滲透干貨 | 發現內網存活主機的各種姿勢

在滲透中，當我們拿下一臺服務器作為跳板機進一步進行內網滲透時，往往需要通過主機存活探測和端口掃描來收集內網資產。

本文主要是講nmap的掃描和基于msf的掃描發現內網存活主機，每一個點都盡量詳細介紹。

1.基于UDP的掃描

UDP簡介：UDP（User Datagram Protocol）是一種無連接的協議，在第四層-傳輸層，處于IP協議的 上一層。

UDP有不提供數據包分組、組裝和不能對數據包進行排序的缺點，也就是說，當報 文發送之后，是無法得知其是否安全完整到達的。

UDP顯著特性：

1.UDP 缺乏可靠性。UDP 本身不提供確認，超時重傳等機制。

UDP 數據報可能在網絡中被 復制，被重新排序，也不保證每個數據報只到達一次。2.UDP 數據報是有長度的。

每個 UDP 數據報都有長度，如果一個數據報正確地到達目的 地，那么該數據報的長度將隨數據一起傳遞給接收方。

而 TCP 是一個字節流協議，沒有任 何（協議上的）記錄邊界。

3.UDP 是無連接的。UDP 客戶和服務器之前不必存在長期的關系。大多數的UDP實現中都 選擇忽略源站抑制差錯，在網絡擁塞時，目的端無法接收到大量的UDP數據報

4.UDP 支持多播和廣播

nmap掃描

nmao -sU -T5 -sV --max-retries 1 192.168.1.100 -p 500 （不推薦，理由慢）

-sU 基于UDP的掃描

-T5 nmap的掃描速度 -T（0-5）越大越快

-sV  探測開啟的端口來獲取服務、版本信息

--max-retries <tries>    掃描探測的上限次數設定

-p 只掃描指定端口

msf掃描

use auxiliary/scanner/discovery/udp_prob

use auxiliary/scanner/discovery/udp_sweep

use 引用

show options 顯示可設置的參數

auxiliary （輔助）/ scanner（掃描）/discovery（發現）/udp_probe（探測）/udp_sweep(徹底搜索)

2.基于arp的掃描

ARP簡介：ARP,通過解析網路層地址來找尋數據鏈路層地址的一個在網絡協議包中極其重要的網絡傳輸 協議。根據IP地址獲取物理地址的一個TCP/IP協議。

主機發送信息時將包含目標IP地址的 ARP請求廣播到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址

nmap掃描 nmap -sn -RP 192.168.1.1/24

-sn 不掃描端口，只掃描主機

-PR  ARP ping掃描

-sP        Ping掃描 sn

-P0        無Ping掃描

-PS        TCP SYN Ping掃描

-PA         TCP ACK Ping掃描

-PU         UDP ping掃描

-PE/PM/PP    ICMP Ping Types掃描

msf掃描         use auxiliary/scanner/discovery/arp_sweep

3.基于netbios 的掃描

nmap掃描

netbios簡介：IBM公司開發，主要用于數十臺計算機的小型局域網。

該協議是一種在局域網上的程序可以 使用的應用程序編程接口（API），為程序提供了請求低級服務的同一的命令集，作用是為 了給局域網提供網絡以及其他特殊功能。

系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名-——特指基于 NETBIOS協議獲得計算機名稱——解析為相應IP地址，實現信息通訊，所以在局域網內部使 用NetBIOS協議可以方便地實現消息通信及資源的共享

nmap -sU --script nbstat.nse -p137 172.16.0.127 -T4

--script 指定腳本

nbstat.nse netbios掃描腳本

137端口默認開發netbios

msf use auxiliary/scanner/netbios/nbname

4.基于snmp掃描

SNMP簡介：SNMP是一種簡單網絡管理協議，它屬于TCP/IP五層協議中的應用層協議，用于網絡管理的 協議。SNMP主要用于網絡設備的管理。

SNMP協議主要由兩大部分構成：SNMP管理站和 SNMP代理。

SNMP管理站是一個中心節點，負責收集維護各個SNMP元素的信息，并對這 些信息進行處理，最后反饋給網絡管理員；而SNMP代理是運行在各個被管理的網絡節點之 上，負責統計該節點的各項信息，并且負責與SNMP管理站交互，接收并執行管理站的命 令，上傳各種本地的網絡信息。

nmap掃描

nmap -sU --script snmp-brute ip -T4

msf掃描

use auxiliary/scanner/snmp/snmp_enum

默認161端口

5.基于icp掃描

ICMP簡介：它是TCP/IP協議族的一個子協議，用于在IP主機、路由器之間傳遞控制消息。

控制消息是指 網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。

這些控制消息雖然并不傳輸 用戶數據，但是對于用戶數據的傳遞起著重要的作用。

nmap掃描

nmap -sP -PI 192.168.1.1/24  -T4

nmap ‐sn ‐PE ‐T4 192.168.1.0/24

-PI 進行ping掃描

-PE與P0功能一樣 無ping掃描

6.基于smb服務掃描

SMB(全稱是Server Message Block)是一個協議名，它能被用于Web連接和客戶端與服務器之間的信息溝通。

SMB最初是IBM的貝瑞·費根鮑姆（Barry Feigenbaum）研制的，其目的是將DOS操作系統中的本地文件接口“中斷13”改造為網絡文件系統。

nmap掃描

默認端口445

-sS ：半開放掃描（非3次握手的tcp掃描）

（使用頻率最高的掃描選項：SYN掃描,又稱為半開放掃描，它不打開一個完全的TCP連接，執行得很快，效率高（一個完整的tcp連接需要3次握手，而-sS選項不需要3次握手）Tcp SYN Scan (sS) 它被稱為半開放掃描優點：

Nmap發送SYN包到遠程主機，但是它不會產生任何會話，目標主機幾乎不會把連接記入系統日志。

（防止對方判斷為掃描攻擊），掃描速度快，效率高，在工作中使用頻率最高缺點：它需要root/administrator權限執行）

msf掃描