环境介绍

NAT模式：

kali攻击方
win7受害者
Metasploitable受害者

工具简介

一个在本地或远程TCP/IP网络上扫描开放的NETBIOS名称服务器的命令行工具。它基于Windows系统的nbtstat工具的功能实现，但它可在许多地址上运行，而不是仅一个地址。
用法：

用法: nbtscan-unixwiz [选项] 目标 [目标...]

   目标可以是IP地址，DNS名称或地址的列表范围。
   范围可以表示成“192.168.12.0/24”或“192.168.12.64-97”

   -V        显示版本信息
   -f        显示完整的NBT资源记录响应(推荐)
   -H        生成HTTP请求头
   -v        开启详细输出调试
   -n        不查找响应IP地址的反向名称
   -p <n>    绑定UDP端口(默认0)
   -m        响应中包含MAC地址 (等同'-f')
   -T <n>    超时不响应 (默认2秒)
   -w <n>    次写入后等待秒数 (默认10ms)
   -t <n>    每个地址尝试次数(默认1次)
   -P        以perl的hashref格式生成结果

这里可以不用参数，直接扫

nbtscan 192.168.239.0/24

数据包

注意到数据包与入侵检测——enum4linux(扫描篇)极为相似，可以通过正则取逆的方式来避开误报，有误我这里被要求使用双向规则，双向都要告警，所以，只有设置请求包noalert，相应包取逆才可以避开误报，那，我这里就暂时按通用匹配处理。

规则

直接拿来enum4linux的双向规则：

alert udp any any -> any any (msg:"enum4linux 扫描"; content:"CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|00 00 21 00 01|"; flowbits:set,enum4linux_scan; metadata:service nbns, service udp, service check-ports; sid:1; rev:1;)
alert udp any any -> any any (msg:"enum4linux 响应"; content:"CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|00 00 21 00 01|"; content:"WORKGROUP"; flowbits:isset,enum4linux_scan; metadata:service nbns, service udp, service check-ports; sid:2; rev:1;)

文章由极客之音整理，本文链接：https://www.bmabk.com/index.php/post/134326.html