您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

Nmap抓包分析与绕过Windows防火墙扫内网存活主机

时间:2022-10-13 19:57:05  来源:搜狐号  作者:合天网安实验室

前言

在打靶场的过程中使用Nmap时发现点小问题,借此机会详细分析下情况,于是有了这篇文章。

本文包含以下内容:

  1. 1. Nmap抓包分析
  2. 2. 内网下绕过windows防火墙扫描存活主机

这里主要是针对Nmap进行讨论,实战中当然哪个快用哪个。不过万变不离其宗,哪怕稍微了解下其原理都受益无穷。

防火墙

这里的防火墙值得是Windows server自带的防火墙,主要绕过其两个防御规则:

1.禁止ICMP回显

2.隐藏模式

具体见 Stealth Mode in Windows Firewall with Advanced Security,大意为:不会使用ICMP不可达响应UDP查询,不使用RST响应TCP查询。默认开启。

https://shamsher-khan-404.medium.com/understanding-nmap-scan-with-wireshark-5144d68059f7

-sn :禁用端口扫描

-P* 用于选择不同的PING方法,用于存活扫描

Nmap抓包分析 拓扑图

关闭防火墙便于查看数据包

主机发现(Ping) -PS (TCP SYN)

TCP SYN Ping:发送单个TCP SYN包到指定端口检测主机是否存活,默认80端口。该扫描就是经典的半开放扫描。

请求局域网主机135端口(开启)

nmap -sn -PS135 172.16.1.128-vvv -n --disable-arp-ping

#-n 禁用DNS解析

注意nmap扫局域网存活主机都会预先进行arp扫描,在这里禁用了端口扫描,意味着nmap只会进行存活扫描,当nmap进行arp扫描后发现主机存活就不会进行后续操作,wireshark也就抓不到包,所以使用 --disable-arp-ping 禁用arp扫描。

image image

image

请求局域网主机666端口(关闭)

nmap -sn -PS666 172.16.1.128-vvv -n --disable-arp-ping

image image

image

请求远程主机135端口(开启):

还是这里会发现,和扫局域网比起来多了很多包,为什么和扫局域网情况不一样?

还是fofa随便找个开启135端口的IP:

image

image

这里会发现,和扫局域网比起来多了很多包。

image

请求远程主机6666端口(关闭):

image

奇怪的是,明明远程主机返回了RST/ACK包,但nmap没有接收到。

image

为什么会有这样的差别?翻了翻nmap官方文档,其中有这样一句话:

The RST packet is sent by the kernel of the machine running Nmap in response to the unexpected SYN/ACK, not by Nmap itself

RST报文是运行Nmap的机器的内核为响应意外的SYN/ACK而发送的,而不是Nmap本身。

突然想到,我的kali是放在vmware,以nat形式接入网络,这样偶尔会出现点小问题。

于是我在windows上装了个nmap再进行测试:

image

再看下抓包

image

image

发现这里没发RST包

image

关掉防火墙再试,还一下发俩RST……

image

接下来将vmware网络模式换为桥接,发现正常了。说明是NAT网络的问题。

-PA (TCP ACK)

TCP ACK Ping:发送单个TCP ACK包到指定端口检测主机是否存活,默认80端口

请求局域网主机135端口(开启)

一般ACK包是双方建立起连接发送的,但实际上不存在连接,无论端口是否开启,远程主机都会用RST包来回应,以此来判断主机存活。当然很多防御策略都会丢弃无效包防止被检测。

nmap -sn -PA135 172.16.1.128-vvv -n --disable-arp-ping

image image

image

请求局域网主机666端口(关闭)

nmap -sn -PA666 172.16.1.128-vvv -n --disable-arp-ping

image image -PU (UDP)

UDP Ping:发送UDP包到指定端口检测主机是否存活,默认40125端口。特定端口会发送特定的UDP包以便于获取更好的响应。

按照最新官方文档解释,该包发送大概有以下几种情况:

  1. 1. 端口关闭->返回ICMP端口不可达包->判断主机存活。
  2. 2. 返回其他ICMP错误,如主机/网络不可达或TTL超标等->判断停机。
  3. 3. 端口开启且该服务不响应—>nmap未接收到返回包->判断停机。
  4. 4. 端口关闭且协议不匹配->返回ICMP端口不可达包->判断主机存活。

这就是为什么默认要用40125这么冷门的端口,避免有服务使用该端口。

nmap -sn -PA135 172.16.1.128-vvv -n --disable-arp-ping

返回ICMP端口不可达,仍旧判断出主机存活。

image image

局域网没什么问题,扫外网的话同样有前文说的Vmware Nat网络问题,注意一下就好。

-PY (SCTP INIT)

SCTP INIT Ping:发送包含最小INIT块的SCTP包到指定端口检测主机是否存活,默认80端口。SCTP可看做TCP协议的改版。

nmap -sn -PY135 172.16.1.128-vvv -n --disable-arp-ping

返回协议不可达,以此判断出主机存活。

image image -PR (ARP)

ARP Ping:ARP扫描,Nmap扫内网最常用的方式。

nmap -sn -PR 172.16.1.128-vvv -n

接收到arp返回包,判断主机存活。

image image -PE/PP/PM (ICMP)

ICMP Ping:三种ICMP标准请求,如果防火墙关掉ICMP回显则收不到reply。

第一个就是常说的Ping。

image

第二个是时间戳请求

image

第三个是地址掩码请求

image

ICMP标准还有个信息请求,但目前未被广泛支持,所以Nmap没有做相关功能。

-PO (IP Protocol)

IP Protocol Ping:默认发送ICMP(协议1)、IGMP(协议2)和IP-in-IP(协议4),更改协议需要改nmap.h文件中的 DEFAULT_PROTO_PROBE_PORT_SPEC 。目前意义不大。

nmap -sn -PO -vv 172.16.1.128-n --disable-arp-ping

image image 端口扫描(Scan)

其实端口扫描(Scan)很多参数和主机发现(Ping)的前期抓包情况是一样的。Ping相当于点到为止,根据回显发现主机存活即可,而Scan还需要进一步分析,判断端口是否开启、判断什么服务等。

由于大部分Scan参数与Ping参数请求包一致,而部分Scan参数在本文中并未体现,所以暂且贴出三个参数抓包情况。

-sS (TCP SYN)

TCP SYN scan:经典的半开放扫描。

nmap -Pn-sS -p 135-vvv 172.16.1.128-n

image

可见发送的请求包和 -PS 是一样的,至于Nmap如何判断如何分析,这里就不关心了。

image -sT (TCP connect)

TCP connect scan:TCP连接扫描,三次握手确认目标后直接发送RST结束当前连接,跳过四次挥手阶段。

端口开启

nmap -Pn-sT -p 135172.16.1.128-vvv -n --disable-arp-ping

# -Pn 不进行主机存活探测

image image

image

端口关闭

image image

image

可以发现, -sT 和 -PS 两个扫描的抓包情况十分接近,只有收到SYN/ACK返回包后应答的不同,这也是 -PS 被称为半开放扫描的原理。

-sU (UDP)

UDP scans:发送UDP包进行扫描

nmap -Pn-sU -p 135172.16.1.128-vvv -n --disable-arp-ping

这里显示 open|filtered ,为什么呢?

因为UDP包请求到开放的端口,经常没有回显。而且这里使用 -Pn 跳过了主机存活探测,默认主机存活,又因为收不到回显,所以nmap无法判断该端口是开启还是被防御规则过滤。

image

抓包情况和 -PU 基本一致:

image 绕防火墙测试 拓扑图

测试 nmap -sn -PS135 172.16.1.128-vvv -n --disable-arp-ping

未收到[SYN, ACK]返回包,判断主机离线。

nmap -sn -PA135 172.16.1.128-vvv -n --disable-arp-ping

未收到[RST, ACK]返回包,判断主机离线。

nmap -sn -PU135 172.16.1.128-vvv -n --disable-arp-pingnmap -sn -PY135 172.16.1.128-vvv -n --disable-arp-ping

nmap -sn -PR 172.16.1.128-vvv -n

成功收到ARP回显,判断主机存活:

这样一圈测试下来,发现只有ARP扫描可以。原因也很简单,ARP扫描不会走靶机防火墙,而是以广播的形式进行扫描;而其他参数不是被禁ICMP回显规则拦截就是被隐身模式过滤。

后面又尝试了常用的nbt扫描、smb扫描、以及Nmap其他参数,仍然绕不过防火墙。

WINRM

难道就止步于此了吗?突然想到,之前用Ladon插件扫的时候,没见什么防火墙拦截。

于是拿Ladon测试了下,选多协议探测存活主机,一扫,果真有:

WIMRM,很熟悉,这也能拿来扫内网?

简单概述下:WIMRM是windows自带的服务,开启服务后防火墙默认放心5985(HTTP)/5986(HTTPS)端口,平常拿来横向移动。

由于没搜到Ladon源码怎么实现该扫描,谷歌找了找WINRM的文章: WinRM P.NETration Testing

其中有一行代码:

test-wsman-computername"172.16.1.128"

很快就有回显:

随便输了个其他IP,报错:

显然,使用该服务也可以绕过Windows防火墙进行存活主机扫描。

结语

总结一下:

  1. 1. arp扫描可以使用工具,但到了扫内网的情况,都是拿shell了,所以直接cmd命令: arp/a 即可。
  2. 2. WINRM test - wsman - computername "172.16.1.128"

至于如何绕防火墙进行端口扫描,留到以后再说吧。



Tags:Nmap抓包   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Nmap抓包分析与绕过Windows防火墙
前言在打靶场的过程中使用Nmap时发现点小问题,借此机会详细分析下情况,于是有了这篇文章。本文包含以下内容: 1. Nmap抓包分析 2. 内网下绕过Windows防火墙扫描存活主机这里主...【详细内容】
2022-10-14  Search: Nmap抓包  点击:(293)  评论:(0)  加入收藏
Nmap抓包分析与绕过Windows防火墙扫内网存活主机
前言在打靶场的过程中使用Nmap时发现点小问题,借此机会详细分析下情况,于是有了这篇文章。本文包含以下内容: 1. Nmap抓包分析 2. 内网下绕过Windows防火墙扫描存活主机这里主...【详细内容】
2022-10-13  Search: Nmap抓包  点击:(279)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(3)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(55)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(136)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(83)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(107)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(140)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(177)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(161)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(221)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条