logo

K8哥哥

没有绝对安全的系统

Ladon枚举远程主机网卡信息(OXID定位多网卡主机)

本文于 1269 天之前发表

=============================================================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

前言

OXID Resolver是在支持COM +的每台计算机上运行的服务。它执行两项重要职责:
存储与远程对象连接所需的RPC字符串绑定,并将其提供给本地客户端。
将ping消息发送到本地计算机具有客户端的远程对象,并接收在本地计算机上运行的对象的ping消息。

image

我们只需要向远程主机发以下两个包,再解析返回结果即可。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
        static byte[] s1 ={
0x05,0x00,0x0b,0x03,0x10,0x00,0x00,0x00,
0x48,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
0xb8,0x10,0xb8,0x10,0x00,0x00,0x00,0x00,
0x01,0x00,0x00,0x00,0x00,0x00,0x01,0x00,
0xc4,0xfe,0xfc,0x99,0x60,0x52,0x1b,0x10,
0xbb,0xcb,0x00,0xaa,0x00,0x21,0x34,0x7a,
0x00,0x00,0x00,0x00,0x04,0x5d,0x88,0x8a,
0xeb,0x1c,0xc9,0x11,0x9f,0xe8,0x08,0x00,
0x2b,0x10,0x48,0x60,0x02,0x00,0x00,0x00

};

static byte[] s2 ={

0x05,0x00,0x00,0x03,0x10,0x00,0x00,0x00,
0x18,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
0x00,0x00,0x00,0x00,0x00,0x00,0x05,0x00

};

程序版本

Ladon >=7.0

模块名称

EthScan
OxidScan

模块说明

通过Windows的一些DCOM接口进行网卡进行信息枚举,定位多网卡主机,在无权限的情况下得知远程主机是否含有内网甚至VPN;当然也可以判定Windows主机,K8抓包发现xp和03系统有一段相同特征,WIN7-WIN10等也是相同特征,所以可区分是否WIN7以上系统。

前提条件

1.Windows主机
2.开放135端口
3.DCOM>=5.6(老外原文说5.6版本才可用,可能他写错了)
4.dcomcnfg配置中的“面向连接的TCP/IP”协议没有被移除

PS: 由于有一定条件限制,若该模块无法定位多网卡主机,也可使用OnlinePC、OsScan、WebScan、WhatCMS等模块探测,如多个IP同一个机器名,网样的网站标题,或同样的网卡MAC地址,也可定位多网卡主机,只是没有通过该方法好,毕竟一个是100%,一个是90%,比如负载均横同样的网站却不在同一台机器上。

测试系统

测试XP/Win7/Win8/Win10,2003/2008/2012均成功,2016和2019无环境未测,应该支持。

EthScan模块用法

扫描指定主机

Ladon 192.168.1.8 EthScan

扫描C段主机

Ladon 192.168.1.8/24 EthScan
Ladon 192.168.1.8/C EthScan

image

批量扫描IP列表主机

ip.txt里放需要扫描的IP,使用以下命令即可
Ladon EthScan

批量检测IP段(/24)

ip24.txt里放需要扫描的IP段,使用以下命令即可
Ladon EthScan

批量检测IP段(/16)

ip16.txt里放需要扫描的IP段,使用以下命令即可
Ladon EthScan

关闭135端口

防止通过135网卡探测

运行dcomcnfg,打开“组件服务”→“计算机”,在“我的电脑”上右键点击,选“属性”;然后点默认属性,把“在此计算机上启用分布式COM(E)”的勾去掉,接着返回到“默认协议”,移除“面向连接的TCP/IP”协议。重启后发现135端口还是开放,但已无法探测机器名和网卡,不过WmiScan还可以扫描到密码。

image

彻底关闭135端口

运行regedit,进入注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
右键点击Rpc,新建——项——输入 Internet
然后重启,再cmd,输入netstat -an,就发现135端口彻底消失,此时无法枚举网卡信息,也无法WMI扫描密码,无法WMI远程执行等。

PS:由于很多服务是互相依赖的关系,不推荐关闭以免影响系统服务,比如计划任务程序无法正常运行,磁盘碎片整理又依赖计划任务而打不开等。

参考

https://airbus-cyber-security.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/

https://payloads.online/archivers/2020-07-16/1?nsukey=oZl56gbIGgfxQcx%2F0HMnIkDOK1FvyCWabho4pheMAZ8WRjelIN1lFyf%2FmHcseWWhqnr%2FmmH2auwGTJDaANogm5UzmXCLggfgR%2FMkudQEJNkqWUsU6CSgCb%2FzUbrWP8kHd5jW5Ef%2FS7JxhKfzSFOdU7xdbahjeLVqv8CRKy3Wbv1gjhZZNsh6HJYxmWJ0AjK6mrrPaBaTRWg1zswyqwb1ng%3D%3D

工具下载

最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases

扫码加入K8小密圈