在渗透中，当我们拿下一台服务器作为跳板机进一步进行内网渗透时，往往需要通过主机存活探测和端口扫描来收集内网资产。

本文主要是讲nmap的扫描和基于msf的扫描发现内网存活主机，每一个点都尽量详细介绍。

1.基于UDP的扫描

UDP简介：UDP（User Datagram Protocol）是一种无连接的协议，在第四层-传输层，处于IP协议的 上一层。

UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点，也就是说，当报 文发送之后，是无法得知其是否安全完整到达的。

UDP显著特性：

1.UDP 缺乏可靠性。UDP 本身不提供确认，超时重传等机制。

UDP 数据报可能在网络中被 复制，被重新排序，也不保证每个数据报只到达一次。2.UDP 数据报是有长度的。

每个 UDP 数据报都有长度，如果一个数据报正确地到达目的 地，那么该数据报的长度将随数据一起传递给接收方。

而 TCP 是一个字节流协议，没有任 何（协议上的）记录边界。

3.UDP 是无连接的。UDP 客户和服务器之前不必存在长期的关系。大多数的UDP实现中都 选择忽略源站抑制差错，在网络拥塞时，目的端无法接收到大量的UDP数据报

4.UDP 支持多播和广播

nmap扫描

nmao -sU -T5 -sV --max-retries 1 192.168.1.100 -p 500 （不推荐，理由慢）

-sU 基于UDP的扫描

-T5 nmap的扫描速度 -T（0-5）越大越快

-sV 探测开启的端口来获取服务、版本信息

--max-retries <tries> 扫描探测的上限次数设定

-p 只扫描指定端口

msf扫描

use auxiliary/scanner/discovery/udp_prob

use auxiliary/scanner/discovery/udp_sweep

use 引用

show options 显示可设置的参数

auxiliary （辅助）/ scanner（扫描）/discovery（发现）/udp_probe（探测）/udp_sweep(彻底搜索)

2.基于arp的扫描

ARP简介：ARP,通过解析网路层地址来找寻数据链路层地址的一个在网络协议包中极其重要的网络传输 协议。根据IP地址获取物理地址的一个TCP/IP协议。

主机发送信息时将包含目标IP地址的 ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址

nmap扫描 nmap -sn -RP 192.168.1.1/24

-sn 不扫描端口，只扫描主机

-PR ARP ping扫描

-sP Ping扫描 sn

-P0 无Ping扫描

-PS TCP SYN Ping扫描

-PA TCP ACK Ping扫描

-PU UDP ping扫描

-PE/PM/PP ICMP Ping Types扫描

msf扫描 use auxiliary/scanner/discovery/arp_sweep

默认161端口

5.基于icp扫描

ICMP简介：它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

控制消息是指 网络通不通、主机是否可达、路由是否可用等网络本身的消息。

这些控制消息虽然并不传输 用户数据，但是对于用户数据的传递起着重要的作用。

nmap扫描

nmap -sP -PI 192.168.1.1/24 -T4

nmap ‐sn ‐PE ‐T4 192.168.1.0/24

-PI 进行ping扫描

-PE与P0功能一样 无ping扫描

6.基于smb服务扫描

SMB(全称是Server Message Block)是一个协议名，它能被用于Web连接和客户端与服务器之间的信息沟通。

SMB最初是IBM的贝瑞·费根鲍姆（Barry Feigenbaum）研制的，其目的是将DOS操作系统中的本地文件接口“中断13”改造为网络文件系统。

nmap扫描

默认端口445

-sS ：半开放扫描（非3次握手的tcp扫描）

（使用频率最高的扫描选项：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快，效率高（一个完整的tcp连接需要3次握手，而-sS选项不需要3次握手）Tcp SYN Scan (sS) 它被称为半开放扫描优点：

Nmap发送SYN包到远程主机，但是它不会产生任何会话，目标主机几乎不会把连接记入系统日志。

（防止对方判断为扫描攻击），扫描速度快，效率高，在工作中使用频率最高缺点：它需要root/administrator权限执行）

msf扫描

作者:萨满原子12