如何分析 XML 格式的 Nmap 扫描结果

介绍

在网络安全领域，理解和分析网络扫描结果对于维护安全的基础设施至关重要。Nmap (Network Mapper，网络映射器) 是最广泛使用的网络发现和安全审计工具之一。本教程将指导你完成解释 XML 格式的 Nmap 扫描结果的过程，使你掌握必要的技能，从而利用这个强大的工具来满足你的网络安全需求。

在本实验结束时，你将了解如何运行带有 XML 输出的 Nmap 扫描，理解 XML 数据的结构，使用命令行工具和 Python 脚本提取有价值的信息，并从扫描结果中识别潜在的安全问题。

Skills Graph

安装 Nmap 并运行基本的 XML 扫描

什么是 Nmap？

Nmap (Network Mapper，网络映射器) 是一款免费且开源的实用工具，用于网络发现和安全审计。世界各地的安全专业人员使用它来识别其网络上运行的设备，发现可用的主机及其提供的服务，查找开放端口，并检测安全漏洞。

安装 Nmap

让我们首先在我们的系统上安装 Nmap。打开一个终端窗口并输入以下命令：

sudo apt update
sudo apt install nmap -y

安装完成后，通过检查其版本来验证 Nmap 是否已正确安装：

nmap --version

你应该看到类似于以下的输出：

Nmap version 7.80 ( https://nmap.org )
Platform: x86_64-pc-linux-gnu
Compiled with: liblua-5.3.3 openssl-1.1.1f libssh2-1.8.0 libz-1.2.11 libpcre-8.39 nmap-libpcap-1.9.1 nmap-libdnet-1.12 ipv6
Compiled without:
Available nsock engines: epoll poll select

运行带有 XML 输出的基本 Nmap 扫描

Nmap 可以将其扫描结果保存为 XML 格式，这提供了一种以编程方式分析数据的结构化方法。让我们运行一个对本地机器的基本扫描，并将结果保存为 XML 格式：

sudo nmap -A -T4 -oX ~/project/localhost_scan.xml localhost

此命令执行以下操作：

• -A：启用操作系统检测（OS detection）、版本检测（version detection）、脚本扫描（script scanning）和路由跟踪（traceroute）
• -T4：将时间模板设置为“aggressive（激进）”
• -oX：指定输出应为 XML 格式
• localhost：要扫描的目标（我们自己的机器）

扫描可能需要一到两分钟才能完成。完成后，你将在终端中看到扫描结果的摘要。

查看 XML 扫描结果

让我们检查一下刚刚创建的 XML 文件：

cat ~/project/localhost_scan.xml

输出将是一个结构化的 XML 文档，其中包含有关扫描的详细信息。乍一看可能让人不知所措，但我们将在后续步骤中学习如何解释它。

让我们也使用 head 命令检查 XML 文件的基本结构：

head -n 20 ~/project/localhost_scan.xml

这将显示 XML 文件的前 20 行，让我们了解其结构。

检查 XML 输出结构

理解 Nmap XML 格式

Nmap XML 输出遵循一种分层结构，该结构以逻辑方式组织扫描信息。让我们探索此结构的主要元素：

1. <nmaprun>：根元素，包含所有扫描信息
2. <scaninfo>：有关扫描类型和参数的详细信息
3. <host>：有关每个扫描主机的详细信息
   • <status>：主机是启动（up）还是关闭（down）
   • <address>：IP 和 MAC 地址
   • <hostnames>：DNS 名称
   • <ports>：有关扫描端口的详细信息
     • <port>：有关特定端口的信息
       • <state>：端口是打开（open）、关闭（closed）还是被过滤（filtered）
       • <service>：如果可用，则提供服务信息
   • <os>：操作系统检测（OS detection）结果
   • <times>：有关扫描的时间信息

使用命令行工具提取信息

XML 文件以其原始形式可能难以阅读。让我们使用一些命令行工具从我们的扫描结果中提取特定信息。

首先，让我们使用 grep 和 wc 统计找到多少个开放端口：

grep -c "state=\"open\"" ~/project/localhost_scan.xml

此命令在 XML 文件中搜索 state="open" 的实例并对其进行计数。

接下来，让我们使用带有 -A 选项的 grep 来识别开放端口及其服务，该选项用于显示匹配后的行：

grep -A 3 "state=\"open\"" ~/project/localhost_scan.xml

这将显示每个开放端口的实例以及随后的 3 行，这些行通常包括服务信息。

我们还可以使用 xmllint 格式化 XML 文件，以提高可读性。让我们首先安装它：

sudo apt install libxml2-utils -y

现在，让我们格式化 XML 文件：

xmllint --format ~/project/localhost_scan.xml > ~/project/formatted_scan.xml

让我们看看格式化的文件：

head -n 50 ~/project/formatted_scan.xml

这将显示格式化的 XML 文件的前 50 行，这些行应该更容易阅读。

最后，让我们使用带有 XPath 的 xmllint 提取有关主机状态的特定信息：

xmllint --xpath "//host/status/@state" ~/project/localhost_scan.xml

此命令使用 XPath 提取主机（host）元素下所有状态（status）元素的 state 属性。

使用 Python 解析 Nmap XML

Python XML 解析简介

Python 提供了强大的库来解析 XML 文件。在此步骤中，我们将创建一个简单的 Python 脚本来解析我们的 Nmap 扫描结果，并以更易读的格式显示它们。

创建基本的 XML 解析器

让我们创建一个 Python 脚本，该脚本使用 xml.etree.ElementTree 模块来解析 Nmap XML 文件。此模块包含在 Python 标准库中，因此我们无需安装任何其他内容。

在项目目录中创建一个名为 parse_nmap.py 的新文件：

nano ~/project/parse_nmap.py

将以下代码复制并粘贴到编辑器中：

#!/usr/bin/env python3
import xml.etree.ElementTree as ET
import sys

def parse_nmap_xml(xml_file):
    try:
        ## 解析 XML 文件
        tree = ET.parse(xml_file)
        root = tree.getroot()

        ## 打印扫描信息
        print("Nmap Scan Report")
        print("=" * 50)
        print(f"Scan started at: {root.get('startstr')}")
        print(f"Nmap version: {root.get('version')}")
        print(f"Nmap command: {root.get('args')}")
        print("=" * 50)

        ## 处理扫描中的每个主机
        for host in root.findall('host'):
            ## 获取主机地址
            for addr in host.findall('address'):
                if addr.get('addrtype') == 'ipv4':
                    ip_address = addr.get('addr')
                    print(f"\nHost: {ip_address}")

            ## 获取主机名（如果可用）
            hostnames = host.find('hostnames')
            if hostnames is not None:
                for hostname in hostnames.findall('hostname'):
                    print(f"Hostname: {hostname.get('name')}")

            ## 获取主机状态
            status = host.find('status')
            if status is not None:
                print(f"Status: {status.get('state')}")

            ## 处理端口
            ports = host.find('ports')
            if ports is not None:
                print("\nOpen Ports:")
                print("-" * 50)
                print(f"{'PORT':<10}{'STATE':<10}{'SERVICE':<15}{'VERSION'}")
                print("-" * 50)

                for port in ports.findall('port'):
                    port_id = port.get('portid')
                    protocol = port.get('protocol')

                    ## 获取端口状态
                    state = port.find('state')
                    port_state = state.get('state') if state is not None else "unknown"

                    ## 跳过关闭的端口
                    if port_state != "open":
                        continue

                    ## 获取服务信息
                    service = port.find('service')
                    if service is not None:
                        service_name = service.get('name', '')
                        service_product = service.get('product', '')
                        service_version = service.get('version', '')
                        service_info = f"{service_product} {service_version}".strip()
                    else:
                        service_name = ""
                        service_info = ""

                    print(f"{port_id}/{protocol:<5} {port_state:<10}{service_name:<15}{service_info}")

            ## 获取操作系统检测信息
            os = host.find('os')
            if os is not None:
                print("\nOS Detection:")
                for osmatch in os.findall('osmatch'):
                    print(f"OS: {osmatch.get('name')} (Accuracy: {osmatch.get('accuracy')}%)")

    except ET.ParseError as e:
        print(f"Error parsing XML file: {e}")
        return False
    except Exception as e:
        print(f"Error: {e}")
        return False

    return True

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <nmap_xml_file>")
        sys.exit(1)

    xml_file = sys.argv[1]
    if not parse_nmap_xml(xml_file):
        sys.exit(1)

通过按 Ctrl+O，然后按 Enter 保存文件，然后使用 Ctrl+X 退出 nano。

现在，使脚本可执行：

chmod +x ~/project/parse_nmap.py

运行解析器

让我们在我们之前创建的 Nmap XML 文件上运行我们的 Python 脚本：

python ~/project/parse_nmap.py ~/project/localhost_scan.xml

你应该看到扫描结果的格式良好的输出，包括：

• 基本扫描信息
• 主机详细信息
• 开放端口和服务
• 操作系统检测结果（如果可用）

与原始 XML 文件相比，此格式化的输出更容易阅读，并突出显示了扫描中最重要的信息。

理解解析器代码

让我们回顾一下我们的 Python 脚本的作用：

1. 它使用 xml.etree.ElementTree 来解析 XML 文件
2. 它从根元素中提取常规扫描信息
3. 对于在扫描中找到的每个主机：
   • 它提取 IP 地址和主机名
   • 它确定主机是启动还是关闭
   • 它列出所有开放端口，包括端口号、协议、服务名称和版本
   • 它提取操作系统检测信息（如果可用）

这种结构化的方法使我们能够专注于最相关的信息，同时忽略 XML 的复杂性。

提取与安全相关的信息

从 Nmap 扫描中获取安全洞察

现在我们可以解析 Nmap XML 数据了，让我们扩展我们的脚本以提取与安全相关的信息。这包括：

1. 识别潜在的危险开放端口
2. 检测过时的服务版本
3. 总结安全问题

让我们创建一个增强版本的解析器，专注于安全分析。

创建安全分析脚本

创建一个名为 security_analysis.py 的新文件：

nano ~/project/security_analysis.py

复制并粘贴以下代码：

#!/usr/bin/env python3
import xml.etree.ElementTree as ET
import sys
import datetime

## 定义潜在的危险端口
HIGH_RISK_PORTS = {
    '21': 'FTP - 文件传输协议 (通常未加密)',
    '23': 'Telnet - 未加密的远程访问',
    '25': 'SMTP - 电子邮件传输 (可能允许中继)',
    '445': 'SMB - Windows 文件共享 (蠕虫的潜在目标)',
    '3389': 'RDP - 远程桌面协议 (暴力破解的目标)',
    '1433': 'MSSQL - Microsoft SQL Server',
    '3306': 'MySQL - 数据库访问',
    '5432': 'PostgreSQL - 数据库访问'
}

## 具有已知安全问题的服务
OUTDATED_SERVICES = {
    'ssh': [
        {'version': '1', 'reason': 'SSHv1 具有已知的漏洞'},
        {'version': 'OpenSSH 7', 'reason': '较旧的 OpenSSH 版本具有多个 CVE'}
    ],
    'http': [
        {'version': 'Apache httpd 2.2', 'reason': 'Apache 2.2.x 已停止维护'},
        {'version': 'Apache httpd 2.4.1', 'reason': '2.4.30 之前的 Apache 版本具有已知的漏洞'},
        {'version': 'nginx 1.14', 'reason': '较旧的 nginx 版本具有安全问题'}
    ]
}

def analyze_security(xml_file):
    try:
        ## 解析 XML 文件
        tree = ET.parse(xml_file)
        root = tree.getroot()

        ## 准备报告
        report = []
        report.append("NMAP SECURITY ANALYSIS REPORT")
        report.append("=" * 50)
        report.append(f"Report generated on: {datetime.datetime.now().strftime('%Y-%m-%d %H:%M:%S')}")
        report.append(f"Scan started at: {root.get('startstr')}")
        report.append(f"Scan command: {root.get('args')}")
        report.append("=" * 50)

        ## 跟踪安全发现
        high_risk_services = []
        potentially_outdated = []
        exposed_services = []

        ## 处理扫描中的每个主机
        for host in root.findall('host'):
            ## 获取主机地址
            ip_address = None
            for addr in host.findall('address'):
                if addr.get('addrtype') == 'ipv4':
                    ip_address = addr.get('addr')

            hostname = "Unknown"
            hostnames = host.find('hostnames')
            if hostnames is not None:
                hostname_elem = hostnames.find('hostname')
                if hostname_elem is not None:
                    hostname = hostname_elem.get('name')

            report.append(f"\nHOST: {ip_address} ({hostname})")
            report.append("-" * 50)

            ## 处理端口
            ports = host.find('ports')
            if ports is None:
                report.append("No port information available")
                continue

            open_ports = 0
            for port in ports.findall('port'):
                port_id = port.get('portid')
                protocol = port.get('protocol')

                ## 获取端口状态
                state = port.find('state')
                if state is None or state.get('state') != "open":
                    continue

                open_ports += 1

                ## 获取服务信息
                service = port.find('service')
                if service is None:
                    service_name = "unknown"
                    service_product = ""
                    service_version = ""
                else:
                    service_name = service.get('name', 'unknown')
                    service_product = service.get('product', '')
                    service_version = service.get('version', '')

                service_full = f"{service_product} {service_version}".strip()

                ## 检查这是否是高风险端口
                if port_id in HIGH_RISK_PORTS:
                    high_risk_services.append(f"{ip_address}:{port_id} ({service_name}) - {HIGH_RISK_PORTS[port_id]}")

                ## 检查过时的服务
                if service_name in OUTDATED_SERVICES:
                    for outdated in OUTDATED_SERVICES[service_name]:
                        if outdated['version'] in service_full:
                            potentially_outdated.append(f"{ip_address}:{port_id} - {service_name} {service_full} - {outdated['reason']}")

                ## 跟踪所有暴露的服务
                exposed_services.append(f"{ip_address}:{port_id}/{protocol} - {service_name} {service_full}")

            report.append(f"Open ports: {open_ports}")

        ## 将安全发现添加到报告中
        report.append("\nSECURITY FINDINGS")
        report.append("=" * 50)

        ## 高风险服务
        report.append("\nHIGH-RISK SERVICES")
        report.append("-" * 50)
        if high_risk_services:
            for service in high_risk_services:
                report.append(service)
        else:
            report.append("No high-risk services detected")

        ## 潜在的过时服务
        report.append("\nPOTENTIALLY OUTDATED SERVICES")
        report.append("-" * 50)
        if potentially_outdated:
            for service in potentially_outdated:
                report.append(service)
        else:
            report.append("No potentially outdated services detected")

        ## 暴露的服务清单
        report.append("\nEXPOSED SERVICES INVENTORY")
        report.append("-" * 50)
        if exposed_services:
            for service in exposed_services:
                report.append(service)
        else:
            report.append("No exposed services detected")

        ## 将报告写入文件
        report_file = "security_report.txt"
        with open(report_file, 'w') as f:
            f.write('\n'.join(report))

        print(f"Security analysis complete. Report saved to {report_file}")

        ## 显示摘要
        print("\nSummary:")
        print(f"- High-risk services: {len(high_risk_services)}")
        print(f"- Potentially outdated services: {len(potentially_outdated)}")
        print(f"- Total exposed services: {len(exposed_services)}")

    except ET.ParseError as e:
        print(f"Error parsing XML file: {e}")
        return False
    except Exception as e:
        print(f"Error: {e}")
        return False

    return True

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <nmap_xml_file>")
        sys.exit(1)

    xml_file = sys.argv[1]
    if not analyze_security(xml_file):
        sys.exit(1)

通过按 Ctrl+O，然后按 Enter 保存文件，然后使用 Ctrl+X 退出 nano。

使脚本可执行：

chmod +x ~/project/security_analysis.py

运行安全分析

让我们在 Nmap XML 文件上运行我们的安全分析脚本：

cd ~/project
./security_analysis.py localhost_scan.xml

该脚本将分析扫描结果并生成一份专注于潜在漏洞的安全报告，并将其保存到名为 security_report.txt 的文件中。

让我们看看报告的内容：

cat ~/project/security_report.txt

理解安全分析

安全分析脚本执行几个重要的功能：

1. 高风险端口识别：它识别常见的被利用的端口，如 FTP (21)、Telnet (23) 和 RDP (3389)，这些端口是攻击者的常见目标。

2. 过时服务检测：它检查可能存在已知安全漏洞的旧版本服务，如 SSH、Apache 和 nginx。

3. 暴露服务清单：它创建所有开放端口和服务的完整清单，这对于安全审计非常有价值。

4. 风险分类：它按风险级别组织发现，以帮助确定安全改进的优先级。

这种类型的分析对于安全专业人员在攻击者利用网络中的潜在漏洞之前识别它们至关重要。

扩展分析

在实际场景中，你可能希望通过以下方式扩展此分析：

1. 将更多高风险端口添加到检测列表
2. 使用最新的漏洞信息更新过时的服务定义
3. 与漏洞数据库集成以检查已知的 CVE（通用漏洞披露，Common Vulnerabilities and Exposures）
4. 添加针对检测到的问题的补救建议

对于网络安全专业人员来说，以编程方式分析 Nmap XML 数据是一项强大的技能，因为它允许自动化的漏洞评估以及与更大的安全监控系统集成。

总结

祝贺你完成了这个关于分析 XML 格式的 Nmap 扫描结果的实验。你已经学习了几项重要的技能：

1. 安装和运行 Nmap：你学习了如何安装 Nmap 并运行带有 XML 输出的扫描，为网络侦察提供了基础。

2. 理解 XML 结构：你探索了 Nmap XML 文件的结构，并使用命令行工具提取特定信息，使你能够快速分析扫描结果。

3. 使用 Python 解析 XML：你创建了一个 Python 脚本来解析和显示 Nmap 扫描结果，使其具有可读的格式，演示了如何以编程方式处理结构化数据。

4. 安全分析：你扩展了你的 Python 技能，以分析扫描结果中的安全问题，识别潜在的危险服务并生成全面的安全报告。

这些技能对于需要执行网络评估、漏洞扫描和安全审计的网络安全专业人员至关重要。自动分析 Nmap 结果的能力可以实现更高效和彻底的安全监控。

你可以通过以下方式进一步提高这些技能：

• 探索更高级的 Nmap 扫描技术
• 将扫描结果与其他安全工具集成
• 创建更复杂的分析算法
• 开发用于扫描数据的可视化工具

请记住，网络扫描只能在你拥有或明确许可扫描的网络上执行，因为未经授权的扫描可能属于非法和不道德行为。