• Ladon枚举远程主机网卡信息(OXID定位多网卡主机)


    前言

    OXID Resolver是在支持COM +的每台计算机上运行的服务。它执行两项重要职责:
    存储与远程对象连接所需的RPC字符串绑定,并将其提供给本地客户端。
    将ping消息发送到本地计算机具有客户端的远程对象,并接收在本地计算机上运行的对象的ping消息。

    image

    我们只需要向远程主机发以下两个包,再解析返回结果即可。

            static byte[] s1 ={
    0x05,0x00,0x0b,0x03,0x10,0x00,0x00,0x00,
    0x48,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
    0xb8,0x10,0xb8,0x10,0x00,0x00,0x00,0x00,
    0x01,0x00,0x00,0x00,0x00,0x00,0x01,0x00,
    0xc4,0xfe,0xfc,0x99,0x60,0x52,0x1b,0x10,
    0xbb,0xcb,0x00,0xaa,0x00,0x21,0x34,0x7a,
    0x00,0x00,0x00,0x00,0x04,0x5d,0x88,0x8a,
    0xeb,0x1c,0xc9,0x11,0x9f,0xe8,0x08,0x00,
    0x2b,0x10,0x48,0x60,0x02,0x00,0x00,0x00
         
                              };
    
            static byte[] s2 ={
    
    0x05,0x00,0x00,0x03,0x10,0x00,0x00,0x00,
    0x18,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
    0x00,0x00,0x00,0x00,0x00,0x00,0x05,0x00
         
                              };
    

    程序版本

    Ladon >=7.0

    模块名称

    EthScan
    OxidScan

    模块说明

    通过Windows的一些DCOM接口进行网卡进行信息枚举,定位多网卡主机,在无权限的情况下得知远程主机是否含有内网甚至VPN;当然也可以判定Windows主机,K8抓包发现xp和03系统有一段相同特征,WIN7-WIN10等也是相同特征,所以可区分是否WIN7以上系统。

    前提条件

    1.Windows主机
    2.开放135端口
    3.DCOM>=5.6(老外原文说5.6版本才可用,可能他写错了)
    4.dcomcnfg配置中的“面向连接的TCP/IP”协议没有被移除

    PS: 由于有一定条件限制,若该模块无法定位多网卡主机,也可使用OnlinePC、OsScan、WebScan、WhatCMS等模块探测,如多个IP同一个机器名,网样的网站标题,或同样的网卡MAC地址,也可定位多网卡主机,只是没有通过该方法好,毕竟一个是100%,一个是90%,比如负载均横同样的网站却不在同一台机器上。

    测试系统

    测试XP/Win7/Win8/Win10,2003/2008/2012均成功,2016和2019无环境未测,应该支持。

    EthScan模块用法

    扫描指定主机

    Ladon 192.168.1.8 EthScan

    扫描C段主机

    Ladon 192.168.1.8/24 EthScan
    Ladon 192.168.1.8/C EthScan

    image

    批量扫描IP列表主机

    ip.txt里放需要扫描的IP,使用以下命令即可
    Ladon EthScan

    批量检测IP段(/24)

    ip24.txt里放需要扫描的IP段,使用以下命令即可
    Ladon EthScan

    批量检测IP段(/16)

    ip16.txt里放需要扫描的IP段,使用以下命令即可
    Ladon EthScan

    关闭135端口

    防止通过135网卡探测

    运行dcomcnfg,打开“组件服务”→“计算机”,在“我的电脑”上右键点击,选“属性”;然后点默认属性,把“在此计算机上启用分布式COM(E)”的勾去掉,接着返回到“默认协议”,移除“面向连接的TCP/IP”协议。重启后发现135端口还是开放,但已无法探测机器名和网卡,不过WmiScan还可以扫描到密码。

    image

    彻底关闭135端口

    运行regedit,进入注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc
    右键点击Rpc,新建——项——输入 Internet
    然后重启,再cmd,输入netstat -an,就发现135端口彻底消失,此时无法枚举网卡信息,也无法WMI扫描密码,无法WMI远程执行等。

    PS:由于很多服务是互相依赖的关系,不推荐关闭以免影响系统服务,比如计划任务程序无法正常运行,磁盘碎片整理又依赖计划任务而打不开等。

    参考

    https://airbus-cyber-security.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/

    https://payloads.online/archivers/2020-07-16/1?nsukey=oZl56gbIGgfxQcx%2F0HMnIkDOK1FvyCWabho4pheMAZ8WRjelIN1lFyf%2FmHcseWWhqnr%2FmmH2auwGTJDaANogm5UzmXCLggfgR%2FMkudQEJNkqWUsU6CSgCb%2FzUbrWP8kHd5jW5Ef%2FS7JxhKfzSFOdU7xdbahjeLVqv8CRKy3Wbv1gjhZZNsh6HJYxmWJ0AjK6mrrPaBaTRWg1zswyqwb1ng%3D%3D

    工具下载

    最新版本:https://k8gege.org/Download
    历史版本: https://github.com/k8gege/Ladon/releases

  • 相关阅读:
    Linux进程管理及while循环(转)
    AT5661-[AGC040C]Neither AB nor BA【模型转换】
    CF573D-Bear and Cavalry【动态dp】
    关于专人整理和分析需求
    Codeforces 1005D Polycarp and Div 3
    [Luogu]P5513 [CEOI2013]Board
    IDEA Mybatis 中文数据添加到MySQL,显示乱码
    如何比较两个word文档的差异
    抗体计算设计
    抗体
  • 原文地址:https://www.cnblogs.com/k8gege/p/13335242.html
Copyright © 2020-2023  润新知