获取到边界服务器的权限后,有哪些方法可以快速找出内网中可能存活的主机

获取边界服务器权限后,可通过以下方法快速探测内网存活主机:

一、使用ICMP协议探测(Ping扫描)

  1. 直接Ping扫描

    • for /L %i in (1,1,254) do @ping -n 1 -w 50 192.168.1.%i | findstr "TTL"(Windows)
    • for i in {1..254}; do ping -c 1 192.168.1.$i | grep "ttl" & done(Linux)
    • 优点:简单快速,但易被防火墙拦截。

  2. 工具化扫描

    • fpingfping -a -g 192.168.1.0/24 2>/dev/null(Linux)
    • hping3:可发送定制化ICMP包绕过简单过滤。

二、基于ARP的探测(二层发现)

  1. ARP扫描

    • arp-scan --localnet(Linux,需安装arp-scan)
    • nmap -sn -PR 192.168.1.0/24(Nmap ARP扫描)
    • 优点:局域网内最准确,可发现禁Ping的主机。

  2. Windows ARP缓存

    • 查看已有缓存:arp -a
    • 结合for循环触发ARP请求更新缓存。

三、端口扫描(TCP/UDP探测)

  1. 快速TCP扫描

    • nmap -sn -PS22,80,443,445 192.168.1.0/24(TCP SYN Ping扫描常见端口)
    • masscan -p80 192.168.1.0/24 --rate=1000(高速扫描,注意带宽占用)

  2. UDP扫描

    • nmap -sn -PU53,161 192.168.1.0/24(探测DNS、SNMP等UDP服务)

四、利用内网DNS/历史记录

  1. 查询DNS缓存

    • Windows:ipconfig /displaydns
    • Linux:查看/etc/hosts、DNS日志或缓存服务(如systemd-resolve)

  2. 分析服务器通信记录

    • 检查边界服务器的连接记录:
      • netstat -ano(Windows)
      • ss -antpnetstat -plant(Linux)
    • 查看Web日志(如Apache/Nginx访问日志)中的内网IP。

五、利用Windows域环境信息

  1. 查询域控制器和主机

    • nltest /dclist:<域名>
    • net group "domain computers" /domain
    • 通过LDAP查询:ldapsearch -H ldap://<DC_IP> -x -b "dc=domain,dc=com"

  2. NetBIOS/WINS查询

    • nbtscan 192.168.1.0/24
    • Windows命令:nbtstat -A <IP>

六、利用已控主机的代理转发

  1. 通过SOCKS代理扫描

    • 通过EarthWorm/Neo-reGeorg等工具建立代理,使用Proxychains+Nmap扫描:
      proxychains nmap -sT -Pn 10.0.0.0/24

  2. 端口转发+扫描

    • 使用reGeorgssh -D建立隧道,配合Proxifier等工具使扫描流量通过代理。

七、被动信息收集

  1. 监听内网流量

    • 使用tcpdump/Wireshark抓包分析广播流量(如ARP、DHCP、NetBIOS)。
    • 命令:tcpdump -i eth0 arp or udp port 67 or udp port 137 -v

  2. 利用DHCP服务器记录

    • 若边界服务器是DHCP服务器,可直接查看分配记录(如/var/lib/dhcp/dhcpd.leases)。

八、自动化工具组合

  1. 使用内网扫描工具集

    • NishangInvoke-BasicPortScan -StartAddress 192.168.1.0 -EndAddress 192.168.1.255
    • Cobalt StrikeportscanARPScanner 模块
    • Metasploitauxiliary/scanner/discovery/arp_sweep

  2. 自定义脚本

    • 结合多线程ICMP/TCP/ARP扫描,提高效率(Python的scapy库)。

注意事项

  • 规避检测
    • 降低扫描频率,使用随机延迟(--max-rate 100--scan-delay 1s)。
    • 优先使用ARP或DNS记录等隐蔽方式。
  • 权限维持
    • 在边界服务器部署持久化后门,防止扫描过程中丢失权限。
  • 合规性
    • 仅在授权测试中使用,避免未经许可的内网探测。

快速启动建议

  1. 先执行arp -a或检查netstat现有连接。
  2. 使用Nmap快速扫描: 
    nmap -sn -PE -PS445,3389 -PU53 -T4 192.168.1.0/24 -oA alive_hosts
  3. 结合工具自动化:使用AutoRecon或自定义脚本组合ICMP/ARP/TCP扫描。

通过以上方法,可在短时间内绘制内网存活主机地图,为后续横向移动提供基础。

所有内容均由人工智能模型生成,其生成内容的准确性和完整性无法保证,不代表我们的态度或观点。

📚 相关文章


评论 (0)