Nmap Complete Practical Tutorial | TryHackMe Nmap

مقدمة إلى Nmap و Portscanning

هذا المنصب يستعرض استخدام برنامج نماب ويوضح حالات الاستخدام المختلفة باستخدام خيارات سطر الأوامر Nmap. يستخدم هذا المنشور سيناريوهات عملية مشمولة في قسمين غرف TryHackMe.

الغرفة الأولى

الغرفة الثانية

In another update, we also covered the answers for the below rooms:

• TryHackMe Nmap Live Host Discovery
• TryHackMe Nmap Basic Port Scans
• TryHackMe Nmap Advanced Port Scans

احصل على ملاحظات شهادة OSCP

COMPTIA Security+ Study Notes

Intro to Port Scanning with Nmap

عندما يتعلق الأمر بالقرصنة، المعرفة هي القوة. كلما زادت معرفتك بالنظام أو الشبكة المستهدفة، زادت الخيارات المتاحة لديك. وهذا يجعل من الضروري إجراء التعداد الصحيح قبل القيام بأي محاولات استغلال.

لنفترض أننا حصلنا على عنوان IP (أو عناوين IP متعددة) لإجراء تدقيق أمني عليه. قبل أن نفعل أي شيء آخر، نحتاج إلى الحصول على فكرة عن "المشهد" الذي نهاجمه. ما يعنيه هذا هو أننا بحاجة إلى تحديد الخدمات التي تعمل على الأهداف. على سبيل المثال، ربما يقوم أحدهما بتشغيل خادم ويب، والآخر يعمل كوحدة تحكم مجال Windows Active Directory. المرحلة الأولى في إنشاء هذه "الخريطة" للمناظر الطبيعية تسمى مسح المنفذ. When a computer runs a network service, it opens a networking construct called a “port” to receive the connection.  Ports are necessary for making multiple network requests or having multiple services available. For example, when you load several webpages at once in a web browser, the program must have some way of determining which tab is loading which web page. This is done by establishing connections to the remote webservers using different ports on your local machine. Equally, if you want a server to be able to run more than one service (for example, perhaps you want your webserver to run both HTTP and HTTPS versions of the site), then you need some way to direct the traffic to the appropriate service. Once again, ports are the solution to this. Network connections are made between two ports – an open port listening on the server and a randomly selected port on your own computer. For example, when you connect to a web page, your computer may open port 49534 to connect to the server’s port 443.

يحتوي كل كمبيوتر على إجمالي 65535 منفذًا متاحًا؛ ومع ذلك، يتم تسجيل العديد منها كمنافذ قياسية. على سبيل المثال، يمكن دائمًا العثور على خدمة ويب HTTP على المنفذ 80 للخادم. يمكن العثور على خدمة ويب HTTPS على المنفذ 443. ويمكن العثور على Windows NETBIOS على المنفذ 139 ويمكن العثور على SMB على المنفذ 445. ومن المهم ملاحظة ما يلي: ومع ذلك، خاصة في إعداد CTF، لم يُسمع حتى عن تغيير هذه المنافذ القياسية، مما يزيد من ضرورة إجراء التعداد المناسب على الهدف.

متى مسح المنافذ باستخدام Nmap، هناك ثلاثة أنواع أساسية من الفحص. هؤلاء هم:

• برنامج التعاون الفني توصيل عمليات المسح (-شارع)
• عمليات فحص SYN "نصف مفتوحة" (-sS)
• UDP المسح (-سو)
• TCP ACK Scan: As the name implies, an ACK scan will send a TCP packet with the ACK flag set. Use the -sA option to choose this scan. 
• Window Scan: Another similar scan is the TCP window scan. The TCP window scan is almost the same as the ACK scan; however, it examines the TCP Window field of the RST packets returned. On specific systems, this can reveal that the port is open. You can select this scan type with the option -sW
• Custom Scan: If you want to experiment with a new TCP flag combination beyond the built-in TCP scan types, you can do so using --scanflags. For instance, if you want to set SYN, RST, and FIN simultaneously, you can do so using --scanflags RSTSYNFIN.

بالإضافة إلى ذلك، هناك العديد من أنواع فحص المنافذ الأقل شيوعًا، والتي سنغطي بعضها أيضًا (وإن كان ذلك بتفاصيل أقل). هؤلاء هم:

• برنامج التعاون الفني عمليات المسح الفارغة (-sN) : The null scan does not set any flag; all six flag bits are set to zero. You can choose this scan using the -sN option. A TCP packet with no flags set will not trigger any response when it reaches an open port, as shown in the figure below. Therefore, from Nmap’s perspective, a lack of reply in a null scan indicates that either the port is open or a firewall is blocking the packet.
• برنامج التعاون الفني مسح الزعانف (-sF): The FIN scan sends a TCP packet with the FIN flag set. You can choose this scan type using the -sF option. Similarly, no response will be sent if the TCP port is open. Again, Nmap cannot be sure if the port is open or if a firewall is blocking the traffic related to this TCP port.
• برنامج التعاون الفني مسح عيد الميلاد (-sX):
• The Xmas scan gets its name after Christmas tree lights. An Xmas scan sets the FIN, PSH, and URG flags simultaneously. You can select Xmas scan with the option -sX. Like the Null scan and FIN scan, if an RST packet is received, it means that the port is closed. Otherwise, it will be reported as open|filtered.

معظمهم (باستثناء UDP عمليات الفحص) تستخدم لأغراض متشابهة جدًا، ومع ذلك، تختلف طريقة عملها بين كل عملية فحص. هذا يعني أنه على الرغم من أن إحدى عمليات الفحص الثلاثة الأولى من المحتمل أن تكون هي الاختيار الأمثل لك في معظم المواقف، إلا أنه من المفيد أن تضع في اعتبارك وجود أنواع فحص أخرى.

Nmap Scripting Engine

ال Nmap Scripting Engine (NSE) هي إضافة قوية بشكل لا يصدق إلى Nmap، حيث تعمل على توسيع وظائفها بشكل كبير. تتم كتابة البرامج النصية NSE في لوا لغة برمجة، ويمكن استخدامها للقيام بمجموعة متنوعة من الأشياء: بدءًا من البحث عن نقاط الضعف وحتى أتمتة عمليات استغلالها. تعتبر NSE مفيدة بشكل خاص للاستطلاع، ومع ذلك، من المفيد أن نأخذ في الاعتبار مدى اتساع مكتبة النصوص.

هناك العديد من الفئات المتاحة. بعض الفئات المفيدة تشمل:

• آمن:- لن يؤثر على الهدف
• تطفلي:- غير آمن : من المحتمل أن يؤثر على الهدف
• vuln:- البحث عن نقاط الضعف
• يستغل:- محاولة استغلال ثغرة أمنية
• مصادقة:- محاولة تجاوز المصادقة لتشغيل الخدمات (على سبيل المثال تسجيل الدخول إلى أحد بروتوكول نقل الملفات الخادم مجهول)
• غاشم:- محاولة استخدام بيانات الاعتماد لتشغيل الخدمات
• اكتشاف:- محاولة الاستعلام عن الخدمات قيد التشغيل للحصول على مزيد من المعلومات حول الشبكة (على سبيل المثال، الاستعلام عن خادم SNMP).

يمكن العثور على قائمة أكثر شمولاً هنا.

Host Discovery with Nmap

We can ping every IP address on a target network and see who would respond to our ping (ICMP Type 8/Echo) requests with a ping reply (ICMP Type 0). Simple, isn’t it? Although this would be the most straightforward approach, it is not always reliable. Many firewalls block ICMP echo; new versions of MS Windows are configured with a host firewall that blocks ICMP echo requests by default. Remember that an ARP query will precede the ICMP request if your target is on the same subnet.

To use ICMP echo request to discover live hosts, add the option -PE. (Remember to add -sn if you don’t want to follow that with a port scan.) 

TCP SYN Ping

We can send a packet with the SYN (Synchronize) flag set to a TCP port, 80 by default, and wait for a response. An open port should reply with a SYN/ACK (Acknowledge); a closed port would result in an RST (Reset). In this case, we only check whether we will get any response to infer whether the host is up. The specific state of the port is not significant here.

If you want Nmap to use TCP SYN ping, you can do so via the option -PS followed by the port number, range, list, or a combination of them. For example, -PS21 will target port 21, while -PS21-25 will target ports 21, 22, 23, 24, and 25. Finally -PS80,443,8080 will target the three ports 80, 443, and 8080.

Privileged users (root and sudoers) can send TCP SYN packets and don’t need to complete the TCP 3-way handshake even if the port is open, as shown in the figure below. Unprivileged users have no choice but to complete the 3-way handshake if the port is open.

TCP ACK Ping

As you have guessed, this sends a packet with an ACK flag set. You must be running Nmap as a privileged user to be able to accomplish this. If you try it as an unprivileged user, Nmap will attempt a 3-way handshake.

By default, port 80 is used. The syntax is similar to TCP SYN ping. -PA should be followed by a port number, range, list, or a combination of them. For example, consider -PA21, -PA21-25 و -PA80,443,8080. If no port is specified, port 80 will be used.

UDP Ping

Finally, we can use UDP to discover if the host is online. Contrary to TCP SYN ping, sending a UDP packet to an open port is not expected to lead to any reply. However, if we send a UDP packet to a closed UDP port, we expect to get an ICMP port unreachable packet; this indicates that the target system is up and available.

Enumeration with Nmap

e mentioned the different techniques we can use for scanning in Task 1. Before we explain each in detail and put it into use against a live target, we need to specify the targets we want to scan. Generally speaking, you can provide a list, a range, or a subnet. Examples of target specification are:

• list: MACHINE_IP scanme.nmap.org example.com will scan 3 IP addresses.
• range: 10.11.12.15-20 will scan 6 IP addresses: 10.11.12.15, 10.11.12.16,… and 10.11.12.20.
• subnet: MACHINE_IP/30 will scan 4 IP addresses.

You can also provide a file as input for your list of targets, nmap -iL list_of_hosts.txt

التهرب من جدار الحماية باستخدام Nmap

هناك مجموعة متنوعة من المفاتيح الأخرى التي يعتبرها Nmap مفيدة للتهرب من جدار الحماية. لن نتناول هذه التفاصيل بالتفصيل، ولكن يمكن العثور عليها هنا.

You can also check out جدار الحماية والتهرب من IDS مع NMAP | Practical Scenario post.

المفاتيح التالية ذات أهمية خاصة:

• -F:- يستخدم لتجزئة الحزم (أي تقسيمها إلى أجزاء أصغر) مما يقلل من احتمالية اكتشاف الحزم بواسطة جدار الحماية أو معرفات.
• بديل ل -F، ولكن مع توفير المزيد من التحكم في حجم الحزم: --mtu <number>، يقبل الحد الأقصى لحجم وحدة الإرسال لاستخدامه في الحزم المرسلة. هذا يجب يكون من مضاعفات 8.
• --scan-delay <time>ms:- يستخدم لإضافة تأخير بين الحزم المرسلة. يعد هذا مفيدًا جدًا إذا كانت الشبكة غير مستقرة، ولكنه أيضًا مفيد لتجنب أي مشغلات لجدار الحماية/IDS قد تكون موجودة.
• --badsum:- يُستخدم هذا لإنشاء مجموع اختباري غير صالح للحزم. قد يؤدي أي مكدس TCP/IP حقيقي إلى إسقاط هذه الحزمة، ومع ذلك، من المحتمل أن تستجيب جدران الحماية تلقائيًا، دون الحاجة إلى التحقق من المجموع الاختباري للحزمة. على هذا النحو، يمكن استخدام رمز التبديل هذا لتحديد وجود جدار الحماية/IDS.

Spoofed Scan with Nmap

In brief, scanning with a spoofed IP address is three steps:

1. Attacker sends a packet with a spoofed source IP address to the target machine.
2. Target machine replies to the spoofed IP address as the destination.
3. Attacker captures the replies to figure out open ports.

In general, you expect to specify the network interface using -e and to explicitly disable ping scan -Pn. Therefore, instead of nmap -S SPOOFED_IP MACHINE_IP, you will need to issue nmap -e NET_INTERFACE -Pn -S SPOOFED_IP MACHINE_IP to tell Nmap explicitly which network interface to use and not to expect to receive a ping reply. It is worth repeating that this scan will be useless if the attacker system cannot monitor the network for responses.

When you are on the same subnet as the target machine, you would be able to spoof your MAC address as well. You can specify the source MAC address using --spoof-mac SPOOFED_MAC. This address spoofing is only possible if the attacker and the target machine are on the same Ethernet (802.3) network or same WiFi (802.11).

Spoofing only works in a minimal number of cases where certain conditions are met. Therefore, the attacker might resort to using decoys to make it more challenging to be pinpointed. The concept is simple, make the scan appear to be coming from many IP addresses so that the attacker’s IP address would be lost among them. As we see in the figure below, the scan of the target machine will appear to be coming from 3 different sources, and consequently, the replies will go the decoys as well.

Fragemented Scan with Nmap

Nmap provides the option -F to fragment packets. Once chosen, the IP data will be divided into 8 bytes or less. Adding another -F (-f -f أو - وما يليها) will split the data into 16 byte-fragments instead of 8. You can change the default value by using the --mtu; however, you should always choose a multiple of 8.

To properly understand fragmentation, we need to look at the IP header in the figure below. It might look complicated at first, but we notice that we know most of its fields. In particular, notice the source address taking 32 bits (4 bytes) on the fourth row, while the destination address is taking another 4 bytes on the fifth row. The data that we will fragment across multiple packets is highlighted in red.

Description of port scanning output with Nmap

1. Open: indicates that a service is listening on the specified port.
2. Closed: indicates that no service is listening on the specified port, although the port is accessible. By accessible, we mean that it is reachable and is not blocked by a firewall or other security appliances/programs.
3. Filtered: means that Nmap cannot determine if the port is open or closed because the port is not accessible. This state is usually due to a firewall preventing Nmap from reaching that port. Nmap’s packets may be blocked from reaching the port; alternatively, the responses are blocked from reaching Nmap’s host.
4. Unfiltered: means that Nmap cannot determine if the port is open or closed, although the port is accessible. This state is encountered when using an ACK scan -sA.
5. Open|Filtered: This means that Nmap cannot determine whether the port is open or filtered.
6. Closed|Filtered: This means that Nmap cannot decide whether a port is closed or filtered.

إجابات على الأسئلة من الغرفة الأولى

 Room Answers | TryHackMe Nmap Live Host Discovery

How many devices can see the ARP Request?

4

Did computer6 receive the ARP Request? (Y/N)

N

How many devices can see the ARP Request?

4

Did computer6 reply to the ARP Request? (Y/N)

N

ما هو عنوان IP الأول الذي سيقوم Nmap بفحصه إذا قمت بتوفيره 10.10.12.13/29 كهدفك؟

10.10.12.8

كم عدد عناوين IP التي سيفحصها Nmap إذا قمت بتوفير النطاق التالي 10.10.0-255.101-125? 

6400

ما هو نوع الحزمة التي أرسلها الكمبيوتر1 قبل تنفيذ الأمر ping؟

ARP Request

ما هو نوع الحزمة التي تلقاها الكمبيوتر1 قبل أن يتمكن من إرسال اختبار الاتصال (ping)؟

ARP Response

كم عدد أجهزة الكمبيوتر التي استجابت لطلب ping؟

1

What is the name of the first device that responded to the first ARP Request?

Router

What is the name of the first device that responded to the second ARP Request?

computer5

Send another Ping Request. Did it require new ARP Requests? (Y/N)

N

How many devices are you able to discover using ARP requests?

3

ما هو الخيار المطلوب لإخبار Nmap باستخدام الطابع الزمني لـ ICMP لاكتشاف المضيفين المباشرين؟

-PP

ما هو الخيار المطلوب لإخبار Nmap باستخدام قناع عنوان ICMP لاكتشاف المضيفين المباشرين؟

-PM

What is the option required to tell Nmap to use ICMP Echo to discover live hosts?

-PE

أي فحص ping لـ TCP لا يتطلب حسابًا مميزًا؟

TCP SYN PING

Which TCP ping scan requires a privileged account?

TCP ACK PING

What option do you need to add to Nmap to run a TCP SYN ping scan on the telnet port?

-PS23

نريد من Nmap أن يصدر بحثًا عكسيًا عن DNS لجميع المضيفين المحتملين على شبكة فرعية، على أمل الحصول على بعض الأفكار من الأسماء. ما الخيار الذي يجب أن نضيفه؟

-R

Room Answers | TryHackMe Nmap Basic Port Scans

ما الخدمة التي تستخدم منفذ UDP 53 افتراضيًا؟

DNS

Which service uses TCP port 22 by default?

سش

كم عدد حالات المنفذ التي يأخذها Nmap في الاعتبار؟

6

ما هي حالة الميناء الأكثر إثارة للاهتمام لاكتشافها باعتبارها البنستر؟

OPEN

ما هي الأحرف الثلاثة التي تمثل علامة إعادة الضبط؟

RST

Which flag needs to be set when you initiate a TCP connection (first packet of TCP 3-way handshake)?

syn

قم بتشغيل VM. افتح AttackBox وقم بالتنفيذ nmap -sT MACHINE_IP via the terminal. A new service has been installed on this VM since our last scan. Which port number was closed in the scan above but is now open on this target VM?

110

ما هو تخمين Nmap بشأن الخدمة المثبتة حديثًا؟

pop3

قم بتشغيل VM. تم تثبيت بعض برامج الخادم الجديدة منذ آخر مرة قمنا فيها بفحصها. في AttackBox، استخدم الوحدة الطرفية للتنفيذ nmap -sS MACHINE_IP. ما هو المنفذ المفتوح الجديد؟

6667

ما هو تخمين Nmap لاسم الخدمة؟

irc

قم بتشغيل VM. في AttackBox، استخدم الوحدة الطرفية للتنفيذ nmap -sU -F -v MACHINE_IP. A new service has been installed since the last scan. What is the UDP port that is now open?

53

ما هو اسم الخدمة حسب Nmap؟

domain

ما هو خيار فحص كافة منافذ TCP بين 5000 و5500؟

-p5000-5500

كيف يمكنك التأكد من أن Nmap سيقوم بتشغيل 64 مسبارًا على الأقل بالتوازي؟

–min-parallelism=64

ما الخيار الذي تود إضافته لجعل Nmap بطيئًا جدًا ومذعورًا؟

-T0

Room Answers | Nmap Advanced Port Scans

في الفحص الفارغ، كم عدد العلامات التي تم ضبطها على 1؟

0

في فحص FIN، كم عدد الأعلام التي تم ضبطها على 1؟

1

في فحص عيد الميلاد، كم عدد الأعلام التي تم ضبطها على 1؟

3

Start the VM and load the AttackBox. Once both are ready, open the terminal on the AttackBox and use nmap to launch a FIN scan against the target VM. How many ports appear as open|filtered?

7

Repeat your scan launching a null scan against the target VM. How many ports appear as open|filtered?

7

في مسح ميمون، كم عدد الأعلام التي تم وضعها؟

2

في فحص نافذة TCP، كم عدد العلامات التي تم تعيينها؟

1

You decided to experiment with a custom TCP scan that has the reset flag set. What would you add after --scanflags? 

RST

The VM received an update to its firewall ruleset. A new port is now allowed by the firewall. After you make sure that you have terminated the VM from Task 2, start the VM for this task. Launch the AttackBox if you haven’t done that already. Once both are ready, open the terminal on the AttackBox and use Nmap to launch an ACK scan against the target VM. How many ports appear unfiltered?

4

ما هو رقم المنفذ الجديد الذي ظهر؟

443

هل هناك أي خدمة وراء رقم المنفذ المكتشف حديثا؟ (نعم / لا)

ن

ماذا تحتاج إلى إضافته إلى الأمر سودو نماب MACHINE_IP لجعل المسح يبدو كما لو كان قادمًا من عنوان IP المصدر 10.10.10.11 بدلاً من عنوان IP الخاص بك؟

-S 10.10.10.11

ماذا تحتاج إلى إضافته إلى الأمر سودو نماب MACHINE_IP لجعل الفحص يظهر كما لو كان قادمًا من عناوين IP المصدر 10.10.20.21 و 10.10.20.28 بالإضافة إلى عنوان IP الخاص بك؟

-D 10.10.20.21,10.10.20.28

إذا كان حجم مقطع TCP 64، و - وما يليها يتم استخدام الخيار، كم عدد أجزاء IP التي ستحصل عليها؟

4

لقد اكتشفت طابعة شبكة نادرًا ما تستخدم بعنوان IP 10.10.5.5، وتقرر استخدامه كزومبي في الفحص الخامل. ما الوسيطة التي يجب عليك إضافتها إلى أمر Nmap؟

-sI 10.10.5.5

قم بتشغيل AttackBox إذا لم تكن قد قمت بذلك بالفعل. بعد التأكد من إنهاء الجهاز الظاهري من المهمة 4، ابدأ تشغيل الجهاز الظاهري لهذه المهمة. انتظر حتى يتم التحميل بالكامل، ثم افتح الوحدة الطرفية على AttackBox واستخدم Nmap معها nmap -sS -F --reason MACHINE_IP to scan the VM. What is the reason provided for the stated port(s) being open?

syn-ack

Full Video WalkThroughs