域内存活主机探测
内网存活主机探测是内网渗透测试中不可缺少的一个环节。一般可以在白天或晚上分别进行探测,以对比分析存活主机和对应ip地址。
利用NetBIOS快速探测内网
NetBIOS是局域网程序使用的一种应用程序编程端口(API),为程序提供了请求低级别服务的统一的命令集,为局域网提供了网络及其他特殊功能。几乎所有的局域网都是在NetBIOS协议的基础上工作的。
利用NetBIOS协议时可以使用nbtscan工具。nbtscan是一个命令行工具,用于扫描本地或远程TCP/IP网络上的开放NetBIOS名称服务器。
nbtscan需要自己下载安装。
使用命令
nbtscan -r 192.168.1.0/24
利用ICMP协议快速探测内网
依次对内网中每个IP地址执行ping命令,可以快速找出内网中所有存活的主机。
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=”
也可以使用VBS脚本进行探测。在使用VBS脚本时,需要修改IP地址段。
扫描域内端口
通过查询目标主机的端口开放信息,不仅可以了解目标主机所开放的服务,还可以找出其开放服务的漏洞,分析目标网络的拓扑结构等,具体需要关注以下三点。
1.端口的Banner信息
2.端口上运行的服务
3.常见应用的默认端口
在进行内网渗透测试时,通常会使用Metasploit内置的端口进行扫描。也可以上传端口扫描工具,使用工具进行扫描。还可以根据服务器的环境,使用自定义的端口扫描脚本进行扫描。在获得授权的情况下,可以直接使用Nmap,masscan等端口扫描工具获取开放的端口信息。
利用telnet命令进行扫描
telnet协议是Interne远程登录·服务的标准协议和主要方式。可以用来快速探测某台主机的某个常规高危端口是否开放。Windows10版本的telnet服务默认不开启,需要自己去安装。(控制面板 -> 程序 -> 启用或关闭Windows功能 -> 勾选Telnet客户端 -> 确定)
telnet 目标ip地址 端口号
msfconsole端口扫描
kali中就有msfconsole可以使用。
msfconsole其他扫描工具可以使用“search portscan”命令来查找
这里使用“auxiliary/scanner/portscan/tcp”扫描模块。该模块可以用来扫描目标主机的TCP端口使用情况。
进入模块
use auxiliary/scanner/portscan/tcp
查看需要设置的参数信息
show options
设置目标ip
set RHOSTS ip地址
设置需要扫描的端口范围
set PORTS 1-8080(扫描端口范围1-8080)
设置线程数
set THREADS 5(线程数为5)
当需要的参数设置完毕之后需要输入“run”来使程序运行。
端口Banner信息
如果通过扫描发现端口,可以使用客户端连接工具或者nc,获取服务端的Banner信息。获取Banner信息欧,可以在漏洞库中查找相关漏洞,然后到目标系统中验证漏洞是否存在,从而有针对性地进行安全加固。
常见端口及其说明
1.文件共享服务端口
端口号 | 端口说明 | 使用说明 |
---|---|---|
21,22,69 | FTP/TFTP文件传输协议 | 允许匿名上传,下载,爆破和嗅探操作 |
2049 | NFS服务 | 配置不当 |
139 | SAMBA服务 | 爆破,未授权访问,远程代码执行 |
389 | LDAP目录访问协议 | 注入,允许匿名访问,弱口令 |
2.远程连接服务端口
端口号 | 端口说明 | 使用说明 |
---|---|---|
22 | SSH远程连接 | 爆破,SSH隧道及内网代理转发,文件传输 |
23 | Telnet远程连接 | 爆破,嗅探,弱口令 |
3389 | RDP远程桌面连接 | Shift后门(Windows Sever 2003 以下版本),爆破 |
5900 | VNC | 弱口令爆破 |
5632 | PcAnywhere | 抓取密码,代码执行 |
3.web应用服务端口
端口号 | 端口说明 | 使用说明 |
---|---|---|
80,443,8080 | 常见的web服务端口 | web攻击,爆破,对应服务器版本漏洞 |
7001,7002 | weblogic控制台 | java反序列化,弱口令 |
8080,8089 | JBoss/Resin/Jetty/Jenkins | 反序列化,控制台弱口令 |
9090 | WebSphere控制台 | Java反序列化,弱口令 |
4848 | GIassFish控制台 | 弱口令 |
1352 | Lotus Domino邮件服务 | 弱口令,信息泄露,爆破 |
10000 | webmin控制面板 | 弱口令 |
4.数据库服务端口
端口号 | 端口说明 | 使用说明 |
---|---|---|
3306 | MySQL数据库 | 注入,提权,爆破 |
1433 | MySQL数据库 | 注入,提权,SA弱口令,爆破 |
1521 | Oracle数据库 | TNS爆破,注入,反弹shell |
5432 | PostgreSQL数据库 | 爆破,注入,弱口令 |
27017,27018 | MongoDB数据库 | 爆破,未授权访问 |
6379 | Redis数据库 | 可尝试未授权访问,弱口令爆破 |
5000 | Sysbase/DB2数据库 | 爆破,注入 |
5.邮件服务端口
端口号 | 端口说明 | 使用说明 |
---|---|---|
25 | SMTP邮件服务 | 邮件伪造 |
110 | POP3协议 | 爆破,嗅探 |
143 | IMAP协议 | 爆破 |
6.网络常见协议端口
端口号 | 端口说明 | 使用说明 |
---|---|---|
53 | DNS域名服务 | 允许区域传送,DNS劫持,缓存投毒,欺骗 |
67.68 | DHCP服务 | 劫持,欺骗 |
161 | SNMP协议 | 爆破,搜集目标内网信息 |
7.特殊服务端口
端口号 | 端口说明 | 使用说明 |
---|---|---|
2181 | ZookKeeper服务 | 未授权访问 |
8069 | Zabbix服务 | 远程执行,SQL注入 |
9200,9300 | Elasticsearch服务 | 远程执行 |
11211 | Memcached服务 | 未授权访问 |
512.513.514 | Linux rexec服务 | 爆破,远程登录 |
873 | rsync服务 | 匿名访问,文件上传 |
3690 | SVN服务 | SVN泄露,未授权访问 |
50000 | SAP Management Console | 远程执行 |