Ladon列舉遠端主機網絡卡資訊(OXID定位多網絡卡主機)
前言
OXID Resolver是在支援COM +的每臺計算機上執行的服務。它執行兩項重要職責:
儲存與遠端物件連線所需的RPC字串繫結,並將其提供給本地客戶端。
將ping訊息傳送到本地計算機具有客戶端的遠端物件,並接收在本地計算機上執行的物件的ping訊息。
我們只需要向遠端主機發以下兩個包,再解析返回結果即可。
static byte[] s1 ={ 0x05,0x00,0x0b,0x03,0x10,0x00,0x00,0x00, 0x48,0x00,0x00,0x00,0x01,0x00,0x00,0x00, 0xb8,0x10,0xb8,0x10,0x00,0x00,0x00,0x00, 0x01,0x00,0x00,0x00,0x00,0x00,0x01,0x00, 0xc4,0xfe,0xfc,0x99,0x60,0x52,0x1b,0x10, 0xbb,0xcb,0x00,0xaa,0x00,0x21,0x34,0x7a, 0x00,0x00,0x00,0x00,0x04,0x5d,0x88,0x8a, 0xeb,0x1c,0xc9,0x11,0x9f,0xe8,0x08,0x00, 0x2b,0x10,0x48,0x60,0x02,0x00,0x00,0x00 }; static byte[] s2 ={ 0x05,0x00,0x00,0x03,0x10,0x00,0x00,0x00, 0x18,0x00,0x00,0x00,0x01,0x00,0x00,0x00, 0x00,0x00,0x00,0x00,0x00,0x00,0x05,0x00 };
程式版本
Ladon >=7.0
模組名稱
EthScan
OxidScan
模組說明
通過Windows的一些DCOM介面進行網絡卡進行資訊列舉,定位多網絡卡主機,在無許可權的情況下得知遠端主機是否含有內網甚至VPN;當然也可以判定Windows主機,K8抓包發現xp和03系統有一段相同特徵,WIN7-WIN10等也是相同特徵,所以可區分是否WIN7以上系統。
前提條件
1.Windows主機
2.開放135埠
3.DCOM>=5.6(老外原文說5.6版本才可用,可能他寫錯了)
4.dcomcnfg配置中的“面向連線的TCP/IP”協議沒有被移除
PS: 由於有一定條件限制,若該模組無法定位多網絡卡主機,也可使用OnlinePC、OsScan、WebScan、WhatCMS等模組探測,如多個IP同一個機器名,網樣的網站標題,或同樣的網絡卡MAC地址,也可定位多網絡卡主機,只是沒有通過該方法好,畢竟一個是100%,一個是90%,比如負載均橫同樣的網站卻不在同一臺機器上。
測試系統
測試XP/Win7/Win8/Win10,2003/2008/2012均成功,2016和2019無環境未測,應該支援。
EthScan模組用法
掃描指定主機
Ladon 192.168.1.8 EthScan
掃描C段主機
Ladon 192.168.1.8/24 EthScan
Ladon 192.168.1.8/C EthScan
批量掃描IP列表主機
ip.txt裡放需要掃描的IP,使用以下命令即可
Ladon EthScan
批量檢測IP段(/24)
ip24.txt裡放需要掃描的IP段,使用以下命令即可
Ladon EthScan
批量檢測IP段(/16)
ip16.txt裡放需要掃描的IP段,使用以下命令即可
Ladon EthScan
關閉135埠
防止通過135網絡卡探測
執行dcomcnfg,開啟“元件服務”→“計算機”,在“我的電腦”上右鍵點選,選“屬性”;然後點預設屬性,把“在此計算機上啟用分散式COM(E)”的勾去掉,接著返回到“預設協議”,移除“面向連線的TCP/IP”協議。重啟後發現135埠還是開放,但已無法探測機器名和網絡卡,不過WmiScan還可以掃描到密碼。
徹底關閉135埠
執行regedit,進入登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
右鍵點選Rpc,新建——項——輸入 Internet
然後重啟,再cmd,輸入netstat -an,就發現135埠徹底消失,此時無法列舉網絡卡資訊,也無法WMI掃描密碼,無法WMI遠端執行等。
PS:由於很多服務是互相依賴的關係,不推薦關閉以免影響系統服務,比如計劃任務程式無法正常執行,磁碟碎片整理又依賴計劃任務而打不開等。
參考
工具下載
最新版本:https://k8gege.org/Download
歷史版本: https://github.com/k8gege/Ladon/releases