nmap加载nse脚本在内网渗透中的使用-上
转载自:https://mp.weixin.qq.com/s/zEgHxJEOfaiYVZYmg7NnXA?
大多数情况下,大家都认为nmap只是一个扫描工具,而不把当成是一个渗透工具。nmap集成了大量优秀的nse脚本,可以帮助我们在一些比较严苛的环境下进行内网渗透,特别是当我们控制了一台低权限的*nix平台的机器,需要对域渗透。nmap提供了很多有效的脚本,不需要依赖其他第三方的工具,对内网机器进行渗透测试。在早期的linux发型版本中,大部分都默认安装了nmap。这里我总结一些常用的内网渗透脚本,希望对大家有所帮助。
友情提示:入侵有风险,扫描需谨慎
smb-enum-domains.nse 对域控制器进行信息收集扫描,可以获取主机信息,用户,密码策略可以用的用户等
nmap --script smb-enum-domains.nse -p445 <host>
sudo nmap -sU -sS --script smb-enum-domains.nse -p U:137,T:139 <host>
Script Output
Host script results:
| smb-enum-domains:
| WINDOWS2000
| Groups: n/a
| Users: Administrator, blah, Guest, testpass, ron, test, user
| Creation time: 2009-10-17 12:45:47
| Passwords: min length: n/a; min age: 5 days; max age: 100 days; history: 10 passwords
| Properties: Complexity requirements exist
| Account lockout: 5 attempts in 30 minutes will lock out the account for 30 minutes
| Builtin
| Groups: Administrators, Backup Operators, Guests, Power Users, Replicator, Users
| Users: n/a
| Creation time: 2009-10-17 12:45:46
| Passwords: min length: n/a; min age: n/a days; max age: 42 days; history: n/a passwords
|_ Account lockout disabled
smb-enum-users.nse,在进行域渗透的时候,有了域内某台主机的权限,但是权限有限,不能获取更多的域用户信息的时候,可以借助这个脚本对域控制器进行扫描
nmap --script smb-enum-users.nse -p445 <host>
sudo nmap -sU -sS --script smb-enum-users.nse -p U:137,T:139 <host>
Script Output
Host script results:
| smb-enum-users:
|_ |_ Domain: RON-WIN2K-TEST; Users: Administrator, Guest, IUSR_RON-WIN2K-TEST, IWAM_RON-WIN2K-TEST, test1234, TsInternetUser
Host script results:
| smb-enum-users:
| | RON-WIN2K-TEST\Administrator (RID: 500)
| | | Description: Built-in account for administering the computer/domain
| | |_ Flags: Password does not expire, Normal user account
| | RON-WIN2K-TEST\Guest (RID: 501)
| | | Description: Built-in account for guest access to the computer/domain
| | |_ Flags: Password not required, Password does not expire, Normal user account
| | RON-WIN2K-TEST\IUSR_RON-WIN2K-TEST (RID: 1001)
| | | Full name: Internet Guest Account
| | | Description: Built-in account for anonymous access to Internet Information Services
| | |_ Flags: Password not required, Password does not expire, Normal user account
| | RON-WIN2K-TEST\IWAM_RON-WIN2K-TEST (RID: 1002)
| | | Full name: Launch IIS Process Account
| | | Description: Built-in account for Internet Information Services to start out of process applications
| | |_ Flags: Password not required, Password does not expire, Normal user account
| | RON-WIN2K-TEST\test1234 (RID: 1005)
| | |_ Flags: Normal user account
| | RON-WIN2K-TEST\TsInternetUser (RID: 1000)
| | | Full name: TsInternetUser
| | | Description: This user account is used by Terminal Services.
|_ |_ |_ Flags: Password not required, Password does not expire, Normal user account
smb-enum-shares.nse 遍历远程主机的共享目录
nmap --script smb-enum-shares.nse -p445 <host>
sudo nmap -sU -sS --script smb-enum-shares.nse -p U:137,T:139 <host>
Script Output
Host script results:
| smb-enum-shares:
| account_used: WORKGROUP\Administrator
| ADMIN$
| Type: STYPE_DISKTREE_HIDDEN
| Comment: Remote Admin
| Users: 0
| Max Users: <unlimited>
| Path: C:\WINNT
| Anonymous access: <none>
| Current user access: READ/WRITE
| C$
| Type: STYPE_DISKTREE_HIDDEN
| Comment: Default share
| Users: 0
| Max Users: <unlimited>
| Path: C:\
| Anonymous access: <none>
| Current user access: READ
| IPC$
| Type: STYPE_IPC_HIDDEN
| Comment: Remote IPC
| Users: 1
| Max Users: <unlimited>
| Path:
| Anonymous access: READ
|_ Current user access: READ
smb-enum-processes.nse 通过smb对主机的系统进程进行遍历,通过这些信息,可以知道目标主机上运行软件信息,选择合适的漏洞或者规避防火墙以及杀毒软件。
nmap --script smb-enum-processes.nse -p445 <host>
sudo nmap -sU -sS --script smb-enum-processes.nse -p U:137,T:139 <host>
Script Output
Host script results:
| smb-enum-processes:
|_ |_ Idle, System, smss, csrss, winlogon, services, logon.scr, lsass, spoolsv, msdtc, VMwareService, svchost, alg, explorer, VMwareTray, VMwareUser, wmiprvse
--
Host script results:
| smb-enum-processes:
| `+-Idle
| | `-System
| | `-smss
| | `+-csrss
| | `-winlogon
| | `+-services
| | | `+-spoolsv
| | | +-msdtc
| | | +-VMwareService
| | | +-svchost
| | | `-alg
| | +-logon.scr
| | `-lsass
| +-explorer
| | `+-VMwareTray
| | `-VMwareUser
|_ `-wmiprvse
--
Host script results:
| smb-enum-processes:
| PID PPID Priority Threads Handles
| ----- ----- -------- ------- -------
| 0 0 0 1 0 `+-Idle
| 4 0 8 49 395 | `-System
| 252 4 11 3 19 | `-smss
| 300 252 13 10 338 | `+-csrss
| 324 252 13 18 513 | `-winlogon
| 372 324 9 16 272 | `+-services
| 872 372 8 12 121 | | `+-spoolsv
| 896 372 8 13 151 | | +-msdtc
| 1172 372 13 3 53 | | +-VMwareService
| 1336 372 8 20 158 | | +-svchost
| 1476 372 8 6 90 | | `-alg
| 376 324 4 1 22 | +-logon.scr
| 384 324 9 23 394 | `-lsass
| 1720 1684 8 9 259 +-explorer
| 1796 1720 8 1 42 | `+-VMwareTray
| 1808 1720 8 1 44 | `-VMwareUser
|_ 1992 580 8 7 179 `-wmiprvse
smb-enum-sessions.nse 通过smb获取域内主机的用户登录session,查看当前是否有用户登录,对于我们抓取用户hash以及避免同时登陆被用户发现。
nmap --script smb-enum-sessions.nse -p445 <host>
sudo nmap -sU -sS --script smb-enum-sessions.nse -p U:137,T:139 <host>
Script Output
Host script results:
| smb-enum-sessions:
| Users logged in:
| | TESTBOX\Administrator since 2008-10-21 08:17:14
| |_ DOMAIN\rbowes since 2008-10-20 09:03:23
| Active SMB Sessions:
|_ |_ ADMINISTRATOR is connected from 10.100.254.138 for [just logged in, it's probably you], idle for [not idle]
smb-os-discovery.nse 通过smb协议来收集目标主机的操作系统,计算机名,域名,全称域名,域林名称,NetBIOS机器名,NetBIOS域名,工作组,系统时间。
nmap --script smb-os-discovery.nse -p445 127.0.0.1
sudo nmap -sU -sS --script smb-os-discovery.nse -p U:137,T:139 127.0.0.1
Script Output
Host script results:
| smb-os-discovery:
| OS: Windows Server (R) 2008 Standard 6001 Service Pack 1 (Windows Server (R) 2008 Standard 6.0)
| OS CPE: cpe:/o:microsoft:windows_2008::sp1
| Computer name: Sql2008
| NetBIOS computer name: SQL2008
| Domain name: lab.test.local
| Forest name: test.local
| FQDN: Sql2008.lab.test.local
| NetBIOS domain name: LAB
|_ System time: 2011-04-20T13:34:06-05:00
nmap加载nse脚本在内网渗透中的使用-上的更多相关文章
- nmap加载nse脚本在内网渗透中的使用-下
smb-ls.nse 列举共享目录内的文件,配合smb-enum-share使用nmap -p 445 <ip> --script smb-ls --script-args 'share= ...
- psexec与wmi在内网渗透的使用
psexec是一个很好的管理工具,在内网渗透中也被广泛使用. 但太“出名”也往往会遭来各种麻烦. 在有安全监听.防护的内网中使用psexec会容易触发告警. 1.psexec用法(前提:对方要开启ad ...
- 内网渗透中的mimikatz
0x00 前言 上篇测试了中间人攻击利用框架bettercap,这次挑选一款更具代表性的工具--mimikatz 0x01 简介 mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么 ...
- 内网渗透中mimikatz的使用
0x01 简介 mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么简单 0x02 测试环境 网络资源管理模式: 域 已有资源: 域内一台主机权限 操作系统:win7 x64 域权限 ...
- 探真无阻塞加载javascript脚本技术,我们会发现很多意想不到的秘密
下面的图片是我使用firefox和chrome浏览百度首页时候记录的http请求 下面是firefox: 下面是chrome: 在浏览百度首页前我都将浏览器的缓存全部清理掉,让这个场景最接近第一次访问 ...
- 使用jQuery加载script脚本
原文链接: Loading Scripts with jQuery JavaScript loaders加载器简单强大而又非常有用.我在博客上介绍过其中一些,例如 curljs 和 LABjs ,也 ...
- 动态加载JS脚本
建立dynamic.js文件,表示动态加载的js文件,里面的内容为: function dynamicJS() { alert("加载完毕"); } 如下方法中的html页面和dy ...
- 实用技巧:使用 jQuery 异步加载 JavaScript 脚本
JavaScript 加载器在 Web 开发中是非常强大和有用的工具.目前流行的几个加载器,像 curljs.LABjs 和 RequireJS 使用都很广泛.他们功能强大的,但有些情况下可以有更简单 ...
- 解决ArcGIS API for Silverlight 加载地图的内外网访问问题
原文:解决ArcGIS API for Silverlight 加载地图的内外网访问问题 先上一个类,如下: public class BaseClass { public static string ...
随机推荐
- 接口自动化测试平台 http://120.79.232.23
接口自动化测试平台 http://120.79.232.23 T Name Latest commit message Commit time .idea 修改自动化用例修改接口时,其他接口信息被删的 ...
- JavaScript学习之内存
初学JavaScript时,看红皮书了解了JS基本类型和引用类型在内存中的位置,结果看了简书里的一篇文章,发现对这块的了解还是有些缺陷. 基本类型 JavaScript中的基本类型有五种:Undefi ...
- 阿里大数据竞赛season1 总结
关于样本测试集和训练集数量上,一般是选择训练集数量不小于测试集,也就是说训练集选取6k可能还不够,大家可以多尝试得到更好的效果: 2. 有人提出归一化方面可能有问题,大家可以查查其他的归一化方法,但是 ...
- 【转载】java 获取路径的各种方法
转载只供个人学习参考,查看请前往原出处:http://www.cnblogs.com/guoyuqiangf8/p/3506768.html 主要方法有: (1).request.getRealPat ...
- 线程状态,BLOCKED和WAITING有什么区别
线程可以通过notify,join,LockSupport.park方式进入wating状态,进入wating状态的线程等待唤醒(notify或notifyAll)才有机会获取cpu的时间片段来继续执 ...
- 把.net Core 项目迁移到VS2019 for MAC
VS2019 for MAC已经发布很长时间了,本以为项目移过去很麻烦,一直没有动作,最近呆家里快发霉了,决定研究研究,没想到一句代码都不需要动,直接完功,这下可以生产了.同学们可以放心整了. 本次平 ...
- 谈谈集合.Stream Api
1. 什么是stream API Java8提供的stream API可以让程序员像操作数据库一样操作集合.Stream API可以极大提高Java程序员的生产力,让程序员写出高效率.干净.简洁的代码 ...
- EF多租户实例:如何快速实现和同时支持多个DbContext
前言 上一篇随笔我们谈到了多租户模式,通过多租户模式的演化的例子.大致归纳和总结了几种模式的表现形式. 并且顺带提到了读写分离. 通过好几次的代码调整,使得这个库更加通用.今天我们聊聊怎么通过该类库快 ...
- 添加bash命令
cd ~/.bash vim mya 键入 #!/bin/bash hostname -i :x 保存退出 source ~/.bash_profile 生效
- selenium+chromdriver 动态网页的爬虫
# 获取加载更多的数据有 2 种方法# 第一种就是直接找数据接口, 点击'加载更多' 在Network看下, 直接找到数据接口 # 第二种方法就是使用selenium+chromdriver # se ...