Nmap Fortgeschritten: NSE Skripte fur internes Recon im simulierten Firmenlab

Nmap ist nicht tot, und wer das glaubt, hat nie /usr/share/nmap/scripts geoffnet. Die NSE-Sammlung liefert mehr als 600 Lua-Skripte, vom Fingerprint alter Dienste wie JD Edwards bis zur Active-Directory-Enumeration uber unauthentifiziertes LDAP. In einem simulierten Firmenlab, etwa mit GOAD oder Ludus aufgebaut, ersetzt NSE Dutzende Einzelwerkzeuge und liefert strukturiertes XML, wodurch die gesamte Toolchain reproduzierbar wird. Vor jedem exotischen Flag steht der nicht verhandelbare Punkt: schriftlicher Scope. Ohne formale Genehmigung ist Scannen so falsch wie fremde Briefkasten zu offnen. Wir gehen hier von einem eigenen, isolierten, dokumentierten Lab aus.

Beginn mit sauber gemachten Basics. Ein Initial-Sweep mit nmap -sS -p- --min-rate 5000 -oA full_tcp 10.10.0.0/24 liefert in Minuten ein vollstandiges TCP-Inventar uber ein /24 mit niedriger Latenz. Ein fokussierter zweiter Lauf, nmap -sV -sC -p$(cat ports.txt) -oA versioned -iL hosts.txt, fahrt die Default-Skripte (safe und discovery) gegen die tatsachlich offenen Ports. Dieser zweistufige Fluss vermeidet die klassische Sunde, -A gleich auf ein ganzes /16 zu werfen, was Sonden flutet, das SIEM uberlastet und am Ende keine belastbaren Daten liefert. Wer noch kein Lab hat, findet in Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen ein kompaktes, reproduzierbares Setup.

NSE glanzt vor allem bei dienstspezifischer Enumeration. Fur SMB rekonstruieren Skripte wie smb-os-discovery, smb2-security-mode, smb-enum-shares und smb-vuln-ms17-010 die Windows-Topologie haufig ohne gultige Credentials. Bei LDAP zeigt ldap-search mit (objectClass=user) Service Accounts, Beschreibungen mit eingepasten Passwortern (verbreiteter, als zugegeben wird) und schwache Passwortrichtlinien. In einer GOAD-AD-Umgebung futtert dieses Recon direkt den Angriff aus Active Directory Pentest: Kerberoasting Schritt fuer Schritt im GOAD Lab, denn Kerberoasting hangt von SPNs ab, die schon in der Recon-Phase identifiziert werden.

Nutzlicher Output ist parsbarer Output. Verwende immer -oA basename, das nmap, gnmap und XML gleichzeitig erzeugt. Das XML futtert nmap-parse-output, dnmap oder ein eigenes Python-Skript mit python-libnmap. In grosseren Teams verwandelt die Ingestion in Elasticsearch und Korrelation mit Sigma-Regeln offensives Recon in Input fur das Blue Team und schliesst den Kreis aus Purple Team in der Praxis: Aufbau eines Red-Blue-Feedback-Zyklus. Rohausgabe in einen LLM-Prompt zu kippen, um Zusammenfassungen zu erhalten, ist riskant: neben dem Leak-Risiko verlierst du Felder wie reason_ttl, die fur das Erkennen eines Inline-IPS Gold wert sind.

Eigene Skripte sind der echte Hebel. NSE in Lua zu schreiben ist einfacher als befurchtet: eine Datei in ~/.nmap/scripts/ mit portrule, action und categories reicht. Im autorisierten Red Team lohnt es, Checks fur interne CVEs zu schreiben, etwa unsichere Jenkins-Konfigurationen oder offene Spring-Boot-Actuator-Endpunkte. In Kombination mit http-enum, http-title und http-shellshock werden ganze Anwendungsfarmen in Sekunden gefegt. Fur die nachste Phase, wenn der Foothold steht und du in andere VLANs pivotieren willst, schliesst Pivoting mit Chisel und Ligolo-ng: Segmentierte Netze im Pentest-Lab nahtlos an und setzt abgeschlossenes Recon voraus.

Vorsicht bei Timing und stateful Firewalls. -T4 zerlegt viele alte IDS, lost aber heute in modernem XDR leicht Alarme aus. Fur ein realistisches Lab justiere --max-retries 2, --host-timeout 30m und --scan-delay 100ms gegen ein Suricata-NIDS. Mit --source-port 53 oder --data-length 24 testest du laxe Regeln, die dem Quellport vertrauen, ein leider noch verbreitetes Muster. In langen Engagements segmentiere Ziele nach Wartungsfenstern und logge alles, auch fehlgeschlagene Scans, denn sie deuten oft auf interessante ACLs hin, die spater manuelle Pruefung verdienen.

Am Ende ersetzt NSE kein Denken. Nmap findet Ports und ratet Versionen; Befunde korrelieren, Exploit-Pfade priorisieren und Scope-Grenzen respektieren bleibt Menschenarbeit. Praktischer Takeaway: baue eine dreischichtige Pipeline, breiter Sweep mit -sS -p-, Enumeration mit -sV --script "safe,discovery" und Validierung uber dienstspezifische NSE, immer mit XML-Export fur spateres Parsing. In zwei Stunden kartierst du ein Firmen-/24 besser als manch teurer automatischer Scanner. Und denk daran, ohne schriftliche Genehmigung ist nichts davon ein Pentest, sondern eine Straftat.