内网信息收集流程(信息收集网络)

转自公众号:重生信息安全
http://mp.weixin.qq.com/s?__biz=MzU2MjM4NDYxOQ==&mid=2247487770&idx=1&sn=c3488651a7ccb908f49e8a4ac79b7495

文章前言

在渗透测试中信息收集的深度与广度以及对关键信息的提取,直接或间接的决定了渗透测试的质量,本篇文章主要对内网中信息收集做一个简单的归纳以及介绍

主机信息

在内网渗透测试中,当我们拿下一台或多台可控的主机(大多数情况下都是边界主机)时,我们首先要对当前主机的信息进行简易收集,常见的信息包括以下几个方面:

网络配置

通过执行以下命令查看当前机器是否处于内网,以及内网网段是多少,以及DNS地址、域名信息等等:

ipconfig /all

操作系统

通过执行以下命令来查看操作系统版本信息:

systeminfo | findstr /B /C:\\\"OS 名称\\\" /C:\\\"OS 版本\\\"    

内网信息收集流程(信息收集网络)

如果目标主机是英文版本可以使用以下命令来查看主机系统信息:

systeminfo | findstr /B /C:\\\"OS Name\\\" /C:\\\"OS Version\\\"

软件信息

通过执行以下命令来查看目标主机上安装的第三方应用有哪些,可以作为后续渗透测试以及漏洞利用点:

systeminfo | findstr /B /C:\\\"OS Name\\\" /C:\\\"OS Version\\\"

内网信息收集流程(信息收集网络)

服务信息

通过执行以下命令来获取本机服务信息,查看是否有可以可以进行深入利用的点:

wmic service list brief

内网信息收集流程(信息收集网络)

查毒软件

通过执行以下命令来查看目标主机上安装的杀毒软件有哪些:

wmic /namespace:\\\\\\\\root\\\\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

内网信息收集流程(信息收集网络)

开3389

首先,我们需要确定远程连接的端口(一般是3389),在cmd下使用注册表查询语句,命令如下,得到连接端口为0xd3d,转换后为3389,如下图所示:

REG QUERY \\\"HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\Terminal Server\\\\WinStations\\\\RDP-Tcp\\\" /V PortNumber

内网信息收集流程(信息收集网络)

在 Windows Server 2003 中开启 3389 端口:
首先,查看开启的端口——没有开启3389端口

内网信息收集流程(信息收集网络)

执行语句:

wmic RDTOGGLE WHERE ServerName=\\\'%COMPUTERNAME%\\\' call SetAllowTSConnections 1

执行结果:

内网信息收集流程(信息收集网络)

成功开启3389端口:

内网信息收集流程(信息收集网络)在 Windows Server 2008 和 Windows Server 2012 中开启 3389 端口
查看当前开发端口———未开放3389端口

内网信息收集流程(信息收集网络)之后执行如下命令来开启3389端口——管理员权限执行否则会报错

wmic /namespace:\\\\\\\\root\\\\cimv2\\\\terminalservices path win32_terminalservicesetting where (__CLASS !=\\\"\\\") call setallowtsconnections 1

内网信息收集流程(信息收集网络)

wmic /namespace:\\\\\\\\root\\\\cimv2\\\\terminalservices path win32_tsgeneralsetting where (TerminalName=\\\'RDP-Tcp\\\') call setuserauthenticationrequired 1

内网信息收集流程(信息收集网络)

reg add \\\"HKLM\\\\SYSTEM\\\\CURRENT\\\\CONTROLSET\\\\CONTROL\\\\TERMINAL SERVER\\\" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

内网信息收集流程(信息收集网络)

之后成功开启3389端口:

内网信息收集流程(信息收集网络)

计划任务

通过执行以下命令来查看目标主机上的计划任务信息:

schtasks  /query  /fo  LIST /v

内网信息收集流程(信息收集网络)

用户列表

执行如下命令,查看本机用户列表,通过分析本机用户列表,可以找出内部网络机器名的命名规则,特别是个人机器,可以推测出整个域的用户命名方式:

net user

内网信息收集流程(信息收集网络)

执行如下命令,获取本地管理员(通常含有域用户)信息:

net localgroup administrators

内网信息收集流程(信息收集网络)

执行如下命令,查看当前在线用户信息:

query user || qwinsta

内网信息收集流程(信息收集网络)

端口信息

查看端口列表、本机开放的端口所对应的服务和应用程序:

netstat –ano

内网信息收集流程(信息收集网络)

补丁信息

查看系统的详细信息,需要注意系统的版本、位数、域、补丁信息及跟新频率等,一般域内主机的补丁都是批量安装的,通过查看本地计算机补丁列表,可以找到未打补丁的漏洞,当前更新了2个补,如下图所示:

内网信息收集流程(信息收集网络)

也可以使用wmic来查看补丁信息:

wmic qfe get Caption,Description,HotFixID,InstalledOn

内网信息收集流程(信息收集网络)

查防火墙

通过执行以下命令来查看防火墙的配置信息:

netsh firewall show config

内网信息收集流程(信息收集网络)

我们也可以通过以下命令来关闭防火墙:
Windows server 2003系统及以前版本,命令如下:

netsh firewall set opmode disable

Windows server 2003之后系统版本,命令如下:

netsh advfirewall set allprofiles state off

是否有域

搜集完本机相关信息后,接下来,就要判断当前内网是否有域,如果有,需要判断所控主机是否在域内,下面介绍几种方法 :

ipconfig

使用ipconfig /all命令可以查看网关IP地址、DNS的IP地址以及判断当前主机是否在域内:

ipconfig /all

内网信息收集流程(信息收集网络)从上面我们可以看到域名信息以及DNS的地址信息,之后我们可以通过反向解析查询命令nslookup来解析域名的IP地址,使用解析出来的IP地址进行对比,判断域控制器和DNS服务器是否在同一台服务器上,如下图所示

内网信息收集流程(信息收集网络)

从而判断DNS域域控位于同一台服务器上(一般的配置大多数都是这样,也可以通过这种方法来查找域控)

登录域信息

执行如下命令,结果如下图所示,工作站域DNS名称显示域名(如果显示为WORKGROUP,则表示非域环境),登录域表明当前用户是域用户登录还是本地用户登录,此处表明当前用户是域用户登录:

net config workstation

内网信息收集流程(信息收集网络)

域内信息

下面简单的介绍几种域内信息的收集方法

ICMP探测内网

我们可以使用ICMP协议来探测内网信息:

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.174.%I | findstr \\\"TTL=\\\"

内网信息收集流程(信息收集网络)

ARP探测内网

同时我们可以使用MSF框架中的模块来探测内网信息:

msf > use  auxiliary/scanner/discovery/arp_sweepmsf > show optionsmsf > set  interface eth0msf > set  smac 00:0c:29:92:fd:85msf > set  rhosts 192.168.174.1/24msf > set  threads 20msf > set  shost 192.168.174.131 (伪造源ip)msf > run

TCP/UDP协议

ScanLine是一款经典的端口扫描工具,Windows全版本通用,体积小仅使用单个文件,同时支持对TCP/UDP的端口扫描,命令如下

scanline -h -t 22,445,3389 -u 53,161,137,139 -O c:\\\\windows\\\\temp\\\\log.txt -p 192.168.174.1-254 /b

内网信息收集流程(信息收集网络)

端口信息收集

a、MSF框架的auxiliary/scanner/portscan/tcp模块来实现端口扫描:

内网信息收集流程(信息收集网络)

可以看到,Metasploit 的内置端口扫描模块能够找到系统和开放端口~
b、PowerSploit中的Invoke-Portscan.ps1脚本也可以用于进行端口扫描采集内网信息:

Invoke-Portscan -Hosts 192.168.174.0/24 -T 4 -ports \\\'445,1433,8080,3389,80\\\' -oA c:\\\\windows\\\\temp\\\\res.txt

内网信息收集流程(信息收集网络)

内网信息收集流程(信息收集网络)

查询域信息

net view /domain

内网信息收集流程(信息收集网络)

查询域主机

通过执行以下命令来查看当前域内有多少台主机,以及主机的主机名信息:

net view /domain:XXX

内网信息收集流程(信息收集网络)

查询域用户

通过执行以下命令来查看域内所有用户组列表信息

net group /domain

内网信息收集流程(信息收集网络)

查找域控

a、通过执行以下命令来查看域控

Nslookup -type=SRV _ldap._tcp

内网信息收集流程(信息收集网络)

b、查看当前时间定位域控

net time /domain

内网信息收集流程(信息收集网络)

c、查询域控制组定位域控

net group \\\"Domain Controllers\\\" /domain

内网信息收集流程(信息收集网络)

查域用户信息

net user /domain

内网信息收集流程(信息收集网络)

当然也可以使用dsquery指令:

    dsquery computer       ----- 寻找目录中的计算机dsquery contact        ----- 在目录中查找与指定的搜索条件相匹配的联系人dsquery subnet         ----- 寻找目录中的子网dsquery group          ----- 寻找目录中的群组dsquery ou             ----- 寻找目录中的组织单位dsquery site           ----- 寻找目录中的站点dsquery server         ----- 寻找目录中的域控制器dsquery user           ----- 寻找目录中的用户dsquery quota          ----- 寻找目录中的配额规格dsquery partition      ----- 寻找目录中的磁盘分区dsquery *              ----- 使用标准的LDAP查询在目录中寻找任何对象dsquery server –domain Yahoo.com | dsget server–dnsname –site   ---搜索域内域控制器的DNS主机名和站点名dsquery computer domainroot –name *-xp –limit 10                ----- 搜索域内以-xp结尾的机器10台dsquery user domainroot –name admin* -limit                     ---- 搜索域内以admin开头的用户10个

    查询域管理员

    可以通过如下命令,查看当前域管理员信息:

    net group \\\"Domain Admins\\\" /domain

    内网信息收集流程(信息收集网络)

    获取域SID信息

    whoami /all

    内网信息收集流程(信息收集网络)

    可看到,当前域hacke的SID为S-1-5-21-180313546-3823935851-3686928739,域用户testuser的SID为 S-1-5-21-180313546-3823935851-3686928739-1106.

    查询当前权限

    本地普通用户:当前权限为 win-2008 本机的 user 用户

    内网信息收集流程(信息收集网络)

    本地管理员用户:当前权限为 win7-x64-test 本机的 administrator用户

    内网信息收集流程(信息收集网络)

    域内用户:当前权限为hacke域内的 administrator用户

    内网信息收集流程(信息收集网络)

    相关工具

    PowerSploit: https://github.com/PowerShellMafia/PowerSploit
    Nishang:https://github.com/samratashok/nishang
    Metasploit: https://github.com/rapid7/metasploit-framework
    Empire:https://github.com/EmpireProject/Empire
    PowerTools: https://github.com/PowerShellEmpire/PowerTools

    Github项目

    推两个Gith项目:
    项目地址:https://github.com/Al1ex/CSPlugins
    项目介绍:主要收集常用的CS好用的插件,涉及提权、漏洞利用、横向移动、信息收集、免杀等等

    内网信息收集流程(信息收集网络)项目地址:https://github.com/Al1ex/Pentest-tools
    项目介绍:主要收集一些内网渗透测试中常用到的工具

    内网信息收集流程(信息收集网络)

    文末小结

    当然,渗透测试中的信息收集也不仅限于上面的这几点,而且实战中的信息收集广度和深度还会更加深,本文算是抛砖引玉了~


    内网信息收集流程(信息收集网络)
    点分享

    点点赞

    点在

    原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34175.html

    (0)
    七芒星实验室's avatar七芒星实验室
    上一篇 2024年4月5日 下午3:15
    下一篇 2024年4月5日 下午3:17

    相关推荐

    发表回复

    您的邮箱地址不会被公开。 必填项已用 * 标注