内网学习二-信息收集

内网信息收集

主要还是常规操作,过一遍。。

本机信息收集

1.net view

获取当前组的计算机名,查看同一域/工作组的计算机列表,下图可以看到域内有两台机器

QxOBVJ.png

  1. ipconfig /all

查询网络配置信息,判断是否有域的话可以根据DNS的后缀

Qb35RO.png

nslookup

通过反向解析查询命令nslookup 来解析域名的IP 地址。使用解析出来的IP 地址进行对比,判断域控制器和DNS 服务器是否在同一台服务器上

QxOXqg.png

  1. 获取系统信息

systemifo

Qb8lwR.png

  1. 查看安装的软件及版本、路径

wmic命令:

wmic product get name,version

QbGEBd.png

当然也可以使用powershell命令,因为powershell是系统自带的

powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

QbYaXF.png

  1. 查询本机的一些服务

wmic service list brief

QxX2Yn.png

推测域内是否都安装了这样的一些服务,特别是一些杀软

  1. 查询进程信息

tasklistwmic process list brief都行

QxXjl6.png

需要注意的是这里面的进程名字,可以观察里面是否存在杀软之类的

进 程 软件名称
360SD.EXE 360杀毒
360TRAY.EXE 360 实时保护
ZHUDONGFANGYU.EXE 360 主动防御
KSAFETRAY.EXE 金山卫士
SAFEDOGUPDATECENTER.EXE 服务器安全狗
AVGUARD.EXE 小红伞
  1. 用户信息的查询

net user

Qxju7Q.png

查询本地管理员组信息,通常那个域内机器会包含一些域内的信息

net localgroup administrators

Qxjlhn.png

查询当前在线用户 query user || qwinsta

QxjTjf.png

  1. 查看端口信息

netstat -ano

观察一些服务的信息

Qxjz3q.png

  1. 查看路由表信息

arp -a

route print

  1. 防火墙相关配置

03之前关闭防火墙

netsh firewall set opmode disable

03之后 (需要管理员权限)

netsh advfirewall set allprofiles state off

查看防火墙配置netsh firewall show config

Qxvnv6.png

一般的话不要直接关闭防火墙,关闭防火墙动作太大,我们可以通过设置防火墙的规则去完成我们需要的操作条件。

  1. 开启3389端口

server 03 开启

wmic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

server 08 和 server 12 开启

wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1

reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

域信息收集

  1. 查询域SID

whoami /all

  1. 查询当前指定账户的详细信息

net user XXX /domain

QzpXpd.png

  1. 查询当前登录域及登录用户信息

net config workstation

Qz9PAS.png

  1. 判断主域

net time domain

一般会有三种情况

存在域,但当前用户不是域用户,提示说明权限不够

Qz9u7T.png

存在域,并且当前用户是域用户

Qz939J.png

当前网络环境为工作组,不存在域

Qz9UHK.png

  1. 查找域控
1
net group "Domain Controllers" /domain

探测域内存活主机

内网存活主机的探测是内网渗透中不可或缺的一个环节。在扫描的时候,应尽量避免使用Namp 等工具进行暴力扫描,尽量使用目标系统自带的各种工具,推荐使用PowerShell 脚本。对于Windows 7 以下版本的系统,可以使用VBS 脚本。

一般我们首先是通过计算机名字确定ip地址,然后这样才便于我们探测内网存活主机,这里就以我搭的环境为例,域控名叫DC,我们去ping一下就得到ip了

QzP0ld.png

  1. NetBIOS

NetBIOS 是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是给局域网提供网络及其他特殊功能。几乎所有的局域网都是在NetBIOS 协议的基础上工作的,NetBIOS 的工作流程是正常的机器名解析查询应答过程,推荐优先使用。

直接上传使用即可

Qz92Hf.png

  1. icmp协议探活

    for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="

    Qz9Huq.png

  1. 通过Arp扫描

QzCCK1.png

  1. 通过常规TCP/UDP端口扫描探测内网

    scanline,Windows 全版本通用,体积小,仅使用单个文件,同时支持对TCP/UDP 的端口扫描

    scanline -h -t 22,80-89 -u 53,161,137,139 -O c:\windows\temp\log.txt -p 192.168.55.1-254 /b

    QzCm2d.png

探测端口信息

关注三点:

  • 端口的 Banner 信息。
  • 端口上运行的服务。
  • 常见应用的默认端口。

通过端口扫描我们能够知道计算机开了什么服务,运行了什么程序。

例如Apache,Tomcat等中间件中,存在管理控制台manager,可以尝试弱口令或者暴力破解登入,也可以通过控制台上传jsp、war等格式的webshell。或者Zabbix 监控工具默认密码没有更改,可以通过弱口令登录控制线上机器等,以此来拿下其他内网机器,得到更多信息。

  1. 使用Telnet

但现在大多数多关闭这个服务了,需要重新开启,如果只是想快速地探测某主机的某个常规高危端口是否开放,Telnet 命令是最方便的

  1. S 扫描器

S 扫描器是早期的一种比较快速的端口扫描工具,特别适合运行在Windows Sever 2003 以下的平台上,支持大网段扫描。S 扫描器的扫描结果默认保存在其目录下的result.txt 文件中。推荐使用TCP 扫描,命令如下

1
2
3
S.exe TCP 192.168.1.1 192.168.1.254
445,3389,1433,7001,1099,8080,80,22,23,21,25,110,3306,5432,1521,6379,2049,111
256 /Banner /save

3.msf的模块

4.nmap扫描

不推荐,动静太大

下边是一些常见的端口号信息,测试的时候需要耐心去一个个测

端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破\嗅探\溢出\后门
22 ssh:远程连接 爆破OpenSSH;28个退格
23 telnet:远程连接 爆破\嗅探
25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68 dhcp 劫持\欺骗
110 pop3 爆破
139 samba 爆破\未授权访问\远程代码执行
143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击\未授权访问
512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令\信息泄漏:源代码
1433 mssql 爆破:使用系统用户登录\注入攻击
1521 oracle 爆破:TNS\注入攻击
2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破\拒绝服务\注入
3389 rdp 爆破\Shift后门
4848 glassfish 爆破:控制台弱口令\认证绕过
5000 sybase/DB2 爆破\注入
5432 postgresql 缓冲区溢出\注入攻击\爆破:弱口令
5632 pcanywhere 拒绝服务\代码执行
5900 vnc 爆破:弱口令\认证绕过
6379 redis 未授权访问\爆破:弱口令
7001 weblogic Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见web攻击\控制台爆破\对应服务器版本漏洞
8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令\Java反序列
9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破\未授权访问

结语

上面是一些常规信息收集的工具但现在由于powershell的出现还有其他使用powershell进行信息收集的方法,动静会比较小,会在后面的文章进行介绍


听说,打赏我的人最后都成了大佬。



文章目录
  1. 1. 内网信息收集
    1. 1.1. 本机信息收集
    2. 1.2. 域信息收集
    3. 1.3. 探测域内存活主机
    4. 1.4. 探测端口信息
  2. 2. 结语