事情起因#
本文資料來源:micropoor:https://micropoor.blogspot.com
本篇文章將亮神的資料盡可能全部復現一遍
快速掃描內網存活主機,這是剛需,一般有以下幾種方式:
1. 基於 UDP 2. 基於 ARP 3. 基於 netbios 4. 基於 snmp 5. 基於 ICMP 6. 基於 SMB 7. 基於 MSF 8. 基於 SqlDataSourceEnumerator
那麼我們的工具主要是使用 nmap 和 metasploit 以及其他的一些優秀工具
重要提示:由於本文篇幅超長,沒有太強的可閱讀性,請當作手冊來使用,善用目錄!
環境準備#
(19-02-23 更新) 後來覺得自己環境選的有問題,可能用橋接方式效果會好得多
我們這裡用 virtualbox 開了兩個機子
Kali(NAT+Hostonly):192.168.2.6
Winxp_SP3(Hostonly):192.168.2.4
那麼所有工具在我沒有打開虛擬機之前都只能掃描到 192.168.2.1 這一個網關地址,打開虛擬機之後除了虛擬機的地址,還有一個 dhcp 伺服器地址:192.168.2.2
實測#
基於 UDP#
UDP 簡介:
UDP(User Datagram Protocol)是一種無連接的協議,在第四層 - 傳輸層,處於 IP 協議的上一層。UDP 有不提供數據包分組、組裝和不能對數據包進行排序的缺點,也就是說,當報文發送之後,是無法得知其是否安全完整到達的。
UDP 顯著特性:
1.UDP 缺乏可靠性。UDP 本身不提供確認,超時重傳等機制。UDP 數據報可能在網絡中被複製,被重新排序,也不保證每個數據報只到達一次。
2.UDP 數據報是有長度的。每個 UDP 數據報都有長度,如果一個數據報正確地到達目的地,那麼該數據報的長度將隨數據一起傳遞給接收方。而 TCP 是一個字節流協議,沒有任何(協議上的)記錄邊界。
3.UDP 是無連接的。UDP 客戶和伺服器之前不必存在長期的關係。大多數的 UDP 實現中都選擇忽略源站抑制差錯,在網絡擁塞時,目的端無法接收到大量的 UDP 數據報
4.UDP 支持多播和廣播。
nmap#
nmap -sU -T5 -sV --max-retries 1 192.168.2.4 -p 500
可以看到速度非常慢
msf#
use auxiliary/scanner/discovery/udp_probe
use auxiliary/scanner/discovery/udp_sweep
unicornscan 掃描#
linux 下使用推薦:unicornscan -mU 192.168.2.4
ScanLine 掃描#
McAfee 出品,win 下使用推薦。管理員執行,(估計是已經不再提供下載了,點擊下載按鈕無限循環)
從這裡下載的:http://www.ddooo.com/softdown/11258.htm,我自己查毒 virustotal,百分之八十報毒,騰訊哈勃未發現風險,自行斟酌
ScanLine.exe 192.168.2.4
附:在線基於 Nmap 的 UDP 掃描:https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap
基於 ARP#
ARP 簡介:ARP, 通過解析網路層地址來找尋數據鏈路層地址的一個在網絡協議包中極其重要的網絡傳輸協議。根據 IP 地址獲取物理地址的一個 TCP/IP 協議。主機發送信息時將包含目標 IP 地址的 ARP 請求廣播到網絡上的所有主機,並接收返回消息,以此確定目標的物理地址
nmap 掃描#
nmap -sn -PR 192.168.2.1/24
msf 掃描#
use auxiliary/scanner/discovery/arp_sweep
注意:默認沒有設置網卡,需要手動設置一下
netdiscover#
netdiscover -r 192.168.2.1/24 -i eth1
arp-scan(linux)#
**(推薦)** 速度與快捷
arp-scan --interface=eth1 --localnet
Powershell#
使用 PowerShell Empire 工具包中的 Invoke-ARPScan.ps1,Github 地址
複製粘貼下來保存為 Invoke-ARPScan.ps1,powershell 進入該文件所在文件夾執行以下指令:
powershell.exe -exec bypass -Command "Import-Module ./Invoke-ARPScan.ps1;Invoke-ARPScan -CIDR 192.168.2.1/24"
arp scannet#
下載地址:https://sourceforge.net/projects/arpscannet/files/latest/download
勾選上排序輸出,可以看到活躍的主機後面的值不為空
arp-scan(windows)#
(推薦) 速度與快捷
Github 地址 (非官方):https://github.com/QbsuranAlang/arp-scan-windows-/tree/master/arp-scan
arp-scan.exe -t 192.168.2.1/24:
arp-ping.exe#
下載地址 (網上隨便找的):https://elifulkerson.com/projects/arp-ping.php
檢測報毒 virustotal 只有一個報毒,騰訊哈勃未發現風險
arp-ping.exe 192.168.2.4
其他#
如 cain 的 arp 發現,一些開源 py,pl 腳本等,不一一介紹。
基於 netbios#
netbios 簡介:
IBM 公司開發,主要用於數十台計算機的小型局域網。該協議是一種在局域網上的程序可以使用的應用程序編程接口(API),為程序提供了請求低級服務的同一的命令集,作用是為了給局域網提供網絡以及其他特殊功能。系統可以利用 WINS 服務、廣播及 Lmhost 文件等多種模式將 NetBIOS 名 -—— 特指基於 NETBIOS 協議獲得計算機名稱 —— 解析為相應 IP 地址,實現信息通訊,所以在局域網內部使用 NetBIOS 協議可以方便地實現消息通信及資源的共享。
nmap 掃描#
nmap -sU --script nbstat.nse -p137 192.168.2.1/24 -T4
msf 掃描#
use auxiliary/scanner/netbios/nbname
nbtscan 掃描#
項目地址:http://www.unixwiz.net/tools/nbtscan.html
-
NBTscan version 1.5.1
-
(Github 地址):https://github.com/scallywag/nbtscan
-
說明文檔 (可在這查看使用方法及 GUI 界面):http://www.inetcat.org/software/nbtscan.html
-
Windows
nbtstat -n (推薦)
nbtscan-1.0.35.exe -m 192.168.2.1/24
- Liunx
(推薦)下載 Source (gzip'd tarball)
tar -zxf nbtscan-source-1.0.35.tgz
make
nbtscan -r 192.168.2.1/24
nbtscan -v -s: 192.168.2.1/24
NetBScanner#
項目地址:https://www.nirsoft.net/utils/netbios_scanner.html
下載按鈕在這 (找了半天),可以把語言包放到安裝目錄裡,設置掃描網段:
基於 snmp#
SNMP 簡介:
SNMP 是一種簡單網絡管理協議,它屬於 TCP/IP 五層協議中的應用層協議,用於網絡管理的協議。SNMP 主要用於網絡設備的管理。SNMP 協議主要由兩大部分構成:SNMP 管理站和 SNMP 代理。SNMP 管理站是一個中心節點,負責收集維護各個 SNMP 元素的信息,並對這些信息進行處理,最後反饋給網絡管理員;而 SNMP 代理是運行在各個被管理的網絡節點之上,負責統計該節點的各項信息,並且負責與 SNMP 管理站交互,接收並執行管理站的命令,上傳各種本地的網絡信息。
nmap -sU --script snmp-brute 192.168.2.1/24 -T4
msf 掃描#
use auxiliary/scanner/snmp/snmp_enum
SNScan#
macafee 出品的掃描工具,項目地址 (依然無限循環):https://www.mcafee.com/us/downloads/free-tools/snscan.aspx
我在網上找了個 1.05 版本,virustotal 一個都沒報毒,騰訊哈勃未發現風險:點我去下載
NetCrunch#
內網安全審計工具,包含了 DNS 審計,ping 掃描,端口,網絡服務等。
- 項目地址:https://www.adremsoft.com/demo/
- 下載頁面:https://www.adremsoft.com/demo/download-product/nctools
- 直接下載地址:https://www.adremsoft.com/download/NetCrunchTools2.exe
安裝完成後還需 Google 或者 Facebook 或者 Microsoft 賬戶登錄
snmp for pl 掃描#
./snmpbw.pl 執行的Can't locate NetAddr/IP問題:
wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz
tar xzf ./NetAddr-IP-4.079.tar.gz
cd NetAddr-IP-4.079/
perl Makefile.PL
make
make install
cd ../
./snmpbw.pl
其他掃描#
- snmpbulkwalk
- snmp-check
- snmptest
附錄:
use auxiliary/scanner/snmp/aix_version
use auxiliary/scanner/snmp/snmp_enum
use auxiliary/scanner/snmp/arris_dg950
use auxiliary/scanner/snmp/snmp_enum_hp_laserjet
use auxiliary/scanner/snmp/brocade_enumhash
use auxiliary/scanner/snmp/snmp_enumshares
use auxiliary/scanner/snmp/cambium_snmp_loot
use auxiliary/scanner/snmp/snmp_enumusers
use auxiliary/scanner/snmp/cisco_config_tftp
use auxiliary/scanner/snmp/snmp_login
use auxiliary/scanner/snmp/cisco_upload_file
use auxiliary/scanner/snmp/snmp_set
use auxiliary/scanner/snmp/netopia_enum
use auxiliary/scanner/snmp/ubee_ddw3611
use auxiliary/scanner/snmp/sbg6580_enum
use auxiliary/scanner/snmp/xerox_workcentre_enumusers
其他內網安全審計工具(snmp):
- 項目地址:https://www.solarwinds.com/topics/snmp-scanner
- 項目地址:https://www.netscantools.com/nstpro_snmp.html
基於 ICMP#
ICMP 簡介:
它是 TCP/IP 協議族的一個子協議,用於在 IP 主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然並不傳輸用戶數據,但是對於用戶數據的傳遞起着重要的作用。
nmap 掃描:#
nmap ‐sP ‐PI 192.168.2.1/24 ‐T4
nmap ‐sn ‐PE ‐T4 192.168.2.1/24
CMD 下掃描#
for /L %P in (1,1,254) DO @ping ‐w 1 ‐n 1 192.168.2.%P | findstr "TTL="
我用的可能是個假的 cmd,半天沒反應
powershell 掃描#
Invoke‐TSPingSweep.ps1 下載:GitHub 地址
powershell.exe -exec bypass -Command "Import-Module ./Invoke‐TSPingSweep.ps1; Invoke-TSPingSweep -StartAddress 192.168.2.1 -EndAddress 192.168.2.254 -ResolveHost -ScanPort -Port 445,135"
tcping#
又在 elifulkerson 這個網站上找到了:下載地址
tcping64.exe -n 1 192.168.2.1 80
cping (19-02-23 更新)#
cping 由 K8 團隊出品,詳細介紹:https://www.cnblogs.com/k8gege/p/10367844.html
博客裡很詳細就不重新介紹,下載地址 (搬運過來解壓重新打包):https://www.lanzous.com/i3837ne
包內有如下文件:
cping**.exe ** 代表.net 編譯版本,系統默認.NET 版本如下:
XP/2003(已淘汰,用戶少,使用的大部分也會裝.net,因為好多app需要連驅動都要.net,具體看安裝版本一般2.0)
Vista 2.0(基本上也沒多少用戶)
Win7/2008 2.0 3.0 3.5
Win8/2012 4.0
Win8.1 4.0 4.5
Win10/2016 4.0 4.6 (4.5未測應該也行)
掃描我內網機子演示圖:
基於 SMB#
基於 msf#
模塊:auxiliary/scanner/smb/smb_version
基於 cme#
這樣安裝之後不能執行cme smb:
apt-get install cme
apt-get install crackmapexec
所以我們使用 pipenv 安裝:
apt-get install libssl-dev libffi-dev python-dev build-essential -y
pip install --user pipenv -i https://pypi.tuna.tsinghua.edu.cn/simple/
git clone --recursive https://github.com/byt3bl33d3r/CrackMapExec
cd CrackMapExec && pipenv install
此時可能會遇到 bash:pipenv: 未找到命令錯誤,出現以上問題,需要進行一下操作
vim ~/.profile,在底部添加以下語句:
PYTHON_BIN_PATH="$(python3 -m site --user-base)/bin"
PATH="$PATH:$PYTHON_BIN_PATH"
然後source ~/.profile之後pipenv就可以用了:
然後繼續:
pipenv shell
python setup.py install
環境創建完成,此時就可以使用cme smb命令了 (不要退出當前環境,否則從cd CrackMapExec && pipenv install這步重新開始)
cme smb 192.168.2.1/24
基於 nmap#
nmap ‐sU ‐sS ‐‐script smb‐enum‐shares.nse ‐p 445 192.168.2.1/24
我這沒配置好,啥都查不到
基於 CMD#
如果cmd裡面輸入telnet顯示不是內部或外部命令,也不是可運行的程序或批處理文件的:
去控制面板卸載程序頁面左邊有個啟用或關閉windows功能,裡面有個 Telnet 客戶端選項卡,勾選上應用就行:
for /l %a in (1,1,254) do start /min /low telnet 192.168.2.%a 445
會打開 254 個 telnet 頁面,連接 192.168.2.1 到 192.168.2.254 的 445 端口,如果有主機的 445 端口能連接上,則會留下來,其他的會全部自動關閉掉:
基於 powershell#
- 一句話掃描:
- 單 IP:
445 | %{ echo ((new‐object Net.Sockets.TcpClient).Connect("192.168.2.7",$_)) "$_ is open"} 2>$null
不知道為啥沒掃到
- 多 ip:
1..5 | % { $a = $_; 445 | % {echo ((new‐objectNet.Sockets.TcpClient).Connect("192.168.2.$a",$_)) "Port $_ is open"} 2>$null}
這個也沒掃到
多 port,多 IP:
118..119 | % { $a = $_; write-host "‐‐‐‐‐‐"; write-host "192.168.2.$a"; 80,445 | % {echo ((new‐object Net.Sockets.TcpClient).Connect("192.168.2.$a",$_)) "Port $_ is open"} 2>$null}
emmm,沒配置好,一個都沒掃出來
基於 MSF#
此部分為了獲得更好的掃描結果,我們會靈活切換幾台主機以及臨時增加一些服務,靶機有以下幾台:
- WinXP_SP3:192.168.2.4
- Win7_SP1 (以後簡稱 win7):192.168.2.7
- Ubuntu Desktop 18.04 LTS (以後簡稱 ud18lts):192.168.2.18
- msf 所在的機器:Kali:192.168.2.6
MSF 的 search 支持 type 搜索:
我們要介紹的是以下二十個:
auxiliary/scanner/http/http_version
auxiliary/scanner/smb/smb_version
auxiliary/scanner/ftp/ftp_version
auxiliary/scanner/discovery/arp_sweep
auxiliary/scanner/discovery/udp_sweep
auxiliary/scanner/ssh/ssh_version
auxiliary/scanner/telnet/telnet_version
auxiliary/scanner/discovery/udp_probe
auxiliary/scanner/dns/dns_amp
auxiliary/scanner/mysql/mysql_version
auxiliary/scanner/netbios/nbname
auxiliary/scanner/http/title
auxiliary/scanner/db2/db2_version
auxiliary/scanner/portscan/ack
auxiliary/scanner/portscan/tcp
auxiliary/scanner/portscan/syn
auxiliary/scanner/portscan/ftpbounce
auxiliary/scanner/portscan/xmas
auxiliary/scanner/rdp/rdp_scanner
auxiliary/scanner/smtp/smtp_version
基於 http/http_version 發現發現 HTTP 服務#
- 開啟 http 服務
我們在 win7 上開啟了 phpstudy 服務,在 ud18lts 上開啟了 apache2 默認界面:
- 用 msf 掃描
use auxiliary/scanner/http/http_version
基於 smb/smb_version 發現 SMB 服務#
- 搭建一個 samba 伺服器
臨時在 ud18lts 用 docker 搭建一個 samba 伺服器,參考文章:https://www.cnblogs.com/geekmao/p/7873338.html
Docker 在 Ubuntu 中的安裝參考我之前寫的文章:https://www.soapffz.com/sec/99.html
我們拉取一個 samba 伺服器鏡像:docker pull dperson/samba,然後按照教程映射端口:
docker run -it --name samba -p 139:139 -p 445:445 -v /home:/mount -v /etc/passwd:/etc/passwd -v /etc/group:/etc/group -d dperson/samba -s "www;/mount/;yes;no;no;all;none"
我們就到這一步,其他的有興趣可以按照教程繼續下去,其他的教程也可參考這個鏡像的官方文檔:https://github.com/dperson/samba
- 用 msf 掃描
use auxiliary/scanner/smb/smb_version
可以看到我們搭建的 samba 伺服器,只掃出了端口信息,其他什麼信息都沒有掃出來
基於 ftp/ftp_version 發現 FTP 服務#
- win7 上開啟 ftp 服務
掛載上這個系統安裝時的 ISO 鏡像
在打開或關閉 Windows 功能中的 Internet 信息服務中,開啟 FTP 伺服器的全部服務和 WEB 管理工具中的 IIS 管理控制台
然後 win+r 輸入 compmgmt.msc 快捷打開計算機管理界面,展開 “服務和應用程序”,點擊 “Internet 信息服務(IIS)管理器”,後右鍵點擊 “網站” 打開,選擇 “添加 FTP 站點”:
然後自定義站點信息:FTP 站點名稱為win7_ftp:
IP 地址選擇本機 IP,端口可以自行設定,SSL 選擇 “允許”,然後下一步:
身份驗證選擇 “基本”,授權選擇 “所有用戶”(即這台計算機現存的所有有效賬戶都可以登錄),權限設置 “讀取” 和 “寫入”:
我們的 ftp 站點就添加完了,打開 Windows 資源管理器或者瀏覽器輸入 “ftp://IP”,彈出登錄對話框:
輸入賬號密碼即可登錄,如果你的連接不上的話,可能是你的防火牆沒有關閉,在控制面板的 “Windows 防火牆” 這個界面的左邊有一個 “允許程序或功能通過 Windows 防火牆” 選項:
點擊去把 FTP 伺服器的選項都選上即可:
注意:FTP 若沒有開啟匿名登錄的話是必須要密碼的,像我的 win7 直接使用的 Administrator 賬戶沒有設置密碼就無法登錄 FTP 服務,實際使用中一定要記得給 ftp 賬戶設置密碼,我們這裡只是為了做 ftp 服務掃描測試就不繼續下去了
win7 安裝 ftp 服務參考文章:https://www.cnblogs.com/liangxuru/p/6148212.html
- ud18lts 上開啟 ftp 服務
用 ud18lts 的 docker 拉取一個鏡像:docker pull fauria/vsftpd,並使用語句:
docker run -d -v /home/vsftpd:/home/vsftpd -p 20:20 -p 21:21 -p 21100-21110:21100-21110 -e FTP_USER=test -e FTP_PASS=test --name vsftpd fauria/vsftpd
搭建 ftp 伺服器,會以登錄用戶名 (test) 創建一個目錄 (/home/vsftpd/test) 作為 ftp 根目錄
- 用 msf 來掃描
use auxiliary/scanner/ftp/ftp_version:
基於 discovery/udp_sweep 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/discovery/arp_sweep
基於 udp_sweep#
- 用 msf 掃描
use auxiliary/scanner/discovery/udp_sweep:
基於 ssh/ssh_version 發現 SSH 服務#
這裡就不在 win7 開啟 SSH 服務了,誰沒事用 SSH 訪問 Windows 系統,都是用 3389 遠程桌面,網上的文章針對 win7 開啟主要有這幾種工具:
Bitvise
Openssh(現在win10自帶了)
freeSSHd
- 用 msf 掃描
use auxiliary/scanner/ssh/ssh_version
基於 telnet/telnet_version 發現 TELNET 服務#
- Win7 開啟 telnet 服務
同樣掛載好系統安裝時使用的 ISO 鏡像文件之後,去控制面板卸載程序頁面左邊有個啟用或關閉windows功能,將 Telnet 伺服器和客戶端都勾選上:
我們用物理機 win10 的 telnet 連接這台 win7 發現連接不上,用win+r輸入services.msc進入服務管理界面,發現 telnet 的服務默認是被禁用的,我們將其設置為自動,並啟動此服務:
再次使用 telnet 連接,發現可以連接了:
同樣,貌似也不能使用無密碼賬戶登錄:
我們開啟這個服務就行了
- ud18lts 安裝 telnet 服務端
Ubuntu 安裝後默認只有 telnet 客戶端,我們通過安裝telnetd和xinetd來實現服務器端:
apt-get install telnetd && apt-get install xinetd -y
就 OK 了,參考文章:https://blog.csdn.net/xkwy100/article/details/80328646
- 用 msf 掃描
use auxiliary/scanner/telnet/telnet_version
這裡發現了 ud18lts 的 telnet 服務:
這裡發現了 win7 的 telnet 服務:
基於 discovery/udp_probe 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/discovery/udp_probe
基於 dns/dns_amp 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/dns/dns_amp
這個沒掃到
基於 mysql/mysql_version 發現 mysql 服務#
- Win7 搭建 mysql 服務
我們直接把 phpstudy 開啟就行了
- ud18lts 搭建 mysql 服務
前面我的文章:在 Ubuntu 中安裝 docker 快速搭建測試環境裡面說過,用 docker 拉取一個 mysql/5.6 鏡像即可:
docker pull mysql:5.6
docker run --name testmysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=a123456 -d mysql:5.6
docker exec -it testmysql mysql -uroot -p
輸入之前設置的 root 密碼 (a123456) 登錄到數據庫
- 用 msf 掃描
use auxiliary/scanner/mysql/mysql_version
基於 netbios/nbname 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/netbios/nbname
基於 http/title 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/http/title
只掃到了 Kali 和 ud18lts 開的 apache2 服務的默認界面,看来 phpstudy 不適合用來演示啊,好幾次都表現不好
基於 db2/db2_version 發現 db2 服務#
IBM DB2 是美國 IBM 公司開發的一套關係型數據庫管理系統,它主要的運行環境為 UNIX(包括 IBM 自家的 AIX)、Linux、IBM i(舊稱 OS/400)、z/OS,以及 Windows 伺服器版本。
- ud18lts 中用 docker 搭建 d2
官方鏡像文檔:https://hub.docker.com/r/ibmcom/db2express-c/
參考文章:https://dongrenwen.github.io/2018/05/07/docker-install-db2/
先拉取一個官方 db2 鏡像:docker pull ibmcom/db2express-c,這個有必要曬一下截圖了,我是萬萬沒想到官方的 db2 鏡像居然有這麼大!
然後啟動容器:
docker run --name DB2ExpressC -d -p 50000:50000 -e DB2INST1_PASSWORD=db2inst1 -e LICENSE=accept ibmcom/db2express-c db2start
--name DB2ExpressC 表示為為容器指定名稱為 DB2ExpressC
-d 表示後台運行
-p 50000:50000 表示對外公開的端口為 50000
-e DB2INST1_PASSWORD=db2inst1 表示為默認用戶 db2inst1 設置密碼為 db2inst1
-e LICENSE=accept 表示同意默認的許可證信息
db2start 表示啟動db2服務
安裝默認實例:
進入到啟動的容器中:docker exec -it DB2ExpressC /bin/bash
切換用戶到 db2inst1:su - db2inst1
安裝默認實例:db2sampl
連接到新創建的數據庫實例:db2 connect to sample
執行 SQL 文確認環境的正常:db2 "SELECT * FROM STAFF"
通過 exit 命令退出默認用戶 db2inst1
通過 exit 命令退出容器
我創建 SAMPLE 數據庫,即執行db2sampl這一步時,創建了好幾次才創建成功
- 用 msf 掃描
use auxiliary/scanner/db2/db2_version
記得要把數據庫名字改為SAMPLE:
基於 portscan/ack 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/portscan/ack
基於 portscan/tcp 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/portscan/tcp
基於 portscan/syn 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/portscan/syn
基於 portscan/ftpbounce 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/portscan/ftpbounce
這個又掃描不出來,奇怪
基於 portscan/xmas 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/portscan/xmas
基於 rdp/rdp_scanner 發現內網存活主機#
- win7 開啟 3389 端口
開啟 3389 端口 (cmd):
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
![][98]
關閉 3389 端口 (cmd):
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f
![][99]
- 用 msf 掃描
use auxiliary/scanner/rdp/rdp_scanner
![][100]
基於 smtp/smtp_version 發現內網存活主機#
- 用 msf 掃描
use auxiliary/scanner/smtp/smtp_version
![][101]