内网渗透主机发现的技巧

渗透测试 2017-11-22

在内网渗透中,为了扩大战果,往往需要寻找更多主机并且对这些主机进行安全检测或帐号密码测试,所以主机发现这个步骤必不可少。我们如何在不实用扫描器的情况下发现更多主机呢?

确定IP段

通常内网地址分三段:10.0.0.0/8、172.16.0.0/12以及192.168.0.0/16。在没有做任何操作之前,我们可以大概知道内网的IP地址段,不过也有些公司,在内网又会有公网IP的情况,也就是说在内网中可以访问到的IP段有很多。


下面就主要介绍一下收集IP段的方式。

查看本机的IP地址

Windows下使用:

ipconfig /all

Linux下使用:

ifconfig -a

以Windows为例,执行结果如图:

1.jpg

从图中看到,我本机的IP以及下面的子网掩码,可以说明我所在的IP段是一个C段,我们就可以首先探测一下我所处的IP段,即:192.168.188.0/24。

图中还有一个IP值得注意,就是dns服务器的IP,通常在内网中,DNS服务器的IP地址未必与我们在同一个C段或者B段,所以从这里也可以看到一个存在的IP段,也是我们要做主机发现扫描的目标IP段。


查看路由表

Windows下使用:

route print

linux下使用:

route -n

以Windows为例,结果如图:

2.jpg

在上图可以看出,在路由表中也存在我们上面确定的IP段,这是我自己家的网络,所以没有那么复杂,大家在实际环境或者公司网络中可以看到有多个IP段,这些IP段都是我们可以访问到的,也是要做主机发现扫描的目标IP段。


查看本地连接信息

Windows下执行:

netstat -ano

linux下执行:

netstat -anp

以Windows为例执行结果如图:

3.jpg

从图中看到有很多的IP连接信息,我们并没有看到内网的IP地址,那是因为内网没有主机与我这台主机相连,你想象一下,如果我这台主机是台服务器,那么内网用户访问服务器时必定会有连接出现,这也是我们收集内网IP段信息的一种方式。


利用net命令

我们知道,在Windows内网环境下,我们可以使用

net view

命令用于显示一个计算机上共享资源的列表。我们从这个资源列表可以获取到一些主机名,然后解析出IP地址,这样不光收集到了一些存活主机,而且还收集了一些IP段。由于没有环境,就盗用网络上的图来填补一下:

4.png


我们还可以使用

net session

命令来查看管理员的登录IP,linux下可以使用

who

来查看,从这里也可以收集几个IP地址,如果管理员登录在线的情况下,盗图如下:

5.jpg


与上面同样的原理,我们可以远程列出像文件服务器上连接的用户信息,我们可以使用老外提供的一个工具netsess.exe来远程列举,命令如下:

netsess.exe -h dc01 或 netsess.exe \dc01

结果如图:

6.png

利用dns信息

当我们进入内网的时候,第一时间,我们应该先探测一下内网的dns服务是否存在dns域传送漏洞,如果存在,我们就可以剩下很多时间并且可以获取非常全的域名列表,这个列表基本很全的包含了内网所有的存活主机。如何探测dns域传送请点我

如果不存在dns域传送漏洞,在我们收集了一定的主机名之后,我们可以根据主机名的命名规则生成一份主机名字典,然后使用dns解析这些名字,获得IP之后,再根据IP确定IP段。

利用域信息

如果我们已经获取到一台域内的主机权限,那么我们就可以访问域内的所有信息,这是就可以通过域控制器查询加入域中的所有主机信息,可以使用如下命令获取:

dsquery computer 以及 dsquery server

获得主机以及服务器列表后,解析其IP获取IP段信息。


用以上几种方式,在新获取到一台主机权限之后做一下这个处理,就可能会收集到更多的IP段。但是有人说了,这样做多累啊,直接使用Namp或者其他大型扫描器多线程扫描内网的所有IP段不就行了,这样做当然可以,但是这个动静多大,会造成各种安全设备报警,还没赶上进一步渗透,你就直接game over了。老板给的任务完不成了,奖金没了~~~~

在内网的活动要非常谨慎,动静越小越好,否则,这篇文章的意义何在?

下面就介绍一下如何用尽量小的动静发现更多的主机。

如何扫描IP段发现存活主机

在Windows或者linux下都有一个命令:ping,这个命令的功能就是为了网管员在配置完网络后用来探测网络连通性的,我们可以利用这个工具,写一些简单脚本来批量探测主机是否存活,虽然速度慢点,但是安全可靠,不易被识别。

ping扫描

Windows下可以使用:

ping -n 1 127.0.0.1

linux下使用:

ping -c 1 127.0.0.1

知道核心命令之后,我们可以编写一个批量扫描的脚本来完成这个操作。

这些操作就由聪明的大家来完成吧。


总结

本文大概介绍了在内网信息收集阶段,针对主机发现所做个各种姿势,可能有不全的地方,或者有问题的地方请大家大胆留言,不吝赐教!


本文由 myh0st 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

楼主残忍的关闭了评论