内网安全攻防读书笔记（5）——探测域内存活主机和端口扫描

article/2025/9/23 1:27:23

实际探测可以在白天和晚上分别进行探测。

1.利用NetBIOS快速探测内网

nbtscan工具已经上传到我的资源，大家可以下载。此工具用于扫描本地或远程TCP/IP网络上开放NetBIOS名称服务器。有Windows和Linux两个版本，将其上传到目标服务器就可以直接使用。使用命令如下：

nbtscan.exe 192.168.1.0/24

在这里插入图片描述

2.利用ICMP协议快速探测内网

依次对内网中每个IP地址执行ping命令，可以快速找出内网中所有存活的主机。在渗透测试中，可以使用如下命令循环探测整个C段，如下：

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="

在这里插入图片描述
也可以使用VBS脚本进行探测，脚本如下：

strSubNet = "192.168.1."
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTS = objfso.CreateTextFile("C:\Users\jjwzzd\Desktop\1.txt")
For i = 1 To 254
StrComputer = strSubNet & i
blnResult = Ping(strComputer)
If blnResult = True Then
objTS.WriteLine strComputer & " is alived! :)"
End If
Next
objTS.close
WScript.Echo "ALL Ping Scan ,All Done!:)"
Function Ping(StrComputer)
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * From Win32_PingStatus Where Address='" & StrComputer & "'")
For Each objItem In colItems
Select case objItem.StatusCode
Case 0 
Ping = True
End select
Exit For
Next
End Function

运行脚本命令：

csript C:\Users\xxx\Desktop\1.vbs

3.运行Invoke-ARPScan.ps1脚本

 powershell.exe -exec bypass -Command "& {Import-Module Invoke-ARPScan.ps; Invoke-ARPScan -CIDR 192.168.1.0/24}" >>  C:\Users\Administrator\Desktop\log.txt

4.ScanLine探测内网端口

.\sl.exe -h -t 22,80,445,3389,1099,1433,2049 -u 53,161,137,139 -O c:\C:\Users\Administrator\Desktop\log.txt -p 192.168.1.1-254

-t 是指定TCP断就扫描
-u是指定UDP端口扫描

5.Nishang的Invoke-PortScan模块

Invoke-PortScan -StartAddress 192.168.250.1 -EndAddress 192.168.250.255 -ResolveHost

6.常见端口说明。

文件共享服务端口

端口号	端口说明	使用说明
21、22、69	FTP/TFTP文件传输协议	允许匿名上传、下载、爆破和嗅探操作
2049	NFS服务	配置不当
139	SAMBA服务	爆破、未授权访问、远程代码执行
389	LDAP目录访问协议	注入、允许匿名访问、弱口令

远程连接服务端口

端口号	端口说明	使用说明
22	SSH远程连接	爆破、SSH隧道及内网代理转发、文件传输
23	Telnet远程连接	爆破、嗅探、弱口令
3389	RDP远程桌面连接	Shift后门(Windows Server 2003 以下版本)、爆破
5900	VNC	弱口令爆破
5632	PcAnywhere	抓取密码、代码执行

WEB应用服务端口

端口号	端口说明	使用说明
80、443、8080	常见WEB服务端口	Web攻击、爆破、对应服务器版本漏洞
7001、7002	Weblogic控制台	Java反序列化、弱口令
8080、8089	JBoss/Resin/Jetty/Jenkins	反序列化、控制台弱口令
9090	WebSphere控制台	Java反序列化、弱口令
4848	GlassFish控制台	弱口令
1352	LotusDomino邮件服务	弱口令、信息泄露、爆破
10000	webmin控制面板	弱口令

数据库服务端口

端口号	端口说明	使用说明
3306	Mysql数据库	注入、提权、爆破
1433	MSSQL数据库	注入、提权、SA弱口令、爆破
1521	Oracle数据库	TNS爆破、注入、反弹shell
5432	PostgreSQL数据库	爆破、注入、弱口令
27017、27018	MongoDB数据库	爆破、未授权访问
6379	Redis数据库	未授权访问、弱口令爆破
5000	Sasbase/DB2数据库	爆破、注入