9
内网信息收集
source link: https://wintrysec.github.io/2021/09/26/%E3%80%903%E3%80%91%E6%94%BB%E9%98%B2%E5%AF%B9%E6%8A%97/%E3%80%905%E3%80%91%E6%A8%AA%E5%90%91%E7%A7%BB%E5%8A%A8/%E5%86%85%E7%BD%91%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
内网信息收集 | wintrysec
信息收集的深度,直接关系到内网渗透测试结果的成败
进入内网后,红队专家一般会在本机以及内部网络 开展进一步信息收集和情报刺探工作。
包括收集当前计算机的网络连接、进程列表、命令执行历史记录、 数据库信息、当前用户信息、管理员登录信息、总结 密码规律、补丁更新频率等信息;
同时对内网的其他机器的IP、主机名、开放端口服务等情况进行情报刺探。
再利用内网机器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。
对于含有域的内网,红队专家会在扩大战果的同时 去寻找域管理员登录的蛛丝马迹。
一旦发现某台服务 器有域管理员登录,就可以利用Mimikatz等工具去尝试获得登录账号密码明文,或者Hashdump工具去导出 NTLM哈希,继而实现对域控服务器的渗透控制。
在内网漫游过程中,红队专家会重点关注邮件服务 器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等位 置,尝试突破核心系统权限、控制核心业务、获取核心数据,最终完成目标突破工作。
本机信息收集
whoami /all
#查当前用户在目标系统中的具体权限
quser
#查当前机器中正在线的用户,注意管理员此时在不在
net user
#查当前机器中所有的用户名
net localgroup
#查当前机器中所有的组名,了解不同组的职能,如,IT,HR,ADMIN,FILE
net localgroup "Administrators"
#查指定组中的成员列表
系统基本信息
ipconfig /all
#获取本机网络配置
systeminfo
#查看系统的基本信息(系统版本、软件及补丁的安装情况,是否在域内)
net statistics workstation
#查看主机开机时间
echo %PROCESSOR_ARCHITECTURE%
#可查看系统的体系结构,是x86还是AMD64等
tasklist
#查看本机进程列表,分析是否存在VPN杀软等进程
wmic servcie list brief
#查看本机服务信息
wmic startup get command,caption
#查看程序启动信息
schtasks /query /fo LIST /v
#查看系统计划任务
netstat -ano
#查看本机所有的tcp,udp端口连接及其对应的pid
net share
#查看本机共享列表,和可访问的域共享列表
wmic share get name,path,status
#利用wmic查找共享列表
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
#查看代理配置情况
wmic,Windows管理工具,提供了从命令行接口和批命令脚本执行系统管理的支持。
自xp之后系统自带
防火墙的信息和配置
配置防火墙需要管理员权限
#显示所有动态入站规则
netsh advfirewall firewall show rule name=all dir=in type=dynamic
#关闭防火墙
netsh advfirewall set allprofiles state off
#允许入站
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="c:\nc.exe"
#允许出站
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="c:\nc.exe"
#3389端口放行
netsh advfirewall firewall add rule name="remote Desktop" protocol=TCP dir=in localport=3389 action=allow
#自定义防火墙日志存储位置
netsh advfirewall set currentprofile logging filename "c:\windows\temp\fw.log"
#Server 2003及之前的版本
netsh firewall set opmode disable #关闭防火墙
netsh firewall add allowedprogram c:\nc.exe "allow nc" enable #允许指定程序的全部连接
查看各种历史记录
#1、查看bash历史记录
history
cat ~/.bash_history
#2、查看hosts文件(看域名绑定),linux & windows
cat /etc/hosts
type c:\Windows\system32\drivers\etc\hosts
#3、查看mstsc对内和对外连接记录
https://github.com/Heart-Sky/ListRDPConnections
可能发现跨段的连接,还能定位运维人员主机
#4、浏览器浏览记录
查看浏览器中访问过的内网应用
查看路由表
netstat -r
基于ARP
arp可以轻易bypass掉各类应用层防火墙,除非是专业的arp防火墙
arp -a
#windows上查看arp缓存
基于ICMP
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.2.%I | findstr "TTL="
SPN扫描服务 (域)
每个重要的服务在域中都有对用的SPN,所以不必使用端口扫描
只需利用SPN扫描就能找到大部分应用服务器
#查看当前域内的所有SPN(系统命令)
setspn -q */*
使用fscan扫描C段或B段的高危端口(21,22,445,3389,3306,1443,1521,6379)和Web端口
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK