原文：Script Writing Tutorial

事實(shí)上，在你看這篇譯文之前，我必須要解釋兩點(diǎn)

1. 按照這篇譯文寫出的代碼并沒有發(fā)揮作用
2. 你可以通過這篇文章了解到script的框架

假設(shè)您想要從identification服務(wù)器提取信息以確定偵聽TCP端口的進(jìn)程的所有者褥芒。 這不是identd的目的（它是為了查詢傳出連接的所有者宇攻，而不是監(jiān)聽守護(hù)進(jìn)程）抱虐，但許多identd服務(wù)器都允許它亩鬼。Nmap曾經(jīng)擁有這種功能（稱為ident掃描），但在過渡到新的掃描引擎架構(gòu)時(shí)被刪除千劈。 identd使用的協(xié)議非常簡(jiǎn)單祭刚，但仍然太復(fù)雜，無法處理Nmap的版本檢測(cè)語言墙牌。 首先涡驮，連接到標(biāo)識(shí)服務(wù)器并發(fā)送<port-on-server>，<port-on-client>格式的查詢喜滨，并以換行符結(jié)尾捉捅。 然后，服務(wù)器應(yīng)該使用包含服務(wù)器端口虽风，客戶端端口棒口，響應(yīng)類型和地址信息的字符串進(jìn)行響應(yīng)寄月。 如果出現(xiàn)錯(cuò)誤，地址信息將被省略无牵。 更多細(xì)節(jié)可在RFC 1413中找到漾肮，但這種描述對(duì)我們的目的來說已經(jīng)足夠了。該協(xié)議不能用Nmap的版本檢測(cè)語言建模茎毁，原因有兩個(gè)克懊。 首先，您需要知道連接的本地端口和遠(yuǎn)程端口七蜘。 版本檢測(cè)不提供此數(shù)據(jù)谭溉。 第二個(gè)更嚴(yán)重的障礙是，您需要兩個(gè)打開的連接到目標(biāo) - 一個(gè)連接到識(shí)別服務(wù)器橡卤，一個(gè)連接到您希望查詢的偵聽端口扮念。 NSE很容易克服這兩種障礙。

腳本的解剖部分在腳本格式一節(jié)中進(jìn)行了描述碧库。 在本節(jié)中柜与，我們將介紹如何使用所描述的結(jié)構(gòu)。

The Head

腳本的head本質(zhì)上是它的元信息嵌灰。包含下列字段：description,categories,dependencies,author,license以及初始NSEDoc信息旅挤，例如用法，參數(shù)和輸出標(biāo)簽參考編寫腳本文檔一節(jié)伞鲫。

description應(yīng)包含一段或更多段描述腳本的功能。 如果有關(guān)腳本結(jié)果的任何信息可能會(huì)混淆或誤導(dǎo)用戶签舞，并且您無法通過改進(jìn)腳本或結(jié)果文本來消除此問題秕脓，則應(yīng)將其記錄在description中。 如果有多個(gè)段落儒搭，第一個(gè)在必要時(shí)用作簡(jiǎn)短摘要吠架。 確保第一段可以作為一個(gè)獨(dú)立的摘要。 這個(gè)描述很簡(jiǎn)短搂鲫，因?yàn)樗且粋€(gè)如此簡(jiǎn)單的腳本：

description = [[
Attempts to find the owner of an open TCP port by querying an auth
(identd - port 113) daemon which must also be open on the target system.
]]

接下來是NSEDoc信息傍药。 此腳本缺少常見的@usage和@args標(biāo)記，因?yàn)樗浅：?jiǎn)單魂仍，但它確實(shí)有一個(gè)NSEDoc @output標(biāo)記：

---
--@output
-- 21/tcp   open     ftp       ProFTPD 1.3.1
-- |_ auth-owners: nobody
-- 22/tcp   open     ssh       OpenSSH 4.3p2 Debian 9etch2 (protocol 2.0)
-- |_ auth-owners: root
-- 25/tcp   open     smtp      Postfix smtpd
-- |_ auth-owners: postfix
-- 80/tcp   open     http      Apache httpd 2.0.61 ((Unix) PHP/4.4.7 ...)
-- |_ auth-owners: dhapache
-- 113/tcp  open     auth?
-- |_ auth-owners: nobody
-- 587/tcp  open     submission Postfix smtpd
-- |_ auth-owners: postfix
-- 5666/tcp open     unknown
-- |_ auth-owners: root

接下來是author,license,categories標(biāo)簽拐辽。 此腳本屬于safe，因?yàn)槲覀儧]有將該服務(wù)用于任何不適用的內(nèi)容擦酌。 由于此腳本是默認(rèn)運(yùn)行的腳本俱诸，因此它也位于default類別中。 以下是上下文中的變量：

author = "Diman Todorov"

license = "Same as Nmap--See https://nmap.org/book/man-legal.html"

categories = {"default", "safe"}

The Rule

rule是一個(gè)Lua方法赊舶，決定跳過還是執(zhí)行腳本動(dòng)作睁搭。 該決定通掣险铮基于規(guī)則的類型以及傳遞給它的主機(jī)和端口信息。 prerule或postrule將始終評(píng)估為true园骆。 在識(shí)別腳本的情況下舔痪，它比這稍微復(fù)雜一些。 要決定是否針對(duì)給定端口運(yùn)行識(shí)別腳本锌唾，我們需要知道目標(biāo)機(jī)器上是否存在運(yùn)行auth服務(wù)器锄码。 換句話說，只有在當(dāng)前掃描的TCP端口打開并且TCP端口113也打開的情況下鸠珠，腳本才能運(yùn)行巍耗。 現(xiàn)在我們將依賴識(shí)別服務(wù)器在TCP端口113上偵聽的事實(shí)。不幸的是渐排，NSE只給我們提供關(guān)于當(dāng)前掃描端口的信息炬太。

要知道端口113是否打開，我們使用nmap.get_port_state函數(shù)驯耻。 如果未掃描auth端口亲族，則get_port_state函數(shù)返回nil。 所以我們檢查表不是零可缚。 我們還檢查兩個(gè)端口是否處于打開狀態(tài)霎迫。 如果是這種情況，則執(zhí)行該動(dòng)作帘靡，否則我們跳過該動(dòng)作知给。

portrule = function(host, port)
    local auth_port = { number=113, protocol="tcp" }
    local identd = nmap.get_port_state(host, auth_port)

    return identd ~= nil
        and identd.state == "open"
        and port.protocol == "tcp"
        and port.state == "open"
end

The Action

最后我們實(shí)現(xiàn)了實(shí)際的功能！ 該腳本首先連接到我們期望找到標(biāo)識(shí)服務(wù)器的端口描姚，然后它將連接到我們想要獲取信息的端口涩赢。 這樣做首先通過調(diào)用nmap.new_socket創(chuàng)建兩個(gè)套接字選項(xiàng)。 接下來我們定義一個(gè)錯(cuò)誤處理catch函數(shù)轩勘，如果檢測(cè)到失敗筒扒，它會(huì)關(guān)閉這些套接字。 在這一點(diǎn)上绊寻，我們可以安全地使用諸如打開花墩，關(guān)閉，發(fā)送和接收之類的對(duì)象方法來在網(wǎng)絡(luò)套接字上操作澄步。 在這種情況下冰蘑，我們稱connect為連接。 NSE的異常處理機(jī)制用于避免過多的錯(cuò)誤處理代碼村缸。 我們只需在嘗試調(diào)用中打包網(wǎng)絡(luò)調(diào)用懂缕，如果出現(xiàn)任何問題，我們會(huì)調(diào)用catch函數(shù)王凑。

如果兩個(gè)連接成功搪柑，我們構(gòu)造一個(gè)查詢字符串并解析響應(yīng)聋丝。 如果我們收到滿意的答復(fù)，我們會(huì)返回檢索到的信息工碾。

action = function(host, port)
        local owner = ""

        local client_ident = nmap.new_socket()
        local client_service = nmap.new_socket()

        local catch = function()
                client_ident:close()
                client_service:close()
        end

        local try = nmap.new_try(catch)

        try(client_ident:connect(host.ip, 113))
        try(client_service:connect(host.ip, port.number))

        local localip, localport, remoteip, remoteport =
                try(client_service:get_info())

        local request = port.number .. ", " .. localport .. "\r\n"

        try(client_ident:send(request))

        owner = try(client_ident:receive_lines(1))

        if string.match(owner, "ERROR") then 
                owner = nil
        else
                owner = string.match(owner,
                        "%d+%s*,%s*%d+%s*:%s*USERID%s*:%s*.+%s*:%s*(.+)\r?\n")
        end

        try(client_ident:close())
        try(client_service:close())

        return owner
end

請(qǐng)注意弱睦，因?yàn)槲覀冎肋h(yuǎn)程端口存儲(chǔ)在port.number中，所以我們可以忽略client_service的最后兩個(gè)返回值：get_info（）渊额，如下所示：

local localip, localport = try(client_service:get_info())

在這個(gè)例子中况木，如果服務(wù)響應(yīng)錯(cuò)誤，我們會(huì)安靜地退出旬迹。 這是通過將nil分配給將返回的所有者變量來完成的火惊。 NSE腳本通常只在成功時(shí)才會(huì)返回消息，因此它們不會(huì)用無意義的警報(bào)泛濫用戶奔垦。