Masscan ist ein Open-Source-Tool, dessen Stärke vor allem darin besteht, sehr schnell große und kleine Netzwerke zu scannen, IP-Adressen zu identifizieren und offene Ports zu finden. Auf Basis dieser Informationen können Admins Schwachstellen im Netzwerk identifizieren, Penetrationstests durchführen und dadurch die Sicherheit deutlich erhöhen.

Masscan ist zum Beispiel in Kali Linux verfügbar, lässt sich aber auch auf anderen Linux-Distributionen installieren oder auch im Windows-Subsystem für Linux (WSL) unter Windows betreiben. Wir gehen im folgenden Text vom Subnetz 10.0.0.0/16 aus.

Spezifischer Scan für Domänencontroller in Microsoft-Netzwerken

Für Domänencontroller im Netzwerk lässt sich die Technik gezielt anpassen, um spezifisch auf die Ports und Dienste zu scannen, die meistens auf Windows-Domänencontrollern aktiv sind, wie etwa LDAP (389), SMB (445) und Kerberos (88). Ein gezielter Scan der typischen Domänencontroller-Ports wird so ausgeführt:

masscan 10.0.0.0/16 -p88,135,389,445,636 --rate=1000 -oL masscan_dc_output.txt

Nach der Erfassung der offenen Ports führen Sie mit Nmap eine detaillierte Abfrage der entdeckten IP-Adressen und Ports durch, um die spezifischen Informationen zu den Domänencontroller-Diensten zu ermitteln:

awk '/open/ {print $4}' masscan_dc_output.txt | sort -u > Nmap_dc_targets.txt



Nmap -iL Nmap_dc_targets.txt -A -sV -O --script "ldap*"

Hier wird zusätzlich das Nmap-Skript ldap* verwendet, das spezifische LDAP-Informationen von einem Domänencontroller abruft und so eine tiefere Analyse der Windows-Umgebung ermöglicht. Neben den genannten Ports lassen sich natürlich beliebig weitere nutzen, die in Active Directory eine Rolle spielen. Das sind vor allem folgende:

Port 88 (Kerberos)

Port 135 (RPC Endpoint Mapper)

Port 389 (LDAP)

Port 636 (LDAPS)

Port 445 (SMB/CIFS)

Port 53 (DNS)

Port 464 (Kerberos Password Change)

Port 3268 (Global Catalog)

Port 3269 (Global Catalog over SSL)

Diese Ports lassen sich beliebig mit dem Parameter -p von Masscan nutzen und kombinieren. Dadurch ist es auch möglich, zunächst alle Domänencontroller in einem Netzwerk zu identifizieren, die IP-Adressen zu speichern und danach mit Nmap zu überprüfen:

#!/bin/bash



subnet="10.0.0.0/16"



masscan_rate=1000



masscan_ports="88,135,389,445,636"



masscan_output="masscan_dc_output.txt"



Nmap_output="Nmap_dc_report.txt"







# Step 1: Scan the subnet for Domain Controllers using Masscan



echo "Scanning the subnet $subnet for Domain Controllers..."



masscan $subnet -p$masscan_ports --rate=$masscan_rate -oL $masscan_output







# Step 2: Extract IP addresses and open ports for Nmap input



echo "Processing Masscan results..."



awk '/open/ {print $4}' $masscan_output | sort -u > Nmap_targets.txt







# Check if any Domain Controllers were found



if [ ! -s Nmap_targets.txt ]; then



echo "No Domain Controllers found in the subnet."



exit 1



fi







# Step 3: Run Nmap on the identified Domain Controllers to check for vulnerabilities



echo "Scanning Domain Controllers with Nmap for vulnerabilities..."



Nmap -iL Nmap_targets.txt -A -sV -O --script vuln -oN $Nmap_output







# Final Output



echo "Nmap scan completed. Vulnerability report saved in $Nmap_output."