Esta es una gran pregunta, pero pondré algunas cosas en la forma en que me acercaría a encontrar otros objetivos para pivotar.
1.) mira la capa 2 arp -a no envía paquetes al cable y te ayuda a detectar otros hosts a los que el sistema al que tienes acceso también está hablando.
2.) mire la capa 3/4 lsof -i (o su equivalente) le mostrará las conexiones establecidas que le permiten ver las IP y algunos protocolos en los que esta computadora se está comunicando con otros. De nuevo, esto no envía paquetes en la red.
3.) Verifique el almacenamiento montado, los scripts locales, las configuraciones de respaldo, el software DLP o las contraseñas que pueden configurarse para proporcionarle información o, posiblemente, acceder también a otros servidores. Nuevamente, esto no envía paquetes a la red y los dispositivos de almacenamiento pueden tener redes compartidas con otros hosts (posiblemente más allá del alcance de su pregunta).
4.) En este punto, verifique que no esté en un HoneyPot antes de continuar.
5.) Opcionalmente, en este punto, puede ver la captura de paquetes, esto se puede detectar, pero el 99.9% de las organizaciones no están buscando esto, por lo que generalmente es seguro hacerlo. Esto le ayudará a encontrar otros hosts en la red que están transmitiendo su información y, según el tipo de red, puede darle acceso a muchos otros tipos de tráfico cercanos.
6.) Determine el DNS interno y, si es posible, analice el DNS interno en busca de otros hosts. El tráfico de DNS se considera bastante normal. Hágalo lentamente si está en un entorno de alta seguridad.
7.) En este punto, sugeriría explotar los sistemas conectados utilizando los protocolos de conexión. Desea salir de los protocolos en los que normalmente habla el sistema (DLP, NMS, Copia de seguridad son los más comunes, pero con frecuencia también hay bases de datos disponibles). Estas son conexiones salientes que pueden no parecer extrañas desde el punto de vista de las comunicaciones de Netflow. Si puedes girar dentro de banda, es mucho más sigiloso que escanear.
8.) Siguiente paso para conectarse a los hosts que se conectan con el que está conectado. Esto es similar al paso anterior, pero desde una perspectiva de flujo de red, algunos sistemas siempre inician conexiones a los puntos finales en este caso, es probable que sea un punto extremo que se conecte nuevamente y que pueda o no quedar atrapado.
9.) Si eso no ha funcionado, comienza a escanear. Disminuya las exploraciones por debajo del umbral de tiempo IDS más común para las exploraciones o haga esto manualmente al principio. Apunte a los protocolos que puede explotar y priorizar los protocolos más comunes que tendría un cliente determinado. Ve despacio quedate bajo el radar. La herramienta de escaneo nmap de nmap.org tiene una opción --top-ports si no sabe por dónde empezar. Diría que empiece con los 10-20 puertos principales al principio, a menos que tenga prisa.
10.) Si aún no tiene suerte, comience con exploraciones más profundas y mapee todo el entorno.
11.) Aún tienes problemas para intentar saltar VLANS's
enlace
Buen video de él en uso en un conmutador de Cisco.
enlace
enlace
enlace
12.) Compruebe si hay conexión inalámbrica, si el dispositivo que tiene tiene acceso inalámbrico (intente encenderlo en algún momento si no está encendido) escanee la red inalámbrica para otros destinos. No olvide que Bluetooth o cualquier otro protocolo que pueda estar en el tipo de host al que tenga acceso también.
13.) Todavía no hay suerte. Compruebe si está en una máquina virtual, identifique cuál y busque formas de hacer jailbreak a la máquina virtual en el hipervisor y atacar desde allí.
NOTA: siempre verifique las conexiones IPv6 y explore en profundidad las conexiones de almacenamiento. También se puede hacer más trabajo en el host local, como la obtención de claves y contraseñas, pero su pregunta se centró más en la búsqueda de objetivos, por lo que estoy fuera de alcance.
Este es un tema GRANDE con muchas cosas adicionales que podría hacer, pero lo que se menciona en la lista anterior es una estrategia muy efectiva para mapear los hosts cercanos en la situación que usted solicitó.