内网渗透主机发现的技巧

在内网渗透中,为了扩大战果,往往需要寻找更多主机并且对这些主机进行安全检测或帐号密码测试,所以主机发现这个步骤必不可少。我们如何在不实用扫描器的情况下发现更多主机呢?

确定IP段

通常内网地址分三段:10.0.0.0/8、172.16.0.0/12以及192.168.0.0/16。在没有做任何操作之前,我们可以大概知道内网的IP地址段,不过也有些公司,在内网又会有公网IP的情况,也就是说在内网中可以访问到的IP段有很多。


下面就主要介绍一下收集IP段的方式。

查看本机的IP地址

Windows下使用:

ipconfig /all

Linux下使用:

ifconfig -a

以Windows为例,执行结果如图:

从图中看到,我本机的IP以及下面的子网掩码,可以说明我所在的IP段是一个C段,我们就可以首先探测一下我所处的IP段,即:192.168.188.0/24。

图中还有一个IP值得注意,就是dns服务器的IP,通常在内网中,DNS服务器的IP地址未必与我们在同一个C段或者B段,所以从这里也可以看到一个存在的IP段,也是我们要做主机发现扫描的目标IP段。


查看路由表

Windows下使用:

route print

linux下使用:

route -n

以Windows为例,结果如图:

在上图可以看出,在路由表中也存在我们上面确定的IP段,这是我自己家的网络,所以没有那么复杂,大家在实际环境或者公司网络中可以看到有多个IP段,这些IP段都是我们可以访问到的,也是要做主机发现扫描的目标IP段。


查看本地连接信息

Windows下执行:

netstat -ano

linux下执行:

netstat -anp

以Windows为例执行结果如图:

从图中看到有很多的IP连接信息,我们并没有看到内网的IP地址,那是因为内网没有主机与我这台主机相连,你想象一下,如果我这台主机是台服务器,那么内网用户访问服务器时必定会有连接出现,这也是我们收集内网IP段信息的一种方式。


利用net命令

我们知道,在Windows内网环境下,我们可以使用

net view

命令用于显示一个计算机上共享资源的列表。我们从这个资源列表可以获取到一些主机名,然后解析出IP地址,这样不光收集到了一些存活主机,而且还收集了一些IP段。由于没有环境,就盗用网络上的图来填补一下:


我们还可以使用

net session

命令来查看管理员的登录IP,linux下可以使用

who

来查看,从这里也可以收集几个IP地址,如果管理员登录在线的情况下,盗图如下:


与上面同样的原理,我们可以远程列出像文件服务器上连接的用户信息,我们可以使用老外提供的一个工具netsess.exe来远程列举,命令如下:

netsess.exe -h dc01 或 netsess.exe \\dc01

结果如图:

利用dns信息

当我们进入内网的时候,第一时间,我们应该先探测一下内网的dns服务是否存在dns域传送漏洞,如果存在,我们就可以剩下很多时间并且可以获取非常全的域名列表,这个列表基本很全的包含了内网所有的存活主机。如何探测dns域传送请点我

如果不存在dns域传送漏洞,在我们收集了一定的主机名之后,我们可以根据主机名的命名规则生成一份主机名字典,然后使用dns解析这些名字,获得IP之后,再根据IP确定IP段。

利用域信息

如果我们已经获取到一台域内的主机权限,那么我们就可以访问域内的所有信息,这是就可以通过域控制器查询加入域中的所有主机信息,可以使用如下命令获取:

dsquery computer 以及 dsquery server

获得主机以及服务器列表后,解析其IP获取IP段信息。


用以上几种方式,在新获取到一台主机权限之后做一下这个处理,就可能会收集到更多的IP段。但是有人说了,这样做多累啊,直接使用Namp或者其他大型扫描器多线程扫描内网的所有IP段不就行了,这样做当然可以,但是这个动静多大,会造成各种安全设备报警,还没赶上进一步渗透,你就直接game over了。老板给的任务完不成了,奖金没了~~~~

在内网的活动要非常谨慎,动静越小越好,否则,这篇文章的意义何在?

下面就介绍一下如何用尽量小的动静发现更多的主机。

如何扫描IP段发现存活主机

在Windows或者linux下都有一个命令:ping,这个命令的功能就是为了网管员在配置完网络后用来探测网络连通性的,我们可以利用这个工具,写一些简单脚本来批量探测主机是否存活,虽然速度慢点,但是安全可靠,不易被识别。

ping扫描

Windows下可以使用:

ping -n 1 127.0.0.1

linux下使用:

ping -c 1 127.0.0.1

知道核心命令之后,我们可以编写一个批量扫描的脚本来完成这个操作。

这些操作就由聪明的大家来完成吧。


总结

本文大概介绍了在内网信息收集阶段,针对主机发现所做个各种姿势,可能有不全的地方,或者有问题的地方请大家大胆留言,不吝赐教!

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2017-08-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序猿DD

都在说微服务,那么微服务的反模式和陷阱是什么(三)

前文导读: 《都在说微服务,那么微服务的反模式和陷阱是什么(一)》 《都在说微服务,那么微服务的反模式和陷阱是什么(二)》 九、通信协议使用的陷阱 在微服务架构...

19850
来自专栏FreeBuf

全能无线渗透测试工具,一个LAZY就搞定了

近来一直在研究无线安全方面的东西,特别是在无线渗透测试这块,每次渗透测试时总要来回不停的切换操作和挑选利器,很是麻烦。就想看看是否可以有一款功能全面的集合型工具...

33650
来自专栏伪君子的梦呓

如何备份一些容易看不到的文章

382100
来自专栏域名资讯

域名被墙了的解决办法有哪些?

  如果域名ping的通却打不开网站(排除服务器宕机),用代理可以打开一般说明域名被封了。假如域名下的网站非法信息多,敏感,又不整改,会直接被GFW墙掉,结果就...

3.8K50
来自专栏恰童鞋骚年

操作系统核心原理-3.进程原理(上):进程概要

进程管理、内存管理和文件管理是操作系统的三大核心功能,那么什么是进程呢?顾名思义,进程就是进展中的程序,或者说进程是执行中的程序。当一个程序被加载到内存之后就变...

22920
来自专栏玄魂工作室

Hacker基础之工具篇 Automater

用白话来说,就是相当于哈勃那种的东东,你给个网址,它会去这些网站上找这个网址是否是安全的,是否有什么不良历史记录这个意思

14920
来自专栏林德熙的博客

win10 uwp 后台获取资源

需要知道的是,获取的资源类型是 Object ,这时,建议使用 cast 转换,而不是使用 as。

14610
来自专栏Laoqi's Linux运维专列

mariadb galera集群配置

40340
来自专栏更流畅、简洁的软件开发方式

js的动态加载、缓存、更新以及复用(二)恼人的命名冲突

  上一篇发出来后得到了很多回复,在此首先感谢大家的热情捧场!有的推荐第三方框架,比如 In.js、requrieJS、sea.js、lab.js等。这个开阔了...

27280
来自专栏北京马哥教育

IBM技术专家教你“懒惰”Linux管理员的10个关键技巧

作者:Vallard Benincosa, 来源: https://www.ibm.com/developerworks/cn/linux/l-10sysadt...

31350

扫码关注云+社区

领取腾讯云代金券