Einführung
在渗透测试中可以根据目标主机的情况,上传工具进行主机存活探测,也可以借助内网代理或路由转发对目标主机所处的局域网发起探测。
测试人员可以根据当前渗透环境,选用ICMP、NetBIOS、UDP、ARP、SNMP、SMB等多种网络协议。按照协议类型,下面介绍使用常见工具来发现内网存活主机的方法。
Entdecken Sie Live-Hosts basierend auf ICMP
ICMP (Internet Control Message Protocol,因特网控制消息协议)是TCP/IP 协议簇的一个子协议,用于网络层的通信,即IP主机、路由器之间传递控制消息,提供可能友生在通信环境中的各种问题反馈。通过这些信息,管理员可以对发生的问题做出诊断,然后采取适当的措施解决。
在实际利用中,可以通过ICMP循环对整个网段中的每个IP地址执行ping 命令,所有能够ping 通的IP地址即为内网中存活的主机。
在目标主机中执行以下命令:
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.199.%I| findstr "TTL="
命令参数解析:
for /L %I in (sequence) do command,for遍历
192.168.199.%I,代表你要ping的网段:192.168.199.0网段
(1,1,254),第一个1和最后一个254,代表从1-254,中间那个1,代表,每次ping,递增1
-n 1,代表发送的回显请求数
-w 60,代表等待回复每次ping超时时间(毫秒)
循环探测整个局域网C段中存活的主机
Oder Sie können nmap verwenden:
nmap -sP 192.168.204.1/24
Entdecken Sie Live-Hosts basierend auf dem NetBlOS-Protokoll (Network Basic Input/Output System).
**网络中的计算机之间必须知道IP地址后才能相互通信。但对人来说IP难以记忆,NetBIOS计算机名称比较容易记忆。当计算机使用 NetBIOS 名称与其他计算机通信时,必须先通过 NetBIOS名称找到IP地址,然后再通过IP地址通信。由NetBIOS名称找出IP地址的操作被称为NetBIOS名称解析(NetBIOS name resolution)。**
NetBIOS(端口:137~139)提供OSI/RM的会话层(在TCP/IP模型中包含在应用层中)服务,让不同计算机上运行的不同程序可以在局域网中互相连接和共享数据。严格来说,NetBIOS不是一种协议,而是一种应用程序接口 (Application Program Interface,API)。几乎所有局域网都是在NetBIOS协议的基础上工作的,操作系统可以利用WINS服务、广播、Lmhost文件等模式将NetBIOS名解析为相应的IP地址。**NetBIOS的工作流程就是正常的机器名解析、查询、应答的过程。在 Windows中,默认安装TCP/IP后会自动安装NetBIOS。**可以使用`nbtstat -n` 查看netbios信息。
在实际利用时,向局域网的每个IP地址发送NetBIOS状态查询,可以获得主机名、MAC地址等信息。
NBTScan是一款**用于扫描****Windows网络****上 NetBIOS名称的程序,用于发现内网中存活的 Windows 主机。**NBTScan可以对给定IP范围内的每个IP地址发送NetBIOS状态查询,并且以易读的表格列出接收到的信息,对于每个响应的主机,会列出它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。**总之,NBTSCAN可以获取到PC的真实IP地址和MAC地址。**
将nbtscan.exe 上传到目标主机(网页搜索下载即可),执行以下命令:
nbtscan-1.0.35.exe 192.168.199.1/24
Entdecken Sie Live-Hosts basierend auf UDP
UDP (User Datagram Protocol,用户数据报协议)是一种用于传输层的无连接传输的协议,为应用程序提供一种不需建立连接就可以发送封装的IP数据包的方法。
在实际利用中,可以将一个空的UDP报文发送到目标主机的特定端口,如果目标主机的端口是关闭的,UDP 探测就马上得到一个ICMP端口无法到达的回应报文,这意味着该主机正在运行。如果到达一个开放的端口,大部分服务仅仅忽略这个空报文而不做任何回应。
Unicornscan是 Kali Linux平台的一款信息收集工具,提供了网络扫描功能。
执行以下命令,通过UDP协议扫描内网的存活主机。
us -mU 192.168.204.1/24
- TCP ist ein Verbindungsprotokoll, während UDP verbindungslos ist;
- Der TCP-Scan erkennt (ACK SYN)- oder (RST)-Nachrichten, während UDP nicht erreichbare ICMP-Port-Nachrichten erkennt.
- Das TCP-Protokoll ist zuverlässig, aber ineffizient. Es kann Port-Scans effektiv durchführen. Es hat eine große Reichweite und geringe Effizienz und kann auf jedes Netzwerk angewendet werden. Das UDP-Protokoll ist unzuverlässig, aber effizient. Es hat eine kleine Reichweite und eine hohe Effizienz. Es wird im Allgemeinen innerhalb eines lokalen Netzwerks verwendet. Mit zunehmender Netzwerkgröße wird die Genauigkeit der UDP-Port-Scan-Ergebnisse immer schlechter. Im Extremfall, wenn UDP-Port-Scanning im Internet verwendet wird, sind die erhaltenen Ergebnisse definitiv ungenau .
Entdecken Sie überlebende Hosts basierend auf ARP
ARP (Address Resolution Protocol,地址解析协议)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,用于网络层通信。主机发送信息时,将包含目标IP地址的ARP请求广播到局域网上的所有主机,并接收返回消息,以此确定目标的物理地址﹔收到返回消息后,将该IP地址和物理地址存入本机 ARP缓存,并保留一定时间,下次请求时直接查询ARP缓存,以节约资源。
在实际利用中,可以向网络发送一个ARP请求,若目标主机处于活跃状态,则其一定会回应一个ARP响应,否则不会做出任何回应。
(1) Nutzung von ARP-Scan
ARP-Scan ist ein schnelles und praktisches Intranet-Scan-Tool, das ARP verwendet, um überlebende Hosts im Intranet zu entdecken. Laden Sie das Tool auf den Zielhost hoch und führen Sie den folgenden Befehl aus, um die verbleibenden Hosts im Intranet zu scannen.
arp-scan.exe -t 192.168.204.1/24
(2) Nutzung von PowerShell
Das Invoke-ARPScan.ps1-Skript des Empire Penetration Framework kann ARP verwenden, um überlebende Hosts im Intranet zu entdecken (siehe die entsprechende Webseite auf Github für). das Projekt). Wenn Sie es verwenden, müssen Sie das Skript zur Ausführung importieren:
Import-Module . \Invoke-ARPScan. ps1
Invoke-ARPScan -CIDR 192.168.204.1/24
Entdecken Sie überlebende Hosts basierend auf dem SMB-Protokoll (Server Message Block).
SMB(端口445)又称为网络文件共享系统(Common Internet File System,CIFS)协议,是一种应用层传输协议,主要功能是使网络上的机器能够共享计算机文件、打印机、串行端口和通信等资源。CIFS消息一般使用NetBIOS或TCP发送,分别使用139或445端口,目前倾向于使用445端口。
在实际利用中,可以探测局域网中存在的SMB服务,从而发现内网的存活主机,多适用于Windows主机的发现。
CrackMapExec(简称CME)是一款十分强大的后渗透利用工具,在Kali Linux上可以直接使用apt-get命令进行安装。CrackMapExec能够枚举登录用户、枚举SMB服务列表、执行WINRM攻击等功能,可以帮助测试人员自动化评估大型域网络的安全性(具体见 Github 上的相关网页)。执行以下命令:
crackmapexec smb 192.168.204.1/24
Erkennen Sie den im LAN vorhandenen SMB-Dienst, um überlebende Hosts im Intranet zu ermitteln
