路由转发

在我们成功拿到meterpreter的shell之后，想要探测内网的信息，这时候我们就要用到路由转发了。

大致的意思就是，利用msf添加一条通向内网的路由，我们利用这条添加的路由，去扫描内网的信息，发现存活的主机。如果不加路由的话，我们是无法扫描内网信息的。

内网渗透的本质就是信息搜集。

利用命令run get_local_subnets，获取目标机器的网段。

我们得到了网段，接下来就添加路由。

利用命令run autoroute -s 192.168.234.0/24，添加路由

利用命令run autoroute -p，打印路由

当然，查找网段和添加路由不止以上的方法。做一下拓展……

获取网端还可以利用命令ipconfig、route list

添加路由呢，我们还可以使用route add 192.168.234.0/24 255.255.255.0 1(ip+子网掩码+session)。

主机发现

对于主机的发现，Micro8大佬总结的很好，于是我来复现归纳一下。

setg rhosts 192.168.234.0/24，在msf中使用setg命令，全局设置一下需要扫描的目标机器。（这样的做的目的是提高效率，就不用再重复填写目标机器了。）

总结一下可利用的模块：

• auxiliary/scanner/discovery/arp_sweep
• auxiliary/scanner/discovery/udp_sweep
• auxiliary/scanner/ftp/ftp_version
• auxiliary/scanner/http/http_version
• auxiliary/scanner/smb/smb_version

• auxiliary/scanner/ssh/ssh_version
• auxiliary/scanner/telnet/telnet_version
• auxiliary/scanner/discovery/udp_probe
• auxiliary/scanner/dns/dns_amp
• auxiliary/scanner/mysql/mysql_version

• auxiliary/scanner/netbios/nbname
• auxiliary/scanner/http/title
• auxiliary/scanner/db2/db2_version
• auxiliary/scanner/portscan/ack
• auxiliary/scanner/portscan/tcp

• auxiliary/scanner/portscan/syn
• auxiliary/scanner/portscan/ftpbounce
• auxiliary/scanner/portscan/xmas
• auxiliary/scanner/rdp/rdp_scanner
• auxiliary/scanner/smtp/smtp_version

• auxiliary/scanner/pop3/pop3_version
• auxiliary/scanner/postgres/postgres_version
• auxiliary/scanner/ftp/anonymous
• db_nmap

• windows/gather/arp_scanner
• windows/gather/enum_ad_computers
• windows/gather/enum_computers
• windows/gather/enum_domain
• windows/gather/enum_domains
• windows/gather/enum_ad_user_comments

上述模块用法用法大体相似就不一一列举，以后遇到特殊情况再补充。

以其中的auxiliary/scanner/ssh/ssh_version，写一下用法

先将当前会话运行到后台

use auxiliary/scanner/ssh/ssh_version

set rhosts 192.168.234.0/24，设置目标机器

set threads 10，设置线程

exploit

我们之所以能够在msf下进行扫描，是因为我们做了路由转发。

但是，经过我的实验，这些扫描模块最好用的就是基于arp的模块，为了更加方便，还可以直接在meterpreter使用如下命令

run arp_scanner -r 192.168.234.0/24

基于arp进行探测，虽说方便快捷，但是也很容易被对方发现。