Windows内网多网卡主机发现利用

在内网渗透过程中，目标网络中一般是划分不同区域使用防火墙进行隔离的。在日常运维过程中，运维人员为了方便操作，会将特定主机配置多网卡以访问不同网络区域的机器。可以通过Windows的一些接口、NetBIOS进行网卡信息的收集，用来定位多网卡主机。在无需身份验证的情况下可以获得远程主机是否存在多个网卡和多个IP地址，以绕过限制访问到受保护的网络中。

1.前提条件

使用内网多网卡主机探测发现工具的前提条件如表1-1所示。

表1-1 前提条件

2.分类

• 通过IOXIDResolver接口无需用户身份认证获取远程主机多网卡信息。
• 通过UDP 137端口的NBNS协议无需用户身份认证获取远程主机Multi-Homed Host。
• 使用cornershot通过RpcRemoteFindFirstPrinterChangeNotificationEx获取主机能访问到目标网络。

3.利用方法

（1）IOXIDResolver接口获取远程多网卡主机

OXID Resolver是在支持COM+的在计算机上运行的服务。它存储与远程对象连接所需的RPC字符串绑定，并将其提供给本地客户端。将Ping消息发送到本地计算机中具有客户端的远程对象，并接收在本地计算机上运行的对象的Ping消息。在红队过程中可以通过IOXIDResolver接口实现没有任何身份验证的情况下对远程计算机的网络接口信息进行远程枚举。首先是使用DCERPC请求与IOXIDResolver接口进行绑定，然后通过ServerAlive2()方法获得远程主机的DUALSTRINGARRAY，里面包含目标主机的机器名和所有网卡对应的IP地址，如图1-1所示。

图1-1 通过IOXIDResolver接口获取远程主机多网卡信息

使用SharpOXID-Find.exe批量枚举多网卡主机，输入SharpOXID-Find.exe -c 172.16.6.0/24命令，如图1-2所示。

图1-2批量枚举远程主机多网卡信息

（2）通过NBNS获取远程多网卡主机

第一个包首先通过NBNS协议获取172.16.6.231的主机名，第二个包收到该IP对应的主机名。第三个数据包继续通过NBNS协议去查询SRV1主机对应的Multi-Homed Host，以获得多网卡的IP地址，如图1-3所示。

图1-3通过NBNS协议获取多网卡的IP地址

使用nextnet通过UDP 137端口枚举多网卡主机，输入"nextnet 172.16.6.0/24"命令，如图1-4所示。

图1-4枚举多网卡主机

（3）通过RPC获取任意主机可访问的网络范围

通过经过身份验证的用户利用RpcRemoteFindFirstPrinterChangeNotificationEx强制远程主机访问指定服务器，在讲解BloodHound时会有详细描述。

4.防御方式

• 在敏感的网络与互联网之间采用物理隔离而不是防火墙策略。
• 禁止敏感网络出网。
• 不使用多网卡主机。
• 将防火墙策略梳理，删除无用放行策略。
• 将TCP 135/UDP 137端口在防火墙中配置拒绝访问。

我正在参与2024腾讯技术创作特训营第五期有奖征文，快来和我瓜分大奖！