-\[\]\(\)!,/+:<>@.\w ]+\r\n$|

軟匹配指令和匹配指令的格式類似，主要區(qū)別在于軟匹配成功之后仍會繼續(xù)掃描，但只會發(fā)送與匹配成功的服務(wù)有關(guān)的探針，這有助于獲得更多信息，比如版本號。

端口和SSL端口指令

語法：port <portlist>

樣例：

ports 21,43,110,113,199,505,540,1248,5432,30444
ports 111,4045,32750-32810,38978

這個命令告訴nmap通過哪些端口去標(biāo)識服務(wù)。語法類似于nmap的-p選項。

語法：sslports <portlist>

樣例：sslports 443

這個是用來探測ssl服務(wù)的端口。

totalwaitms指令

語法：totalwaitms <milliseconds>

樣例：totalwaitms 5000

這個指令告訴nmap針對特定服務(wù)發(fā)送探針后要等待響應(yīng)的時間有多久。nmap默認(rèn)是5秒。

稀有級指令

語法：rarity <值在1和9之間>

樣例：rarity 6

這個指令對應(yīng)這個探針能返回期望結(jié)果的程度。數(shù)值越高表示越稀有。

回退指令

語法：fallback <逗號分隔的探針列表>

樣例：fallback GetRequest,GenericLines

這個選項指定當(dāng)當(dāng)前探針沒有匹配成功時，會使用的備用探針，順序是從左往右。對于沒有回退指令的探針，會隱藏的執(zhí)行回退到空探針。

現(xiàn)在來講講nmap在web滲透中的利用。

Nmap的HTTP方法

Web服務(wù)器根據(jù)它們的配置和軟件支持不同的HTTP方法，并且其中一些請求在一定條件下是危險的。HTTP的方法有GET, HEAD, POST, TRACE, DEBUG, OPTION, DELETE, TRACK, PUT等。更多詳情請查閱這里。

命令：

nmap -p80,443 --script http-methods scanme.nmap.org

如果需要詳細(xì)的檢查，那么命令：

nmap -p80,443 --script http-methods –script-args http-methods.retest scanme.nmap.org

默認(rèn)情況下，腳本http-methods使用根文件夾為基礎(chǔ)路徑（/）。如果我們要設(shè)置一個不同的基本路徑，設(shè)置參數(shù)的HTTP methods.url路徑：

命令：

nmap -p80,443 --script http-methods --script-args http-methods.urlpath=/mypath/ scanme.nmap.org

HTTP方法TRACE，CONNECT，PUT和DELETE可能會出現(xiàn)安全風(fēng)險，如果一個Web服務(wù)器或應(yīng)用程序的支持這些方法的話，需要進(jìn)行徹底測試。 TRACE使應(yīng)用程序容易受到跨站跟蹤（XST）攻擊，可能導(dǎo)致攻擊者訪問標(biāo)記為的HttpOnly的Cookie。 CONNECT方法可能會允許Web服務(wù)器作為未經(jīng)授權(quán)的Web代理。 PUT和DELETE方法具有改變文件夾的內(nèi)容的能力，如果權(quán)限設(shè)置不正確可能被濫用。

你可以了解每個方法更多的風(fēng)險到：

https://www.owasp.org/index.php/Test_HTTP_Methods_%28OTG-CONFIG-006%29

HTTP User Agent:

有些防火墻會過濾Nmap的默認(rèn)UserAgent，你可以設(shè)置不同的用戶代理。

命令: 

nmap -p80 --script http-methods --script-args http.useragent=”Mozilla 5”  <target>

HTTP管道

一些web服務(wù)器允許多個HTTP請求的封裝在一個包。這可以加快腳本執(zhí)行的速度，如果web服務(wù)器支持的話建議啟用。默認(rèn)情況下一個管道會有40個請求，并且會根據(jù)網(wǎng)絡(luò)情況自動調(diào)節(jié)大小。

命令：

nmap -p80 --script http-methods --script-args http.pipeline=25 <target>

另外，我們可以設(shè)置http.max-pipeline參數(shù)來控制http管道的最大值。如果設(shè)置了該參數(shù)，nmap會自動忽略http.pipeline。

命令：

nmap -p80 --script http-methods --script-args http.max-pipeline=10 <target>

掃描HTTP代理

使用http代理是為了隱藏自己的真實ip地址。下列命令顯示如何檢測開放代理：

命令：

nmap --script http-open-proxy -p8080 <target>

我們還可以指定用來驗證的url。

命令：

nmap --script http-open-proxy --script-args http-open-proxy.url=http://whatsmyip.org,http-open-.pattern=”Your IP address is” -p8080 <target>

發(fā)現(xiàn)有趣的文件和目錄和管理員賬戶

這是在滲透測試中常見的任務(wù)，通常沒法手動完成。經(jīng)常討論的Web應(yīng)用程序的脆弱性有目錄列表，用戶賬戶枚舉，配置文件等。用Nmap的NSE可以更快的幫助我們完成這個任務(wù)。

nmap --script http-enum -p80 <target>

查找Lua腳本

進(jìn)入Lua列表

指紋存儲在nselib/data/http-fingerprints.lua，事實上是LUA表格。若要顯示所有的存在頁面

nmap script http-enum http-enum.displayall -p80 <target>

指定不同的User Agent來繞過某些防火墻

nmap -p80 --script http-enum --script-args http.useragent=”Mozilla 5″<target>

也可以指定HTTP管道數(shù)目來加快掃描

nmap -p80 --script http-enum --script-args http.pipeline=25 <target>

暴力破解HTTP身份認(rèn)證

很多家用路由器，IP網(wǎng)絡(luò)攝像頭，甚至是Web應(yīng)用程序仍然依賴于HTTP認(rèn)證，滲透測試人員需要嘗試弱密碼的單詞列表，以確保系統(tǒng)或用戶帳戶是安全的?，F(xiàn)在多虧了NSE腳本http-brute，我們可以對HTTP認(rèn)證保護(hù)的資源執(zhí)行強大的字典攻擊。請參見下面的命令：

nmap -p80 --script http-brute --script-args http-brute.path=/admin/ <target>

http-brute腳本默認(rèn)使用的是自帶的字典，如果要使用自定義的字典。

nmap -p80 --script http-brute --script-args userdb=/var/usernames.txt,passdb=/var/passwords.txt <target>

http-brute支持不同的模式進(jìn)行攻擊。

用戶模式：該模式下，對于userdb中的每個user,會嘗試passdb里面的每個password

nmap --script http-brute --script-args brute.mode=user <target>

密碼模式：該模式下，對于passdb中的每個password,會嘗試userdb里面的每個user。

nmap --script http-brute --script-args brute.mode=pass <target>

fcreds：此模式需要額外的參數(shù)brute.credfile。

nmap --script http-brute --script-args brute.mode=creds,brute.credfile=./creds.txt <target>

mod_userdir滲透測試

Apache的模塊UserDir提供了通過使用URI語法/~username/來訪問用戶目錄的方法。我們可以使用Nmap進(jìn)行字典攻擊，確定web服務(wù)器上有效的用戶名列表。命令如下：nmap -p80 –script http-userdir-enum <target>

跟上面的腳本一樣，可以設(shè)置User Agent、HTTP管道參數(shù)。

測試默認(rèn)憑據(jù)

通常情況下Web應(yīng)用程序存在默認(rèn)憑據(jù)，通過NSE很容易發(fā)現(xiàn)。

nmap -p80 --script http-default-accounts <target>

腳本通過查找已知路徑和已知的用戶密碼來登陸，依賴/nselib/data/http-default-accounts.nse存放的指紋文件。

WordPress審計

發(fā)現(xiàn)使用弱密碼賬戶安裝的wordpress，輸入如下命令：

nmap -p80 --script http-wordpress-brute <target>

設(shè)置線程的數(shù)量,使用腳本參數(shù)http-wordpress-brute.threads：

nmap -p80 --script http-wordpress-brute --script-args http-wordpressbrute.threads=5 <target>

如果服務(wù)器是虛擬主機,利用參數(shù)http-wordpressbrute設(shè)置主機字段：

nmap -p80 --script http-wordpress-brute --script-args http-
wordpressbrute.hostname=”ahostname.wordpress.com” <target>

設(shè)置一個不同的登陸URI,登錄使用參數(shù)http-wordpress-brute.uri：

nmap -p80 --script http-wordpress-brute --script-args http-wordpressbrute.uri=”/hidden-wp-login.php” <target>

要改變存儲的用戶名和密碼的POST變量的名稱，設(shè)置參數(shù)http-wordpress-brute.uservar和http-wordpress-brute.passvar:

nmap -p80 --script http-wordpress-brute --script-args http-wordpressbrute.uservar=usuario,http-wordpress-brute.passvar=pasguord <target>

Joomla審計

Joomla是在許多國家非常流行的cms，使用http-joomla-brute腳本來檢測弱密碼賬戶。

nmap -p80 --script http-joomla-brute <target>

Mark：Wordpress的方法也適用于Joomla。

檢測Web應(yīng)用防火墻

要檢測web應(yīng)用防火墻，使用如下命令：

nmap -p80 --script http-waf-detect <target>

正如你所見，這里的報錯信息顯示有mod_security

可以通過檢測響應(yīng)內(nèi)容的變化來檢測防火墻，推薦使用內(nèi)容較少的頁面。

nmap -p80 --script http-waf-detect --script-args=”http-waf-detect.detectBodyChanges” <target>

使用更多的攻擊載荷：

nmap -p80 --script http-waf-detect --script-args=”http-waf-detect.aggro” <target>

檢測跨站跟蹤漏洞

當(dāng)Web服務(wù)器存在跨站腳本漏洞，又啟用了TRACE方法，這樣就可以獲取啟用了HttpOnly的Cookie。如下命令檢測是否啟用TRACE。

nmap -p80 --script http-methods,http-trace --script-args http-methods.retest <target>

檢測跨站腳本漏洞

跨站腳本漏洞允許攻擊者執(zhí)行任意js代碼。檢測命令如下：

nmap -p80 --script http-unsafe-output-escaping <target>

該腳本http-unsafe-output-escaping是由Martin Holst Swende編寫，它會檢測基于用戶輸入的輸出可能出現(xiàn)的問題，該腳本發(fā)送以下內(nèi)容到它發(fā)現(xiàn)的所有參數(shù)：ghz%3Ehzx%22zxc%27xcv

更多詳情，查閱：

http://nmap.org/nsedoc/scripts/http-phpself-xss.html

http://nmap.org/nsedoc/scripts/http-unsafe-output-escaping.html

檢測SQL注入

使用如下命令：

nmap -p80 --script http-sql-injection <target>

可以設(shè)置httpspider.maxpagecount來加快掃描的速度。

nmap -p80 --script http-sql-injection --script-args httpspider.maxpagecount=200 <target>

一個有趣的參數(shù)是httpspider.withinhost，它限制nmap只能爬取給定的主機。默認(rèn)情況下是啟用的，如果為了爬行相關(guān)的站點可以禁用。

nmap -p80 --script http-sql-injection --script-args httpspider.withinhost=false <target>

可以找到的官方文檔庫。

同樣可以設(shè)置User Agent和HTTP管道的數(shù)目：

nmap -p80 --script http-sql-injection --script-args http.useragent=”Mozilla 42″ <target>

*參考來源：resources.infosecinstitute，F(xiàn)B小編東二門陳冠希編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）

最新評論