当我们拿到了一台网络边界的时候,我们发现内网里还有很多台设备,比如邮件服务器,数据库服务器等等,我们可以通过网络边界做跳板对内网进行深层次的漏洞扫描。内网扫描
Ehernal Blue通过Tcp端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只需要开机上网,攻击者就能在电脑和服务器中植入勒索软件。
|
|
下载地址:https://github.com/holmesian/ms17_010_scan |
在内网中,Ms17010这个漏洞很常见,因此我们可以通过Ms17010横向批量探测内网主机是否有此漏洞:
|
|
[crayon-6037d3e48f407711295736 inline="true" ]<span class="code-snippet_outer">扫单个IP</span> |
<span class="code-snippet_outer">ms17010scan-h-n-amd64-1.exe -h 192.168.2.1</span>
<span class="code-snippet_outer">扫IP段</span>
<span class="code-snippet_outer">ms17010scan-h-n-amd64-1.exe -n 192.168.2.0/24</span>[/crayon]
如上图可视,192.168.2.15存在永恒之蓝,那么就可以使用MSF进行exploit:(动静很大,目标有可能蓝屏)
还可以使用MSF自带的模块进行探测内网主机是否存在MS17010漏洞:
|
|
[crayon-6037d3e48f41a919434049 inline="true" ]<span class="code-snippet_outer"><span class="code-snippet__attribute">msf5</span> auxiliary(scanner/smb/smb_ms17_010) > show options </span> |
<span class="code-snippet_outer">Module options (auxiliary/scanner/smb/smb_ms17_010):</span>
<span class="code-snippet_outer"> Name Current Setting Required Description</span>
<span class="code-snippet_outer"> ---- --------------- -------- -----------</span>
<span class="code-snippet_outer"> CHECK_ARCH <span class="code-snippet__literal">true</span> <span class="code-snippet__literal">no</span> Check for architecture <span class="code-snippet__literal">on</span> vulnerable hosts</span>
<span class="code-snippet_outer"> CHECK_DOPU <span class="code-snippet__literal">true</span> <span class="code-snippet__literal">no</span> Check for DOUBLEPULSAR <span class="code-snippet__literal">on</span> vulnerable hosts</span>
<span class="code-snippet_outer"> CHECK_PIPE <span class="code-snippet__literal">false</span> <span class="code-snippet__literal">no</span> Check for named pipe <span class="code-snippet__literal">on</span> vulnerable hosts</span>
<span class="code-snippet_outer"> NAMED_PIPES /usr/share/metasploit-framework/data/wordlists/named_pipes.txt <span class="code-snippet__literal">yes</span> List of named pipes to check</span>
<span class="code-snippet_outer"> RHOSTS <span class="code-snippet__number">192.168.2.0</span>/<span class="code-snippet__number">24</span> <span class="code-snippet__literal">yes</span> The target host(s), range CIDR identifier, or hosts file with syntax <span class="code-snippet__string">'file:<path>'</span></span>
<span class="code-snippet_outer"> RPORT <span class="code-snippet__number">445</span> <span class="code-snippet__literal">yes</span> The SMB service port (TCP)</span>
<span class="code-snippet_outer"> SMBDomain . <span class="code-snippet__literal">no</span> The Windows domain to use for authentication</span>
<span class="code-snippet_outer"> SMBPass <span class="code-snippet__literal">no</span> The password for the specified username</span>
<span class="code-snippet_outer"> SMBUser <span class="code-snippet__literal">no</span> The username to authenticate as</span>
<span class="code-snippet_outer"> THREADS <span class="code-snippet__number">10</span> <span class="code-snippet__literal">yes</span> The number of concurrent threads (max one per host)</span>
<span class="code-snippet_outer">msf5 auxiliary(scanner/smb/smb_ms17_010) > exploit</span>
[/crayon]
关于MSF的使用教程,我博客:www.saulgoodman.cn 里有相关文章,大家可以去博客观看,在这里MSF的使用我就不多写了:
httpscan是一个扫描指定CIDR网段的Web主机的小工具。和端口扫描器不一样,httpscan是以爬虫的方式进行Web主机发现,因此相对来说不容易被防火墙拦截。
httpscan会返回IP 、http状态码 、Web容器版本 、以及网站标题。
|
|
下载地址:https://github.com/zer0h/httpscan |
|
|
python httpscan.py 192.168.2.0/24 -t 10 |
原理是使用ICMP的Ping命令去探测一个网段,目标是否存活:
|
|
for /l %i in (1,1,255) do @ping 192.168.2.%i ‐w 1 ‐n 1 | find /i "ttl" |
Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。
|
|
下载地址:https://github.com/k8gege/Ladon |
一、多协议探测内网主机存活(IP、机器名、MAC地址、制造商)
|
|
Ladon.exe 192.168.2.0/24 OnlinePC |
二、多协议识别操作系统(IP、机器名、操作系统版本、开放服务)
|
|
Ladon.exe 192.168.2.0/24 OsScan |
三、扫描内网SMB漏洞MS17010
|
|
Ladon.exe 192.168.2.0/24 MS17010 |
本篇文章比较水,这篇文章只是写了我几个常用的,其实还有很多内网扫描工具,思路就是通过扫描内网的资产来进行第二次渗透,一台一台主机的沦陷,直到域控到手。
参考文章:
http://www.saulgoodman.cn/tags/Metasploit/
文章评论