记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Ladon中28种探测存活主机方法(含绕过防火墙探测)

2020-04-05 22:27

前言

内网渗透中,最重要的一步就是探测在线机器,只有先探测到机器
接下来才是探测操作系统、扫描端口服务、开放WEB、扫描漏洞等。
目标不开机,你搞啥呢?当然也有一种情况,目标开机但却扫不到
这是因为目前大部份扫描器使用PING扫描,而防火墙默认是拦截的
默认条件下也不放行其它端口,比如SMB、RDP、HTTP等协议也不行
那能不能在防火墙完全防护状态下探测存活机器呢?答案是有的。

测试环境

Win7-A: 192.168.1.20 测试防火墙
Win7-B: 192.168.1.7 Ladon扫描器

实验1:A机器关闭防火墙
实验2:A机器开启防火墙
实验3:A机器关机

PS:整个过程中B机器防火墙需关闭,因为要保证所有协议都能进出B机器
才能测试防火墙开启或关闭的情况下,分别有哪些协议可以探测存活主机

A关闭防火墙

ICMP协议可达目标机器,即可PING通A机器
Ladon 192.168.1.1/24 OnlinePC
=============================================
ICMP: 192.168.1.7 00-0C-00-00-00-90 Win-K8gege VMware
ICMP: 192.168.1.4 00-0C-00-00-00-1C VMware
ICMP: 192.168.1.30 08-1F-00-00-00-EA Tp-Link
ICMP: 192.168.1.1 94-28-00-00-00-4E NewH3C
ICMP: 192.168.1.20 00-0C-00-00-00-50 VMware
=============================================
OnlinePC:5

A开启防火墙

ICMP协议不可达目标机器,即无法PING通A机器,但是MAC可以
Ladon 192.168.1.1/24 OnlinePC
=============================================
ICMP: 192.168.1.7 00-0C-00-00-00-90 Win-K8gege VMware
ICMP: 192.168.1.1 94-28-00-00-00-4E NewH3C
ICMP: 192.168.1.30 08-1F-00-00-00-EA Tp-Link
ICMP: 192.168.1.4 00-0C-00-00-00-1C VMware
MAC: 192.168.1.20 00-0C-00-00-00-50 VMware
ICMP: 192.168.1.2 38-AD-00-00-00-1F NewH3C
=============================================
OnlinePC:6

A机器关机

A机器关机后,发现无法探测MAC,说明能获取到MAC,机器肯定在线
Ladon 192.168.1.1/24 OnlinePC
=============================================
ICMP: 192.168.1.7 00-0C-00-00-00-90 Win-K8gege VMware
ICMP: 192.168.1.1 94-28-00-00-00-4E NewH3C
ICMP: 192.168.1.4 00-0C-00-00-00-1C VMware
ICMP: 192.168.1.30 08-1F-00-00-00-EA Tp-Link
ICMP: 192.168.1.2 38-AD-00-00-00-1F NewH3C
=============================================
OnlinePC:5

结论

开机状态下,开启系统防火墙后,无法PING通机器(默认配置)
但可获取远程机器MAC,因此可通过MAC探测目标主机是否存活

疑问

1.有人问我Ladon扫描出来的存活机器,为何PING不通呢?是不是不准?
答:首先机器存活,但相关端口未开放,如3389没开,你当然连不上。
同理防火墙默认根本不允许ICMP协议通过,你PING不通很正常。Ladon
通过其它方式探测到存活,而非单纯的ICMP,PING不通并不代表关机
上面的实验结果已充分说明,用其它工具扫描可能会漏掉禁PING机器

2.有人问我为什么新版的OnlinePC比之前慢了,以前3秒可扫一个C段。
再重复一次,Ladon的OnlinePC不只是单纯的通过ICMP检测存活主机。
打个比方一个人自己开车去北京,中途车坏了他就不去了,事情结束
如果车坏了,找人来修或换乘轮船,最后到达北京时间是不是多了。
新版的先PING机器,不通并没有结束,而是再尝试使用其它协议探测
最简单的一个问题,你是想要扫描结果更准更多,还是结果少速度快
再者以前可能3秒至几秒,现在可能几秒至13秒,才多几秒钟也不慢啊

以上两个问题是我发此文章的主要原因,怕还会有很多人问同样的问题

28种方法

Ladon以下模块均可用于探测存活主机,不要死板的只用OnlinePC
或者只用其它只是用PING来扫描的工具,得到的结果错过很多机器
可根据实际情况使用以下模块探测存活主机,如WAF禁用HTTP协议
采用HTTP协议的模块就不要用了,即便同样是HTTP,模块结果不同
如WhatCMS识别到CMS才回显,WebScan还会返回HttpBanner。
所以同个协议,有些模块扫不出东西,不代表防火墙禁止该协议。

如大家最容易理解的扫445端口发现不开放,不代表TCP协议禁用
因为人家怕你用MS17010漏洞一键GETSHELL,所以禁止了共享而已
如果要精准探测存活主机,就得使用多个方式才能深入拓展内网

ID模块名称功能说明采用协议用法
1OnlinePC存活主机信息ICMP、MAC、DNSLadon 192.168.1.1/24 OnlinePC
2OnlineIP存活主机(IP)ICMP、MAC、DNSLadon 192.168.1.1/24 OnlineIP
3UrlScanURL域名扫描HTTPLadon 192.168.1.1/24 UrlScan
4SameWeb同服域名扫描HTTPLadon 192.168.1.1/24 SameWeb
5WebScanWeb信息扫找HTTPLadon 192.168.1.1/24 WebScan
6HostIP主机名解析DNSLadon Win-K8gege HostIP
7DomainIP域名解析DNSLadon k8gege.org DomainIP
8OsScan操作系统版本MAC、DNS、SMB、HTTP、RDP、TCP等Ladon 192.168.1.1/24 OsScan
9PortScan扫描BannerTCPLadon 192.168.1.1/24 PortScan
10WhatCMSWeb指纹识别HTTPLadon 192.168.1.1/24 WhatCMS
11CiscoScan思科扫描HTTP、TCPLadon 192.168.1.1/24 CiscoScan
12EnumMssqlMSSQL主机MSSQLLadon EnumMssql
13EnumShare共享主机SMBLadon EnumShare
14LdapScanLDAP主机/389端口/密码爆破LDAP、TCPLadon 192.168.1.1/24 LdapScan
15FtpScanFTP主机/21端口/密码爆破FTP、TCPLadon 192.168.1.1/24 FtpScan
16SmbScan445端口/密码爆破SMB、TCPLadon 192.168.1.1/24 SmbScan
17WmiScan135端口/密码爆破WMI、TCPLadon 192.168.1.1/24 WmiScan
18SmbHash445端口/密码爆破SMB、TCPLadon 192.168.1.1/24 SmbHash
19WmiHash135端口/密码爆破WMI、TCPLadon 192.168.1.1/24 WmiHash
20SshScan22端口/密码爆破SSH、TCPLadon 192.168.1.1/24 SshScan
21MssqlScan1433端口/密码爆破MSSQL、TCPLadon 192.168.1.1/24 MssqlScan
22OracleScan1521端口/密码爆破Oracle、TCPLadon 192.168.1.1/24 OracleScan
23MysqlScan3306端口/密码爆破MYSQL、TCPLadon 192.168.1.1/24 MysqlScan
24VncScan5900端口/密码爆破VNC、TCPLadon 192.168.1.1/24 VncScan
25MS17010MS17010漏洞检测TCP、SMBLadon 192.168.1.1/24 MS17010
26AdiDnsDump域内存活机器DNS、LDAPLadon AdiDnsDump 域机器IP
27FtpSnifferFtp密码嗅探FTPLadon FtpSniffer 192.168.1.8
28HttpSnifferHTTP密码嗅探HTTPLadon HTTPSniffer 192.168.1.8

PS: Ladon 6.2开始密码爆破模块,在无帐密文件的情况下,仅探测协议或对应端口
当然所有密码爆破均可自定义端口爆破,但自定义端口可能只支持一台不支持批量
具体看Ladon对应模块的详细文档,嗅探模块嗅探出HTTP或FTP帐密同时也证明其存活

+知识星球


知识来源: k8gege.org/p/48225.html

阅读:53063 | 评论:0 | 标签:防火墙

想收藏或者和大家分享这篇好文章→复制链接地址

“Ladon中28种探测存活主机方法(含绕过防火墙探测)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云