寒露满枝
Cold dew covered with branches目录
一、内网信息收集概述
在进入内网环境之后,首先要做的事情,需要对当设备身份的判断、对当前设备的网络环境的拓扑结构进行分析和判断、对当前设备所处区域的判断。对当前设备身份的判断:是指判断当前机器是普通Web 服务器、开发测试服务器、公共服务器、文件服务器、代理服务器、DNS 服务器还是存储服务器等。具体的判断过程,是根据机器的主机名、文件、网络连接等情况综合完成的。对当前设备的网络环境的拓扑结构进行分析和判断:是指对所处内网进行全面的数据收集和分析整理,绘制出大致的内网整体拓扑结构图。对当前设备所处区域的判断:是指判断机器处于网络拓扑中的哪个区域,是在DMZ、办公区还是核心区,当然,这里的区域不是绝对的,只是一个大概的环境。处于不同位置的网络,环境不一样,区域界限也不一定明显。二、收集本机设备信息
判断设备操作系统类型、域用户权限、注册的服务判断设备所处的域环境、内网IP地址段等判断设备安装了什么服务、软件、开放了什么端口、补丁信息、配置文件等判断设备网络连接方式、共享、会话、凭证等信息为什么要收集本机的相关信息呢?可以进一步了解整个域的操作系统版本、软件及补丁安装情况、用户命名方式等。因为域内主机一般都是批量安装的,可以对域内其他主机的信息情况有大概的了解。查询网络配置信息:获取本机网络配置信息ipconfig /all拿到 shell 第一步,调低心跳值,默认心跳为 60s,执行命令的响应很慢,我这是自己的内网且没有杀软我就设置为 0 了,真实环境不要设置这么低(这里用红日靶场内网一,)进入 beacon 执行 sleep 0,然后查看下基本的本机信息:whoami:hostname:net user:net localgroup administrators:image.png查看是什么操作系统 & 系统版本:系统中文:shell systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"系统英文:shell systeminfo | findstr /B /C:"OS Name" /C:"OS Version"查询系统体系架构:shell echo % PROCESSOR_ARCHITECTURE% image.png查询已安装的软件及版本信息:shell wmic product get name,versionimage.png在 win10 中,输入 wmic /? 会提示 wmic 已弃用,但在 server2012R2,win7 等版本中可以正常使用,powershell 中可替代该命令的是 Get-WmiObject:Get-WmiObject -class win32_product | Select-Object -property name,version查询进程服务:tasklist,默认显示映像名称,PID,会话名,会话,内存使用shell tasklistimage.pngtasklist /svc,默认显示映像名称,PID,服务 shell tasklist /svcimage.pngshell wmic process list briefimage.png三、域内信息收集
什么是域:推荐参考俺之前写的内网基础知识域渗透常用的信息收集指令:获取域内信息(dsquery和net)1、列出该域内所有机器名(dsquery computer domainroot -limit 65535 或 net group “domain computers” /domain)2、列出该域内所有用户名(dsquery user domainroot -limit 65535 或 net user /domain)3、列出该域内网段划分 (dsquery subnet)4、列出该域内分组 (dsquery group 或 net group /domain)5、列出该域内组织单位 (dsquery ou)6、列出该域内域控制器 (dsquery server 或net time /domain)7、列出域管理员帐号 (net group “domain admins” /domain)8、列出该域内文件服务器 (net user faint /domain 然后看主目录位置)9、列出该域内邮件服务器 (1、nslookup 2、set type=mx 3、域名 ) ipconfig /all ------ 查询本机IP段,所在域等net user ------ 本机用户列表net localhroup administrators ------ 本机管理员[通常含有域用户]net user /domain ------ 查询域用户net group /domain ------ 查询域里面的工作组net group “domain admins” /domain ------ 查询域管理员用户组net localgroup administrators /domain ------ 登录本机的域管理员net localgroup administrators workgroup\user001 /add ------域用户添加到本机net group “domain controllers” /domain ------ 查看域控制器(如果有多台)net time /domain ------ 判断主域,主域服务器都做时间服务器net config workstation ------ 当前登录域net session ------ 查看当前会话net use \ip\ipc$ pawword /user:username ------ 建立IPC会话[空连接-***]net share ------ 查看SMB指向的路径[即共享]net view ------ 查询同一域内机器列表net view \ip ------ 查询某IP共享net view /domain ------ 查询域列表net view /domain:domainname ------ 查看workgroup域中计算机列表net start ------ 查看当前运行的服务net accounts ------ 查看本地密码策略net accounts /domain ------ 查看域密码策略nbtstat –A ip ------netbios 查询netstat –an/ano/anb ------ 网络连接查询route print ------ 路由表判断是否存在域:查看DNS服务器:shell ipconfig /allimage.png发现 DNS 服务器名为 god.org,查看域信息:shell net view 查看主域信息:shell net view /domain 查看时间服务器:shell net time /domain 发现能够执行,说明此台机器在域中 (若是此命令在显示域处显示 WORKGROUP,则不存在域,若是报错:发生系统错误 5,则存在域,但该用户不是域用户) 查询当前的登录域与用户信息:shell net config workstation查找域控shell nslookup god.org # nslookup 域名image.png查询域控和用户信息查看当前域的所有用户:shell net user /domainimage.png获取域内用户的详细信息:shell wmic useraccount get /all可以获取到用户名,描述信息,SID 域名等:image.png查看所有域成员计算机列表:shell net group "domain computers" /domainimage.png查看域管理员:shell net group "domain admins" /domainimage.png获取域密码信息:shell net accounts /domainimage.png获取域信任信息 (cs 里执行提示不是内部或外部命令):nltest /domain_trusts以下为win7中的执行结果:image.png四、Empire 下的主机信息收集
Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架工具,具有从stager生成,提权到渗透维持的一系列功能。Empire实现了无需powershell.exe就可运行PowerShell代理的功能,还可以快速在后期部署漏洞利用模块,其内置模块有键盘记录,Mimikatz(抓取Windows明文密码),绕过UAC,内网扫描等,并且能够躲避网络检测和大部分安全防护工具的查杀,简单来说有点类似于Metasploit,是一个基于PowerShell的远程控制木马。Empire的安装:Empire 推荐一篇博客,可以解决大家的问题分享
收藏
点赞
在看