Ladon中28种探测存活主机方法(含绕过防火墙探测)
本文于 1858 天之前发表
前言
内网渗透中,最重要的一步就是探测在线机器,只有先探测到机器
接下来才是探测操作系统、扫描端口服务、开放WEB、扫描漏洞等。
目标不开机,你搞啥呢?当然也有一种情况,目标开机但却扫不到
这是因为目前大部份扫描器使用PING扫描,而防火墙默认是拦截的
默认条件下也不放行其它端口,比如SMB、RDP、HTTP等协议也不行
那能不能在防火墙完全防护状态下探测存活机器呢?答案是有的。
测试环境
Win7-A: 192.168.1.20 测试防火墙
Win7-B: 192.168.1.7 Ladon扫描器
实验1:A机器关闭防火墙
实验2:A机器开启防火墙
实验3:A机器关机
PS:整个过程中B机器防火墙需关闭,因为要保证所有协议都能进出B机器
才能测试防火墙开启或关闭的情况下,分别有哪些协议可以探测存活主机
A关闭防火墙
ICMP协议可达目标机器,即可PING通A机器
Ladon 192.168.1.1/24 OnlinePC
ICMP: 192.168.1.7 00-0C-00-00-00-90 Win-K8gege VMware
ICMP: 192.168.1.4 00-0C-00-00-00-1C VMware
ICMP: 192.168.1.30 08-1F-00-00-00-EA Tp-Link
ICMP: 192.168.1.1 94-28-00-00-00-4E NewH3C
ICMP: 192.168.1.20 00-0C-00-00-00-50 VMware
OnlinePC:5
A开启防火墙
ICMP协议不可达目标机器,即无法PING通A机器,但是MAC可以
Ladon 192.168.1.1/24 OnlinePC
ICMP: 192.168.1.7 00-0C-00-00-00-90 Win-K8gege VMware
ICMP: 192.168.1.1 94-28-00-00-00-4E NewH3C
ICMP: 192.168.1.30 08-1F-00-00-00-EA Tp-Link
ICMP: 192.168.1.4 00-0C-00-00-00-1C VMware
MAC: 192.168.1.20 00-0C-00-00-00-50 VMware
ICMP: 192.168.1.2 38-AD-00-00-00-1F NewH3C
OnlinePC:6
A机器关机
A机器关机后,发现无法探测MAC,说明能获取到MAC,机器肯定在线
Ladon 192.168.1.1/24 OnlinePC
ICMP: 192.168.1.7 00-0C-00-00-00-90 Win-K8gege VMware
ICMP: 192.168.1.1 94-28-00-00-00-4E NewH3C
ICMP: 192.168.1.4 00-0C-00-00-00-1C VMware
ICMP: 192.168.1.30 08-1F-00-00-00-EA Tp-Link
ICMP: 192.168.1.2 38-AD-00-00-00-1F NewH3C
OnlinePC:5
结论
开机状态下,开启系统防火墙后,无法PING通机器(默认配置)
但可获取远程机器MAC,因此可通过MAC探测目标主机是否存活
疑问
1.有人问我Ladon扫描出来的存活机器,为何PING不通呢?是不是不准?
答:首先机器存活,但相关端口未开放,如3389没开,你当然连不上。
同理防火墙默认根本不允许ICMP协议通过,你PING不通很正常。Ladon
通过其它方式探测到存活,而非单纯的ICMP,PING不通并不代表关机
上面的实验结果已充分说明,用其它工具扫描可能会漏掉禁PING机器
2.有人问我为什么新版的OnlinePC比之前慢了,以前3秒可扫一个C段。
再重复一次,Ladon的OnlinePC不只是单纯的通过ICMP检测存活主机。
打个比方一个人自己开车去北京,中途车坏了他就不去了,事情结束
如果车坏了,找人来修或换乘轮船,最后到达北京时间是不是多了。
新版的先PING机器,不通并没有结束,而是再尝试使用其它协议探测
最简单的一个问题,你是想要扫描结果更准更多,还是结果少速度快
再者以前可能3秒至几秒,现在可能几秒至13秒,才多几秒钟也不慢啊
以上两个问题是我发此文章的主要原因,怕还会有很多人问同样的问题
28种方法
Ladon以下模块均可用于探测存活主机,不要死板的只用OnlinePC
或者只用其它只是用PING来扫描的工具,得到的结果错过很多机器
可根据实际情况使用以下模块探测存活主机,如WAF禁用HTTP协议
采用HTTP协议的模块就不要用了,即便同样是HTTP,模块结果不同
如WhatCMS识别到CMS才回显,WebScan还会返回HttpBanner。
所以同个协议,有些模块扫不出东西,不代表防火墙禁止该协议。
如大家最容易理解的扫445端口发现不开放,不代表TCP协议禁用
因为人家怕你用MS17010漏洞一键GETSHELL,所以禁止了共享而已
如果要精准探测存活主机,就得使用多个方式才能深入拓展内网
| ID | 模块名称 | 功能说明 | 采用协议 | 用法 |
|---|---|---|---|---|
| 1 | OnlinePC | 存活主机信息 | ICMP、MAC、DNS | Ladon 192.168.1.1/24 OnlinePC |
| 2 | OnlineIP | 存活主机(IP) | ICMP、MAC、DNS | Ladon 192.168.1.1/24 OnlineIP |
| 3 | UrlScan | URL域名扫描 | HTTP | Ladon 192.168.1.1/24 UrlScan |
| 4 | SameWeb | 同服域名扫描 | HTTP | Ladon 192.168.1.1/24 SameWeb |
| 5 | WebScan | Web信息扫找 | HTTP | Ladon 192.168.1.1/24 WebScan |
| 6 | HostIP | 主机名解析 | DNS | Ladon Win-K8gege HostIP |
| 7 | DomainIP | 域名解析 | DNS | Ladon k8gege.org DomainIP |
| 8 | OsScan | 操作系统版本 | MAC、DNS、SMB、HTTP、RDP、TCP等 | Ladon 192.168.1.1/24 OsScan |
| 9 | PortScan | 扫描Banner | TCP | Ladon 192.168.1.1/24 PortScan |
| 10 | WhatCMS | Web指纹识别 | HTTP | Ladon 192.168.1.1/24 WhatCMS |
| 11 | CiscoScan | 思科扫描 | HTTP、TCP | Ladon 192.168.1.1/24 CiscoScan |
| 12 | EnumMssql | MSSQL主机 | MSSQL | Ladon EnumMssql |
| 13 | EnumShare | 共享主机 | SMB | Ladon EnumShare |
| 14 | LdapScan | LDAP主机/389端口/密码爆破 | LDAP、TCP | Ladon 192.168.1.1/24 LdapScan |
| 15 | FtpScan | FTP主机/21端口/密码爆破 | FTP、TCP | Ladon 192.168.1.1/24 FtpScan |
| 16 | SmbScan | 445端口/密码爆破 | SMB、TCP | Ladon 192.168.1.1/24 SmbScan |
| 17 | WmiScan | 135端口/密码爆破 | WMI、TCP | Ladon 192.168.1.1/24 WmiScan |
| 18 | SmbHash | 445端口/密码爆破 | SMB、TCP | Ladon 192.168.1.1/24 SmbHash |
| 19 | WmiHash | 135端口/密码爆破 | WMI、TCP | Ladon 192.168.1.1/24 WmiHash |
| 20 | SshScan | 22端口/密码爆破 | SSH、TCP | Ladon 192.168.1.1/24 SshScan |
| 21 | MssqlScan | 1433端口/密码爆破 | MSSQL、TCP | Ladon 192.168.1.1/24 MssqlScan |
| 22 | OracleScan | 1521端口/密码爆破 | Oracle、TCP | Ladon 192.168.1.1/24 OracleScan |
| 23 | MysqlScan | 3306端口/密码爆破 | MYSQL、TCP | Ladon 192.168.1.1/24 MysqlScan |
| 24 | VncScan | 5900端口/密码爆破 | VNC、TCP | Ladon 192.168.1.1/24 VncScan |
| 25 | MS17010 | MS17010漏洞检测 | TCP、SMB | Ladon 192.168.1.1/24 MS17010 |
| 26 | AdiDnsDump | 域内存活机器 | DNS、LDAP | Ladon AdiDnsDump 域机器IP |
| 27 | FtpSniffer | Ftp密码嗅探 | FTP | Ladon FtpSniffer 192.168.1.8 |
| 28 | HttpSniffer | HTTP密码嗅探 | HTTP | Ladon HTTPSniffer 192.168.1.8 |
PS: Ladon 6.2开始密码爆破模块,在无帐密文件的情况下,仅探测协议或对应端口
当然所有密码爆破均可自定义端口爆破,但自定义端口可能只支持一台不支持批量
具体看Ladon对应模块的详细文档,嗅探模块嗅探出HTTP或FTP帐密同时也证明其存活
Browser协议
无意发现browser协议中含有机器名、系统版本,发包时间随机,有些2-12分钟
除了上述方法外,Browser协议也可以用于探测存活主机,不过是基于嗅探
基于Browser协议探测内网主机,详见:http://k8gege.org/p/16b5ff0b.html
工具下载
最新版本:http://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
转载声明
K8博客文章随意转载,转载请注明出处! © K8gege http://k8gege.org
扫码加入K8小密圈