一个标准的Nmap脚本由以下几部分组成，以ftp-brute.nse脚本为例：

1、脚本使用的库文件部分

Nmap内置的lua语言库文件，位于/usr/share/nmap/nselib目录下。

# 声明脚本用到的库文件

local brute = require "brute"
local creds = require "creds"
local shortport = require "shortport"
local stdnse = require "stdnse"
local ftp = require "ftp"

2、脚本描述信息部分

Nmap脚本描述信息包括脚本的基本描述，脚本使用示例和输出示例，脚本参数描述，脚本作者及授权，脚本类型声明。

# 脚本描述部分
description = [[
Performs brute force password auditing against FTP servers.

Based on old ftp-brute.nse script by Diman Todorov, Vlatko Kosturjak and Ron Bowes.
]]

# 脚本使用示例及自定义参数介绍
---
-- @see ftp-anon.nse
-- # 脚本使用
-- @usage   
-- nmap --script ftp-brute -p 21 <host>
--
-- This script uses brute library to perform password
-- guessing.
-- # 脚本输出
-- @output
-- PORT   STATE SERVICE
-- 21/tcp open  ftp
-- | ftp-brute:
-- |   Accounts
-- |     root:root - Valid credentials
-- |   Statistics
-- |_    Performed 510 guesses in 610 seconds, average tps: 0
--# 脚本自定义参数
-- @args ftp-brute.timeout the amount of time to wait for a response on the socket.
--       Lowering this value may result in a higher throughput for servers
--       having a delayed response on incorrect login attempts. (default: 5s)

-- 06.08.16 - Modified by Sergey Khegay to support new brute.lua adaptability mechanism.

# 作者、授权及分类声明
author = "Aleksandar Nikolic"
license = "Same as Nmap--See https://nmap.org/book/man-legal.html"
categories = {"intrusive", "brute"}

3、端口规则部分

端口规则是脚本执行的约束项，如果在脚本中引用了portrule规则，传输的端口参数或端口解析的服务和规则不一致，脚本不执行。

# 定义端口规则，指定接收21端口或ftp服务，根据实际应用可以选择不同的方法
portrule = shortport.port_or_service(21, "ftp")

4、自定义参数/函数部分

自定义参数通过--script-args进行传递，脚本能接收的自定义参数包括如下3种:

1. 脚本自身的自定义参数
2. 脚本引用依赖库的自定义参数
3. 依赖库引用第三方库的自定义参数

自定义参数用于接收用户指定参数，一般用于调整默认设置；自定义函数是脚本辅助功能，一般用于完成特定的工作。

# 定义超时时间
local arg_timeout = stdnse.parse_timespec(stdnse.get_script_args(SCRIPT_NAME .. ".timeout"))
arg_timeout = (arg_timeout or 5) * 1000

5、网络连接驱动部分

Driver部分主要定义网络连接处理过程，一般包括定义连接，建立连接，数据交互及分析处理，关闭连接，数据交互部分不同的协议有所不同。

Driver = {
    # 定义连接
    new = function(self, host, port)
        local o = {}
        setmetatable(o, self)
        self.__index = self
        o.host = host
        o.port = port
        return o
    end,
    # 建立连接
    connect = function( self )
        self.socket = brute.new_socket()
        -- discard buffer, we'll create a new one over the BruteSocket later
        local realsocket, code, message, buffer = ftp.connect(self.host, self.port, {request_timeout=arg_timeout})
        if not realsocket then
            return false, brute.Error:new( "Couldn't connect to host: " .. (code or message) )
        end
        self.socket.socket = realsocket
            return true
    end,
    # ftp登录及结果判断
    login = function (self, user, pass)
        local buffer = stdnse.make_buffer(self.socket, "\r?\n")
        local status, code, message = ftp.auth(self.socket, buffer, user, pass)

        if not status then
            if not code then
                return false, brute.Error:new("socket error during login: " .. message)
            elseif code == 530 then
                return false, brute.Error:new( "Incorrect password" )
            elseif code == 421 then
                local err = brute.Error:new("Too many connections")
                err:setReduce(true)
                return false, err
            else
                stdnse.debug1("WARNING: Unhandled response: %d %s", code, message)
                local err = brute.Error:new("Unhandled response")
                err:setRetry(true)
                return false, err
            end
        end

    stdnse.debug1("Successful login: %s/%s", user, pass)
    return true, creds.Account:new( user, pass, creds.State.VALID)
end,
# 关闭连接
disconnect = function( self )
    ftp.close(self.socket)
    return true
end
}

6、主程序入口部分

接收Nmap传参，执行脚本扫描并返回结果

action = function( host, port )
# 定义返回执信息   
local status, result
    # 定义引擎
    local engine = brute.Engine:new(Driver, host, port)
    engine.options.script_name = SCRIPT_NAME
    # 启动入口
    status, result = engine:start()
    return result
end

脚本执行过程

如示例中脚本，引用了brute库，brute库又引用了unpwdb库，在执行该脚本过程中，我们可以引入brute库自定义参数如brute.mode，unpwdb库自定义参数userdb，passdb等，这些参数在各自的库上发挥作用。

# 使用ftp-brute.nse脚本传递依赖库自定义参数
nmap -p 21 --script ftp-brute --script-args "brute.mode=user, brute.firstonly=true, userdb=/home/kali/user.list, passdb=/home/kali/pass.lst" 10.68.33.160 -d3

脚本执行过程如下:

• 1、加载nmap执行需要文件信息，加载nes脚本需要的lua库程序：

• 2、解析脚本传输的参数，加载脚本依赖库文件及依赖库依赖的第三方库文件：

• 3、执行端口服务发现策略：

• 4、发现portrule规则命中的端口服务，执行脚本中扫描策略：

• 5、扫描命中或结束，返回结果：

验证扫描结果

扫描结束后，需要验证扫描结果的准确性，可以使用ftp客户端工具，curl工具等进行测试：

# 使用curl测试ftp
curl -u test:test ftp://10.68.123.160 -v