Поиск виндовских ОС

[michail]

Друзья. Немного занялся сканированием. Так как нужно как то проводить время.
Но меня больше интересуют именно Windows ОС из-за того, что мне будет проще потом привелегии повышать.
Юзал хэлпы nmap но там таким корявым языком написано! Всё же вчера нашёл понятный сайт где чуть доходчивее описание
Код вот такой применил для брута
nmap -sS -O -p 3389 128.210.4.0-255
Диапазон IP от балды написал. Порт такой, так как хотел по RDP сканить, раз мне винда требуется
Вывод nmap что-то отдалённое выводит. Всегда вот такую строку вначале выводит
3389/tcp filtered ms-wbt-server
Далее то вот такое выводит
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: load balancer|firewall
Running: F5 Networks embedded, F5 Networks TMOS 11.4.X|11.6.X
OS CPE: cpe:/o:f5mos:11.4 cpe:/o:f5mos:11.6
OS details: F5 BIG-IP load balancer, F5 BIG-IP AFM firewall, F5 BIG-IP load balancer (TMOS 11.4), F5 BIG-IP Local Traffic Manager load balancer (TMOS 11.6)
Network Distance: 20 hops
То по CISCO такое
Device type: switch
Running: Cisco NX-OS 4.X|5.X|6.X|7.X
OS CPE: cpe:/o:cisco:nexus_5010 cpe:/o:cisco:nx_os:4.1 cpe:/o:cisco:nexus_5548 cpe:/o:cisco:nx_os:5.2 cpe:/o:cisco:nx_os:6 cpe:/o:cisco:nx_os:7.2 cpe:/o:cisco:nexus_v1000 cpe:/o:cisco:nx_os
Too many fingerprints match this host to give specific OS details
Network Distance: 18 hops
То по линукс ОС
Вопрос.
Может команду даю далёкую от нужной?
В обычных инструкциях по этому поводу ничего не нахожу. Как ответ на вопрос специализированный )

 

[hackeryaroslav]

лидер даркбойс 666 имеет трудности с nmap?

 

[samsepi0l]

"3389/tcp filtered ms-wbt-server" скань дальше, если выведется строчка "3389/tcp - open" то порт открыт, соответственно работай с этим дальше

 

[Gufi]

Пингом можно определить.

Зависит от значения TTL хоста.
TTL=64 (Linux, Mac, Android, iOS), TTL=128 (Windows).

 

[Script_186]

если порт удаленного целевого ip-адреса фильтруется, это означает, что порт заблокирован брандмауэром, поэтому нет смысла тратить на него время, а что насчет nmap - старого и хорошего инструмента сканирования сети, вам просто нужно прочитать о его флагах, чтобы использовать его лучше для себя

 

[michail]

вам просто нужно прочитать о его флагах, чтобы использовать его лучше для себя

Угу, вот читаю. Информации море! Два дня читаю, кое что понял. Но глаза уже слипаются. Спасибо samsepi0l
Как то, не хватает помощника в обучении. Ранее хотел бабла ввалить за обучение. Но коммерция расходится с делом. Только по крупицам собирать вот так.

 

[IIIIXX]

Device type: load balancer|firewall - похоже на фаервол, filtered статус значит что хост и не ответил на запрос и не отклонил его, это также указывает на фаервол
В nmap есть возможность снять банеры с открытых портов при помощи ключа -sV
чтобы найти виндовые тачки скань на 445 смб порт, он будет открыт чаще чем 3389 рдп, еще можеш посканить на рпц 135,137,139 и\или винрм 5985,5986
дк на 53,88,389,636, но это я так

 

[michail]

Правильно сканю?
Команда
nmap -sS -O -sV -p 445 128.210.4.0-255
(адрес к примеру взят)
Везде присутствует
445/tcp filtered microsoft-ds
Вот отдельно взятый вывод:

PORT    STATE    SERVICE      VERSION
445/tcp filtered microsoft-ds
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: firewall|load balancer
Running: F5 Networks TMOS 11.4.X|11.6.X
OS CPE: cpe:/o:f5:tmos:11.4 cpe:/o:f5:tmos:11.6
OS details: F5 BIG-IP AFM firewall, F5 BIG-IP Local Traffic Manager load balancer (TMOS 11.6)
Network Distance: 20 hops

 

[H0unT]

Правильно сканю?
Команда
nmap -sS -O -sV -p 445 128.210.4.0-255
(адрес к примеру взят)
Везде присутствует
445/tcp filtered microsoft-ds
Вот отдельно взятый вывод:

PORT    STATE    SERVICE      VERSION
445/tcp filtered microsoft-ds
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: firewall|load balancer
Running: F5 Networks TMOS 11.4.X|11.6.X
OS CPE: cpe:/o:f5:tmos:11.4 cpe:/o:f5:tmos:11.6
OS details: F5 BIG-IP AFM firewall, F5 BIG-IP Local Traffic Manager load balancer (TMOS 11.6)
Network Distance: 20 hops

-T4 ключ, или -f попробуй

 

[michail]

-T4 ключ, или -f попробуй

И как должны выглядеть команды?
Давайте попробуем
На такой код
nmap -sS -f -O -p 3389,445 <порты>
Выдаёт подобное

PORT     STATE    SERVICE
445/tcp  filtered microsoft-ds
3389/tcp filtered ms-wbt-server
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: firewall|load balancer
Running: F5 Networks embedded, F5 Networks TMOS 11.4.X|11.6.X
OS CPE: cpe:/o:f5:tmos:11.4 cpe:/o:f5:tmos:11.6
OS details: F5 BIG-IP Application Security Manager firewall, F5 BIG-IP 3650 Local Traffic Manager load balancer, F5 BIG-IP 6400 load balancer, F5 BIG-IP load balancer, F5 BIG-IP AFM firewall, F5 BIG-IP load balancer (TMOS 11.4), F5 BIG-IP Local Traffic Manager load balancer (TMOS 11.6)

По этому вопрос остаётся открытым. Или все хосты закрытые и нужно подбирать другие параметры скана, или сканить дальше или применять что то третье. Сейчас не пойму в каком направлении двигаться.

 

[Fine]

И как должны выглядеть команды?
Давайте попробуем
На такой код
nmap -sS -f -O -p 3389,445 <порты>
Выдаёт подобное

PORT     STATE    SERVICE
445/tcp  filtered microsoft-ds
3389/tcp filtered ms-wbt-server
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: firewall|load balancer
Running: F5 Networks embedded, F5 Networks TMOS 11.4.X|11.6.X
OS CPE: cpe:/o:f5:tmos:11.4 cpe:/o:f5:tmos:11.6
OS details: F5 BIG-IP Application Security Manager firewall, F5 BIG-IP 3650 Local Traffic Manager load balancer, F5 BIG-IP 6400 load balancer, F5 BIG-IP load balancer, F5 BIG-IP AFM firewall, F5 BIG-IP load balancer (TMOS 11.4), F5 BIG-IP Local Traffic Manager load balancer (TMOS 11.6)

По этому вопрос остаётся открытым. Или все хосты закрытые и нужно подбирать другие параметры скана, или сканить дальше или применять что то третье. Сейчас не пойму в каком направлении двигаться.

Бро, у тебя русским по белому написано F5 BIG-IP, это либо фаервол, либо ханипот, либо баоансер.
Вообще скань с флагом - g53 небольшую часть фаероволов будет обходить. Но этот вряд-ли, учитывая твои знания, очень вряд ли ты сможешь это пробить, если это не ханипот.

 

[Fine]

Я бы скинул методочику ему от resolute attack, где они раскрыли неплохо техники обходов банов нмапа фаерволами, но у меня пока доступа к машине с методичка и нету. Скиньте ему это тайное знание кто нибудь, у кого есть и не жалко

 

[IIIIXX]

Перестаем флудить и тролить будут варны, подчистил тему.

По вопросу Michael
У тебя же явно написано что это ф5, откуда там будет открытый 445 и 3389 порт?
в твоем случае, скань порты 22,80,443 наверное они будут открыты, что то мне подсказывает что это впнка от ф5

nmap -sS -O -sV -p 22,80,443 128.210.4.0-255

если ожидаешь что в диапе будут разные оси, тогда просто добавь несколько портов, так покроешь много тачек
nmap -sS -O -sV -p 22,80,443,53,445,3389 128.210.4.0-255

и я не вникал в использование флага -O, ты возможно шлешь лишние пакеты без которых и так можно определить что перед тобой по открытым портам

 

[michail]

Взял чуть другой диапазон портов, просканил таким
nmap -sV -sS -p 3389,445 <тут адреса>
Успех, нашлось несколько серверов корп Ну млять такой фирмы, что просто капец. Посмотрю, может пентест так для эксперименту. Хорошо хоть по винде есть инструкция что делать. Но копать ещё да копать.
Вы верно писали с флагом -О плохо. На первом этапе это совсем не нужно. Как я хэлп читал, для винды как раз критичен флаг -sS
Так как в основном он даёт понять, что перед тобой винда. Случайно такой хэлп нашёл.
Это как раз повторяет вашу команду. Порт 80, 22 ? Почему про них сомнения, они же и на линуксах есть.
Всё же думаю первым этапом брать 3389,445 может ещё добавить 443 и 53
Но по первости точно нельзя -О так как только время теряется.

что то мне подсказывает что это впнка от ф5

Мощнейший программный фаервол. Как он устроен спецы сис админы должны знать. Это самая распространённая защита. В интернете полно разных её взломов и сразу затыкают патчами и обновлениями. И что то мне подсказывает, что в лоб это прошибать бесполезно. Только обходить стороной.

 

[Fine]

и 53

А зачем ты сканишь dns?
443 - это веб-сервер, https как правило. Если ты про g53 - так это не скан 53 порта. Это nmap будет с него обращаться. Сервера будут думать что dns, и фаерволы некоторые пропускать. С F5, я думаю, вряд-ли проканает. Вообще если видишь F5 - просто проходи мимо.

 

[IIIIXX]

А зачем ты сканишь dns?
443 - это веб-сервер, https как правило. Если ты про g53 - так это не скан 53 порта. Это nmap будет с него обращаться. Сервера будут думать что dns, и фаерволы некоторые пропускать. С F5, я думаю, вряд-ли проканает. Вообще если видишь F5 - просто проходи мимо.

я дал 53 порт, так как он открыт на ф5 по дефолту.

как я хэлп читал, для винды как раз критичен флаг -sS

сам не знаю как ты читал хелп, но -sS это стелс скан, стоит по дефолту, банеры не снимает, самый быстрый, просто показывает статус порта открыт закрыт фильтруется
-sS полезен когда что либо режет твои запросы при скане нмапом через sV

 

[Fine]

я дал 53 порт, так как он открыт на ф5 по дефолту.

Так а зачем, я не до конца понимаю?
Ему нужна винда с открытыми портами. А тут 53 порт под f5, он будет находить f5. Но для чего? Есть какой-то вариант пробиться через этот порт?

 

[michail]

Вот информация по флагам

ОПРЕДЕЛЕНИЕ СЛУЖБ И ИХ ВЕРСИЙ:
-sV: Исследовать открытые порты для определения информации о службе/версии

-sS (scan SYN)- использовать метод TCP SYN. Этот метод часто называют "полуоткрытым"сканированием, поскольку при этом полное TCP-соединение с портом сканируемоймашины не устанавливается. Nmap посылает SYN-пакет, как бы намереваясьоткрыть настоящее соединение, и ожидает ответ. Наличие флагов SYN|ACK вответе указывает на то, что порт удаленной машины открыт и прослушивается.Флаг RST в ответе означает обратное. Если Nmap принял пакет SYN|ACK, тов ответ немедленно отправляет RST-пакет для сброса еще не установленногосоединения (реально эту операцию выполняет сама ОС). Очень немного сайтовспособны обнаружить такое сканирование. Пользователь должен иметь статусroot для формирования поддельного SYN-пакета.

В моих проверках показывал, что именно F5 BIG-IP флагом -О
-sV флаг определял только поверхностно. Открыт или закрыт или блокируется чем то.
По этому мне кажется что первоначально будет достаточно флага -sS либо с двумя флагами -sS -O
Флаг -sV больше подходит для Линукс серверов, на виндовском покажет, что порт закрыт. Так как виндовский порт не выдаёт ответ.
Не известно ещё какой тип сканирования -sV А вот -sS это SYN сканирование
Вообще мне ещё плохо понятна идея применять два этих флага. Возможно, что это не правильное применение.

 

[CheckerChin]

Не известно ещё какой тип сканирования -sV А вот -sS это SYN сканирование
Вообще мне ещё плохо понятна идея применять два этих флага. Возможно, что это не правильное применение.

опять возвращаемся к ваершарку и локалхосту
ну подними ты слушатель нетката и посмотри пакеты.
Ты увидишь большую разницу.
sV это тсп, там полный коннект с получением инфы о сервисе.
sS не создает полноценный коннект. Он отправляет син пакет и в зависимости от результата говорит открыт или не открыт. А так как он не создает полный коннект часть систем его и не логгирует.

погугли что такое tcp handshake и самое главное посмотри просто у себя на локалке. Зачем гадать, если посмотреть на локалке занимает 3 минуты?

 

[Fine]

Я бы скинул методочику ему от resolute attack, где они раскрыли неплохо техники обходов банов нмапа фаерволами