=============================================================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

前言

OXID Resolver是在支持COM +的每台计算机上运行的服务。它执行两项重要职责：
存储与远程对象连接所需的RPC字符串绑定，并将其提供给本地客户端。
将ping消息发送到本地计算机具有客户端的远程对象，并接收在本地计算机上运行的对象的ping消息。

我们只需要向远程主机发以下两个包，再解析返回结果即可。

        static byte[] s1 ={
0x05,0x00,0x0b,0x03,0x10,0x00,0x00,0x00,
0x48,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
0xb8,0x10,0xb8,0x10,0x00,0x00,0x00,0x00,
0x01,0x00,0x00,0x00,0x00,0x00,0x01,0x00,
0xc4,0xfe,0xfc,0x99,0x60,0x52,0x1b,0x10,
0xbb,0xcb,0x00,0xaa,0x00,0x21,0x34,0x7a,
0x00,0x00,0x00,0x00,0x04,0x5d,0x88,0x8a,
0xeb,0x1c,0xc9,0x11,0x9f,0xe8,0x08,0x00,
0x2b,0x10,0x48,0x60,0x02,0x00,0x00,0x00
     
                          };

        static byte[] s2 ={

0x05,0x00,0x00,0x03,0x10,0x00,0x00,0x00,
0x18,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
0x00,0x00,0x00,0x00,0x00,0x00,0x05,0x00
     
                          };

程序版本

Ladon >=7.0

模块名称

EthScan
OxidScan

模块说明

通过Windows的一些DCOM接口进行网卡进行信息枚举，定位多网卡主机，在无权限的情况下得知远程主机是否含有内网甚至VPN;当然也可以判定Windows主机,K8抓包发现xp和03系统有一段相同特征，WIN7-WIN10等也是相同特征，所以可区分是否WIN7以上系统。

前提条件

1.Windows主机
2.开放135端口
3.DCOM>=5.6（老外原文说5.6版本才可用，可能他写错了）
4.dcomcnfg配置中的“面向连接的TCP/IP”协议没有被移除

PS: 由于有一定条件限制，若该模块无法定位多网卡主机，也可使用OnlinePC、OsScan、WebScan、WhatCMS等模块探测，如多个IP同一个机器名，网样的网站标题，或同样的网卡MAC地址，也可定位多网卡主机，只是没有通过该方法好，毕竟一个是100%，一个是90%，比如负载均横同样的网站却不在同一台机器上。

测试系统

测试XP/Win7/Win8/Win10,2003/2008/2012均成功，2016和2019无环境未测，应该支持。

EthScan模块用法

扫描指定主机

Ladon 192.168.1.8 EthScan

扫描C段主机

Ladon 192.168.1.8/24 EthScan
Ladon 192.168.1.8/C EthScan

批量扫描IP列表主机

ip.txt里放需要扫描的IP，使用以下命令即可
Ladon EthScan

批量检测IP段（/24）

ip24.txt里放需要扫描的IP段，使用以下命令即可
Ladon EthScan

批量检测IP段（/16）

ip16.txt里放需要扫描的IP段，使用以下命令即可
Ladon EthScan

关闭135端口

防止通过135网卡探测

运行dcomcnfg，打开“组件服务”→“计算机”，在“我的电脑”上右键点击，选“属性”；然后点默认属性，把“在此计算机上启用分布式COM（E）”的勾去掉，接着返回到“默认协议”，移除“面向连接的TCP/IP”协议。重启后发现135端口还是开放，但已无法探测机器名和网卡，不过WmiScan还可以扫描到密码。

彻底关闭135端口

运行regedit，进入注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
右键点击Rpc,新建——项——输入 Internet
然后重启，再cmd,输入netstat -an,就发现135端口彻底消失，此时无法枚举网卡信息，也无法WMI扫描密码，无法WMI远程执行等。

PS：由于很多服务是互相依赖的关系，不推荐关闭以免影响系统服务，比如计划任务程序无法正常运行，磁盘碎片整理又依赖计划任务而打不开等。

参考

https://airbus-cyber-security.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/

https://payloads.online/archivers/2020-07-16/1?nsukey=oZl56gbIGgfxQcx%2F0HMnIkDOK1FvyCWabho4pheMAZ8WRjelIN1lFyf%2FmHcseWWhqnr%2FmmH2auwGTJDaANogm5UzmXCLggfgR%2FMkudQEJNkqWUsU6CSgCb%2FzUbrWP8kHd5jW5Ef%2FS7JxhKfzSFOdU7xdbahjeLVqv8CRKy3Wbv1gjhZZNsh6HJYxmWJ0AjK6mrrPaBaTRWg1zswyqwb1ng%3D%3D

工具下载

最新版本：https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases