前言
OXID Resolver是在支持COM +的每台计算机上运行的服务。它执行两项重要职责:
存储与远程对象连接所需的RPC字符串绑定,并将其提供给本地客户端。
将ping消息发送到本地计算机具有客户端的远程对象,并接收在本地计算机上运行的对象的ping消息。
我们只需要向远程主机发以下两个包,再解析返回结果即可。
static byte[] s1 ={
0x05,0x00,0x0b,0x03,0x10,0x00,0x00,0x00,
0x48,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
0xb8,0x10,0xb8,0x10,0x00,0x00,0x00,0x00,
0x01,0x00,0x00,0x00,0x00,0x00,0x01,0x00,
0xc4,0xfe,0xfc,0x99,0x60,0x52,0x1b,0x10,
0xbb,0xcb,0x00,0xaa,0x00,0x21,0x34,0x7a,
0x00,0x00,0x00,0x00,0x04,0x5d,0x88,0x8a,
0xeb,0x1c,0xc9,0x11,0x9f,0xe8,0x08,0x00,
0x2b,0x10,0x48,0x60,0x02,0x00,0x00,0x00
};
static byte[] s2 ={
0x05,0x00,0x00,0x03,0x10,0x00,0x00,0x00,
0x18,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
0x00,0x00,0x00,0x00,0x00,0x00,0x05,0x00
};
程序版本
Ladon >=7.0
模块名称
EthScan
OxidScan
模块说明
通过Windows的一些DCOM接口进行网卡进行信息枚举,定位多网卡主机,在无权限的情况下得知远程主机是否含有内网甚至VPN;当然也可以判定Windows主机,K8抓包发现xp和03系统有一段相同特征,WIN7-WIN10等也是相同特征,所以可区分是否WIN7以上系统。
前提条件
1.Windows主机
2.开放135端口
3.DCOM>=5.6(老外原文说5.6版本才可用,可能他写错了)
4.dcomcnfg配置中的“面向连接的TCP/IP”协议没有被移除
PS: 由于有一定条件限制,若该模块无法定位多网卡主机,也可使用OnlinePC、OsScan、WebScan、WhatCMS等模块探测,如多个IP同一个机器名,网样的网站标题,或同样的网卡MAC地址,也可定位多网卡主机,只是没有通过该方法好,毕竟一个是100%,一个是90%,比如负载均横同样的网站却不在同一台机器上。
测试系统
测试XP/Win7/Win8/Win10,2003/2008/2012均成功,2016和2019无环境未测,应该支持。
EthScan模块用法
扫描指定主机
Ladon 192.168.1.8 EthScan
扫描C段主机
Ladon 192.168.1.8/24 EthScan
Ladon 192.168.1.8/C EthScan
批量扫描IP列表主机
ip.txt里放需要扫描的IP,使用以下命令即可
Ladon EthScan
批量检测IP段(/24)
ip24.txt里放需要扫描的IP段,使用以下命令即可
Ladon EthScan
批量检测IP段(/16)
ip16.txt里放需要扫描的IP段,使用以下命令即可
Ladon EthScan
关闭135端口
防止通过135网卡探测
运行dcomcnfg,打开“组件服务”→“计算机”,在“我的电脑”上右键点击,选“属性”;然后点默认属性,把“在此计算机上启用分布式COM(E)”的勾去掉,接着返回到“默认协议”,移除“面向连接的TCP/IP”协议。重启后发现135端口还是开放,但已无法探测机器名和网卡,不过WmiScan还可以扫描到密码。
彻底关闭135端口
运行regedit,进入注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc
右键点击Rpc,新建——项——输入 Internet
然后重启,再cmd,输入netstat -an,就发现135端口彻底消失,此时无法枚举网卡信息,也无法WMI扫描密码,无法WMI远程执行等。
PS:由于很多服务是互相依赖的关系,不推荐关闭以免影响系统服务,比如计划任务程序无法正常运行,磁盘碎片整理又依赖计划任务而打不开等。
参考
工具下载
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases