域内存活主机探测
内网存活主机探测是内网渗透测试中不可缺少的一个环节。一般可以在白天或晚上分别进行探测,以对比分析存活主机和对应ip地址。
利用NetBIOS快速探测内网
NetBIOS是局域网程序使用的一种应用程序编程端口(API),为程序提供了请求低级别服务的统一的命令集,为局域网提供了网络及其他特殊功能。几乎所有的局域网都是在NetBIOS协议的基础上工作的。
利用NetBIOS协议时可以使用nbtscan工具。nbtscan是一个命令行工具,用于扫描本地或远程TCP/IP网络上的开放NetBIOS名称服务器。
nbtscan需要自己下载安装。
使用命令
nbtscan -r 192.168.1.0/24
利用ICMP协议快速探测内网
依次对内网中每个IP地址执行ping命令,可以快速找出内网中所有存活的主机。
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=”
也可以使用VBS脚本进行探测。在使用VBS脚本时,需要修改IP地址段。
扫描域内端口
通过查询目标主机的端口开放信息,不仅可以了解目标主机所开放的服务,还可以找出其开放服务的漏洞,分析目标网络的拓扑结构等,具体需要关注以下三点。
1.端口的Banner信息
2.端口上运行的服务
3.常见应用的默认端口
在进行内网渗透测试时,通常会使用Metasploit内置的端口进行扫描。也可以上传端口扫描工具,使用工具进行扫描。还可以根据服务器的环境,使用自定义的端口扫描脚本进行扫描。在获得授权的情况下,可以直接使用Nmap,masscan等端口扫描工具获取开放的端口信息。
利用telnet命令进行扫描
telnet协议是Interne远程登录·服务的标准协议和主要方式。可以用来快速探测某台主机的某个常规高危端口是否开放。Windows10版本的telnet服务默认不开启,需要自己去安装。(控制面板 -> 程序 -> 启用或关闭Windows功能 -> 勾选Telnet客户端 -> 确定)
telnet 目标ip地址 端口号
msfconsole端口扫描
kali中就有msfconsole可以使用。
msfconsole其他扫描工具可以使用“search portscan”命令来查找
这里使用“auxiliary/scanner/portscan/tcp”扫描模块。该模块可以用来扫描目标主机的TCP端口使用情况。
进入模块
use auxiliary/scanner/portscan/tcp
查看需要设置的参数信息
show options
设置目标ip
set RHOSTS ip地址
设置需要扫描的端口范围
set PORTS 1-8080(扫描端口范围1-8080)
设置线程数
set THREADS 5(线程数为5)
当需要的参数设置完毕之后需要输入“run”来使程序运行。
端口Banner信息
如果通过扫描发现端口,可以使用客户端连接工具或者nc,获取服务端的Banner信息。获取Banner信息欧,可以在漏洞库中查找相关漏洞,然后到目标系统中验证漏洞是否存在,从而有针对性地进行安全加固。
常见端口及其说明
1.文件共享服务端口
| 端口号 | 端口说明 | 使用说明 |
|---|---|---|
| 21,22,69 | FTP/TFTP文件传输协议 | 允许匿名上传,下载,爆破和嗅探操作 |
| 2049 | NFS服务 | 配置不当 |
| 139 | SAMBA服务 | 爆破,未授权访问,远程代码执行 |
| 389 | LDAP目录访问协议 | 注入,允许匿名访问,弱口令 |
2.远程连接服务端口
| 端口号 | 端口说明 | 使用说明 |
|---|---|---|
| 22 | SSH远程连接 | 爆破,SSH隧道及内网代理转发,文件传输 |
| 23 | Telnet远程连接 | 爆破,嗅探,弱口令 |
| 3389 | RDP远程桌面连接 | Shift后门(Windows Sever 2003 以下版本),爆破 |
| 5900 | VNC | 弱口令爆破 |
| 5632 | PcAnywhere | 抓取密码,代码执行 |
3.web应用服务端口
| 端口号 | 端口说明 | 使用说明 |
|---|---|---|
| 80,443,8080 | 常见的web服务端口 | web攻击,爆破,对应服务器版本漏洞 |
| 7001,7002 | weblogic控制台 | java反序列化,弱口令 |
| 8080,8089 | JBoss/Resin/Jetty/Jenkins | 反序列化,控制台弱口令 |
| 9090 | WebSphere控制台 | Java反序列化,弱口令 |
| 4848 | GIassFish控制台 | 弱口令 |
| 1352 | Lotus Domino邮件服务 | 弱口令,信息泄露,爆破 |
| 10000 | webmin控制面板 | 弱口令 |
4.数据库服务端口
| 端口号 | 端口说明 | 使用说明 |
|---|---|---|
| 3306 | MySQL数据库 | 注入,提权,爆破 |
| 1433 | MySQL数据库 | 注入,提权,SA弱口令,爆破 |
| 1521 | Oracle数据库 | TNS爆破,注入,反弹shell |
| 5432 | PostgreSQL数据库 | 爆破,注入,弱口令 |
| 27017,27018 | MongoDB数据库 | 爆破,未授权访问 |
| 6379 | Redis数据库 | 可尝试未授权访问,弱口令爆破 |
| 5000 | Sysbase/DB2数据库 | 爆破,注入 |
5.邮件服务端口
| 端口号 | 端口说明 | 使用说明 |
|---|---|---|
| 25 | SMTP邮件服务 | 邮件伪造 |
| 110 | POP3协议 | 爆破,嗅探 |
| 143 | IMAP协议 | 爆破 |
6.网络常见协议端口
| 端口号 | 端口说明 | 使用说明 |
|---|---|---|
| 53 | DNS域名服务 | 允许区域传送,DNS劫持,缓存投毒,欺骗 |
| 67.68 | DHCP服务 | 劫持,欺骗 |
| 161 | SNMP协议 | 爆破,搜集目标内网信息 |
7.特殊服务端口
| 端口号 | 端口说明 | 使用说明 |
|---|---|---|
| 2181 | ZookKeeper服务 | 未授权访问 |
| 8069 | Zabbix服务 | 远程执行,SQL注入 |
| 9200,9300 | Elasticsearch服务 | 远程执行 |
| 11211 | Memcached服务 | 未授权访问 |
| 512.513.514 | Linux rexec服务 | 爆破,远程登录 |
| 873 | rsync服务 | 匿名访问,文件上传 |
| 3690 | SVN服务 | SVN泄露,未授权访问 |
| 50000 | SAP Management Console | 远程执行 |
986
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
