内网资源探测

在内网渗透中，测试人员往往需要通过各种内网扫描技术来探测内网资源的情况，如内网存活主机、主机的操作系统、开放了哪些端口、端口上运行了哪些服务、服务的当前版本是否存在已知漏洞等信息。本节就来介绍如何进行内网资源探测。

发现内网存活主机

可根据当前渗透环境，选用ICMP、NetBIOS、UDP、ARP、SNMP、SMB等多种网络协议，按照协议类型，使用工具来发现存活主机。

基于ICMP发现存活主机

ICMP属于TCP/IP协议簇的一个子协议，实际利用中，通过ICMP循环对整个网段的每个IP进行ping命令，可以ping通的IP地址即为存活主机。

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.8.%I | findstr "TTL="

基于NetBIOS(内网基本输入/输出系统)协议发现存活主机

NetBIOS并不是一种协议, 它是一种应用程序接口(API)，几乎所有局域网都是在NetBIOS协议的基础上工作的，NetBIOS的工作流程就是正常的主机名解析，查询，应答的过程。

NBTScan是一款用于扫描windows网络上BetBIOS名称的程序，用于发现内网中存活的windows主机。将nbtscan.exe上传到目标主机，执行以下命令。

nbtscan.exe 192.168.8.1/24

实际利用时，向局域网的每个IP发送NetBIOS状态查询，对于响应的主机，会列出它的IP地址、NetBIOS主机名、登录用户和MAC地址。

基于UDP发现存活主机

UDP是属于传输层的无连接传输协议， 为应用程序提供一种不需要建立连接就可以发送封装的IP数据包的方法。

实际利用中，将一个空的UDP报文发送到目标主机特定端口后，如果目标主机端口是关闭的，则UDP探测得到一个ICMP无法到达的报文，意味着该主机正在运行。如果端口开放，大部分服务直接忽略这个空报文不做任何回应。

Unicornscan是kali的一款信息搜集工具，而kali默认并没有自带，但输入执行的话会自动安装。

执行以下命令，通过UDP协议扫描内网的存活主机。

unicornscan -mU 192.168.8.1/24

基于ARP发现存活主机

主机发送ARP请求广播到局域网上所有主机并接受信息，收到信息后，会将该IP地址和物理地址存入本机ARP缓存并保留一段时间。

ARP-Scan的利用

ARP-Scan是一款快速、便捷的内网扫描工具，利用ARP发现内网存活主机。将工具上传到目标主机，执行以下命令。

arp-scan.exe -t 192.168.8.1/24

基于SMB(Server Message Block,服务消息块)协议发现存活主机

SMB又称为网络文件共享系统（CIFS）协议，CIFS消息一般使用NetBIOS或TCP发送，分别使用139或445端口，目前倾向于使用445端口。

实际利用中，可以通过探测SMB服务确定主机的存活，SMB探测主要用于Windows系统。

SMB协议探测主机存活使用的是CrackMapExec（CME），在kali中已经集成了（如果没有的话可以通过apt-get安装）

执行以下命令，探测局域网中SMB服务，发现存活主机。

crackmapexec smb 192.168.8.1/24

内网端口扫描

利用Telnet探测端口

telnet <IP> <Port>

利用Nmap进行端口扫描

nmap -p 10,20,30,40,50 192.168.8.91        #使用默认ping扫描指定端口
nmap -Ss -p 1-65535 192.168.8.91        #使用半开扫描全部端口
nmap -sC -sV -p 10,20,30 192.168.92.1        #扫描并获取目标主机指定端口上开放的服务版本

更多使用方法请参考Nmap官方手册。

获取端口Banner指纹信息

通过指纹识别可以从端口的指纹特征中得到软件开发商，软件型号，服务类型，版本号这些信息，方便展开下一步的攻击，而服务的版本号有时会存在公开的漏洞可以被利用。

利用NetCat获取端口Banner

nc -nc <IP> <Port>

利用Telnet获取端口Banner

如果端口开放，使用telnet连接后也会返回banner信息。

telnet <IP> <Port>

利用Nmap获取端口Banner

nmap指定脚本 --script=banner

nmap --script=banner -p <Port> <IP>

总结

愿大家健康开心。

原文始发于微信公众号（AlertSec）：内网资源探测