域内存活主机测试及域内端口扫描

  • 域内存活主机探测
  • 利用NetBIOS快速探测内网
  • 利用ICMP协议快速探测内网
  • 扫描域内端口
  • 利用telnet命令进行扫描
  • msfconsole端口扫描
  • 端口Banner信息


域内存活主机探测

内网存活主机探测是内网渗透测试中不可缺少的一个环节。一般可以在白天或晚上分别进行探测,以对比分析存活主机和对应ip地址。

利用NetBIOS快速探测内网

NetBIOS是局域网程序使用的一种应用程序编程端口(API),为程序提供了请求低级别服务的统一的命令集,为局域网提供了网络及其他特殊功能。几乎所有的局域网都是在NetBIOS协议的基础上工作的。
利用NetBIOS协议时可以使用nbtscan工具。nbtscan是一个命令行工具,用于扫描本地或远程TCP/IP网络上的开放NetBIOS名称服务器。
nbtscan需要自己下载安装。
使用命令

nbtscan -r 192.168.1.0/24

java域控查看密码 查看域控ip_java域控查看密码

利用ICMP协议快速探测内网

依次对内网中每个IP地址执行ping命令,可以快速找出内网中所有存活的主机。

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=”

也可以使用VBS脚本进行探测。在使用VBS脚本时,需要修改IP地址段。


扫描域内端口

通过查询目标主机的端口开放信息,不仅可以了解目标主机所开放的服务,还可以找出其开放服务的漏洞,分析目标网络的拓扑结构等,具体需要关注以下三点。
1.端口的Banner信息
2.端口上运行的服务
3.常见应用的默认端口
在进行内网渗透测试时,通常会使用Metasploit内置的端口进行扫描。也可以上传端口扫描工具,使用工具进行扫描。还可以根据服务器的环境,使用自定义的端口扫描脚本进行扫描。在获得授权的情况下,可以直接使用Nmap,masscan等端口扫描工具获取开放的端口信息。

利用telnet命令进行扫描

telnet协议是Interne远程登录·服务的标准协议和主要方式。可以用来快速探测某台主机的某个常规高危端口是否开放。Windows10版本的telnet服务默认不开启,需要自己去安装。(控制面板 -> 程序 -> 启用或关闭Windows功能 -> 勾选Telnet客户端 -> 确定)

telnet 目标ip地址 端口号

msfconsole端口扫描

kali中就有msfconsole可以使用。
msfconsole其他扫描工具可以使用“search portscan”命令来查找

java域控查看密码 查看域控ip_java域控查看密码_02


这里使用“auxiliary/scanner/portscan/tcp”扫描模块。该模块可以用来扫描目标主机的TCP端口使用情况。

进入模块

use auxiliary/scanner/portscan/tcp

java域控查看密码 查看域控ip_端口号_03


查看需要设置的参数信息

show options

java域控查看密码 查看域控ip_数据库_04


设置目标ip

set RHOSTS ip地址

设置需要扫描的端口范围

set PORTS 1-8080(扫描端口范围1-8080)

设置线程数

set THREADS 5(线程数为5)

当需要的参数设置完毕之后需要输入“run”来使程序运行。

端口Banner信息

如果通过扫描发现端口,可以使用客户端连接工具或者nc,获取服务端的Banner信息。获取Banner信息欧,可以在漏洞库中查找相关漏洞,然后到目标系统中验证漏洞是否存在,从而有针对性地进行安全加固。
常见端口及其说明
1.文件共享服务端口

端口号

端口说明

使用说明

21,22,69

FTP/TFTP文件传输协议

允许匿名上传,下载,爆破和嗅探操作

2049

NFS服务

配置不当

139

SAMBA服务

爆破,未授权访问,远程代码执行

389

LDAP目录访问协议

注入,允许匿名访问,弱口令

2.远程连接服务端口

端口号

端口说明

使用说明

22

SSH远程连接

爆破,SSH隧道及内网代理转发,文件传输

23

Telnet远程连接

爆破,嗅探,弱口令

3389

RDP远程桌面连接

Shift后门(Windows Sever 2003 以下版本),爆破

5900

VNC

弱口令爆破

5632

PcAnywhere

抓取密码,代码执行

3.web应用服务端口

端口号

端口说明

使用说明

80,443,8080

常见的web服务端口

web攻击,爆破,对应服务器版本漏洞

7001,7002

weblogic控制台

java反序列化,弱口令

8080,8089

JBoss/Resin/Jetty/Jenkins

反序列化,控制台弱口令

9090

WebSphere控制台

Java反序列化,弱口令

4848

GIassFish控制台

弱口令

1352

Lotus Domino邮件服务

弱口令,信息泄露,爆破

10000

webmin控制面板

弱口令

4.数据库服务端口

端口号

端口说明

使用说明

3306

MySQL数据库

注入,提权,爆破

1433

MySQL数据库

注入,提权,SA弱口令,爆破

1521

Oracle数据库

TNS爆破,注入,反弹shell

5432

PostgreSQL数据库

爆破,注入,弱口令

27017,27018

MongoDB数据库

爆破,未授权访问

6379

Redis数据库

可尝试未授权访问,弱口令爆破

5000

Sysbase/DB2数据库

爆破,注入

5.邮件服务端口

端口号

端口说明

使用说明

25

SMTP邮件服务

邮件伪造

110

POP3协议

爆破,嗅探

143

IMAP协议

爆破

6.网络常见协议端口

端口号

端口说明

使用说明

53

DNS域名服务

允许区域传送,DNS劫持,缓存投毒,欺骗

67.68

DHCP服务

劫持,欺骗

161

SNMP协议

爆破,搜集目标内网信息

7.特殊服务端口

端口号

端口说明

使用说明

2181

ZookKeeper服务

未授权访问

8069

Zabbix服务

远程执行,SQL注入

9200,9300

Elasticsearch服务

远程执行

11211

Memcached服务

未授权访问

512.513.514

Linux rexec服务

爆破,远程登录

873

rsync服务

匿名访问,文件上传

3690

SVN服务

SVN泄露,未授权访问

50000

SAP Management Console

远程执行