diff --git a/nmap-payloads b/nmap-payloads index 92b866891..36b5722cf 100644 --- a/nmap-payloads +++ b/nmap-payloads @@ -40,8 +40,7 @@ udp 53,5353,26198 "\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00" # DNS VER udp 53,5353,26198 "\x77\x77\x01\x00\x00" - "\x01\x00\x00\x00\x00\x00\x00\x07\x76\x65\x72\x73\x69\x6f\x6e\x04\x62" - "\x69\x6e\x64\x00\x00\x10\x00\x03" + "\x01\x00\x00\x00\x00\x00\x00\x07version\x04bind\x00\x00\x10\x00\x03" # DHCP INFORM udp 67 @@ -63,9 +62,7 @@ udp 67 "\x08\xff" # TFTP GET -udp 69 - "\x00\x01\x72\x37\x74\x66\x74\x70\x2e\x74\x78\x74\x00\x6f\x63" - "\x74\x65\x74\x00" +udp 69 "\x00\x01r7tftp.txt\x00octet\x00" # QUIC packet with unsupported version Q999 # Also found on 443, but need to check whether DTLS or QUIC is more prevalent @@ -104,16 +101,12 @@ udp 137 "\x20CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x00\x00\x21\x00\x01" # CIFS NS NAME QUERY UC udp 137 - "\x01\x91\x00\x00\x00\x01" - "\x00\x00\x00\x00\x00\x00\x20\x43\x4b\x41\x41\x41\x41\x41\x41\x41\x41" - "\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41" - "\x41\x41\x41\x41\x41\x00\x00\x21\x00\x01" + "\x01\x91\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00" + "\x20CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x00\x00\x21\x00\x01" # CIFS NS NAME QUERY BC udp 137 - "\x01\x91\x00\x10\x00\x01\x00" - "\x00\x00\x00\x00\x00\x20\x43\x4b\x41\x41\x41\x41\x41\x41\x41\x41\x41" - "\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41" - "\x41\x41\x41\x41\x00\x00\x21\x00\x01" + "\x01\x91\x00\x10\x00\x01\x00\x00\x00\x00\x00\x00" + "\x20CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x00\x00\x21\x00\x01" # SNMPv3GetRequest udp 161,260,3401 "\x30\x3A\x02\x01\x03\x30\x0F\x02\x02\x4A\x69\x02\x03\x00\xFF\xE3" @@ -122,10 +115,9 @@ udp 161,260,3401 "\x02\x02\x37\xF0\x02\x01\x00\x02\x01\x00\x30\x00" # SNMP PUBLIC WALK udp 161,260,3401 - "\x30\x1f\x02\x01\x00\x04\x06\x70" - "\x75\x62\x6c\x69\x63\xa1\x12\x02\x01\x00\x02" - "\x01\x00\x02\x01\x00\x30" - "\x07\x30\x05\x06\x01\x00\x05\x00" + "\x30\x1f\x02\x01\x00\x04\x06public\xa1\x12\x02\x01\x00\x02" + "\x01\x00\x02\x01\x00\x30\x07\x30\x05\x06\x01\x00\x05\x00" + # Sqlping - disabled because it trips a Snort rule with SID 2049 # ("MS-SQL ping attempt"). # udp 1434 "\x02" @@ -140,7 +132,7 @@ udp 177 "\x00\x01\x00\x02\x00\x01\x00" udp 389 "\x30\x84\x00\x00\x00\x2d\x02\x01\x07\x63\x84\x00\x00\x00\x24\x04\x00" "\x0a\x01\x00\x0a\x01\x00\x02\x01\x00\x02\x01\x64\x01\x01\x00\x87\x0b" - "\x6f\x62\x6a\x65\x63\x74\x43\x6c\x61\x73\x73\x30\x84\x00\x00\x00\x00" + "objectClass0\x84\x00\x00\x00\x00" # svrloc @@ -299,18 +291,14 @@ udp 1645,1812 udp 1701 "\xc8\x02" "\x00\x3c\x00\x00\x00\x00\x00\x00\x00\x00\x80\x08\x00\x00\x00\x00\x00" - "\x01\x80\x08\x00\x00\x00\x02\x01\x00\x80\x0e\x00\x00\x00\x07\x6e\x78" - "\x70\x2d\x73\x63\x61\x6e\x80\x0a\x00\x00\x00\x03\x00\x00\x00\x03\x80" + "\x01\x80\x08\x00\x00\x00\x02\x01\x00\x80\x0e\x00\x00\x00\x07" + "nxp-scan\x80\x0a\x00\x00\x00\x03\x00\x00\x00\x03\x80" "\x08\x00\x00\x00\x09\x00\x00" # UPNP MSEARCH udp 1900 - "\x4d\x2d\x53\x45\x41\x52\x43\x48\x20\x2a" - "\x20\x48\x54\x54\x50\x2f\x31\x2e\x31\x0d\x0a\x48\x6f\x73\x74\x3a\x20" - "\x32\x33\x39\x2e\x32\x35\x35\x2e\x32\x35\x35\x2e\x32\x35\x30\x3a\x31" - "\x39\x30\x30\x0d\x0a\x4d\x61\x6e\x3a\x20\x22\x73\x73\x64\x70\x3a\x64" - "\x69\x73\x63\x6f\x76\x65\x72\x22\x0d\x0a\x4d\x58\x3a\x20\x35\x0d\x0a" - "\x53\x54\x3a\x20\x73\x73\x64\x70\x3a\x61\x6c\x6c\x0d\x0a\x0d\x0a" + "M-SEARCH * HTTP/1.1\r\nHost: 239.255.255.250:1900\r\n" + "Man: \"ssdp:discover\"\r\nMX: 5\r\nST: ssdp:all\r\n\r\n" # NFS version 2, RFC 1831. XID 0x00000000, program 100003 (NFS), procedure # NFSPROC_NULL (does nothing, see section 2.2.1), null authentication (see @@ -392,13 +380,13 @@ udp 5353 "\x09_services\x07_dns-sd\x04_udp\x05local\x00\x00\x0C\x00\x01" # PCANY STATUS -udp 5632 "\x53\x54" +udp 5632 "ST" # CoAP GET .well-known/core udp 5683 "@\x01\x01\xce\xbb.well-known\x04core" # UT2K PING -udp 7777 "\x4e\x6f\x6e\x65\x00" +udp 7777 "None\x00" # Ubiquiti Discovery Service - v1 udp 10001 "\x01\x00\x00\x00" @@ -487,10 +475,10 @@ udp 11211 # Steam, typically using a port in 27015-27030. Send a "Source Engine query" udp 27015-27030 - "\xff\xff\xff\xff\x54\x53\x6f\x75\x72\x63\x65\x20\x45\x6e\x67\x69\x6e\x65\x20\x51\x75\x65\x72\x79\x00" + "\xff\xff\xff\xffTSource Engine Query\x00" # TRIN00 UNIX PING -udp 27444 "\x70\x6e\x67\x20\x6c\x34\x34\x61\x64\x73\x6c" +udp 27444 "png l44adsl" # BO PING udp 31337 @@ -498,7 +486,7 @@ udp 31337 "\xa5\xa5\x86\xb2\x75\x4b\x99\xaa\x32\x58" # TRIN00 WIN PING -udp 34555 "\x70\x6e\x67\x20\x5b\x5d\x2e\x2e\x4b\x73" +udp 34555 "png []..Ks" # Beckhoff ADS discovery request # https://github.com/ONE75/adsclient/blob/master/src/AdsClient.Finder/DeviceFinder.cs#L49-L64