内网渗透-内网信息收集

0x00 前言

渗透测试的本质是信息收集,内网渗透也同样如此.

0x01 本机信息收集

收集账户信息

常用命令如下:

whoami 当前用户
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
查看本机管理员 `net localgroup administrators `

linux:
cat /etc/shadow
cat /etc/passwd

查看网络及端口信息

看网络是否出网,有无内网,或者是否存在容易攻击的网络服务或者端口

ipconfig/ifconfig 查询网络情况
netstat -ano 端口开放信息
arp -a arp信息
route print 路由信息
dns信息
hosts文件

部分常见端口的协议说明和攻击思路

端口号	端口说明	攻击技巧
21/22/69	ftp/tftp：文件传输协议	爆破\嗅探\溢出\后门
22	ssh：远程连接	爆破OpenSSH；28个退格
23	telnet：远程连接	爆破\嗅探
25	smtp：邮件服务	邮件伪造
53	DNS：域名系统	DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68	dhcp	劫持\欺骗
110	pop3	爆破
139	samba	爆破\未授权访问\远程代码执行
143	imap	爆破
161	snmp	爆破
389	ldap	注入攻击\未授权访问
445	SMB	远程代码执行
512/513/514	linux r	直接使用rlogin
873	rsync	未授权访问
1080	socket	爆破：进行内网渗透
1352	lotus	爆破：弱口令\信息泄漏：源代码
1433	mssql	爆破：使用系统用户登录\注入攻击
1521	oracle	爆破：TNS\注入攻击
2049	nfs	配置不当
2181	zookeeper	未授权访问
3306	mysql	爆破\拒绝服务\注入
3389	rdp	爆破\Shift后门
4848	glassfish	爆破：控制台弱口令\认证绕过
5000	sybase/DB2	爆破\注入
5432	postgresql	缓冲区溢出\注入攻击\爆破：弱口令
5632	pcanywhere	拒绝服务\代码执行
5900	vnc	爆破：弱口令\认证绕过
6379	redis	未授权访问\爆破：弱口令
7001	weblogic	Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080	web	常见web攻击\控制台爆破\对应服务器版本漏洞
8069	zabbix	远程命令执行
9080	websphere	远程命令执行
9090	websphere控制台	爆破：控制台弱口令\Java反序列
9200/9300	elasticsearch	远程代码执行
11211	memcacache	未授权访问
27017	mongodb	爆破\未授权访问

查询系统版本及补丁信息

win:
systeminfo
wmic qfe get  Caption,description,HotfixID,installedOn 
linux：
uname -a 

根据补丁或者版本可以查看当前系统是否存在内核漏洞或者其他漏洞进行下一步攻击

查看进程服务等 软件信息

win：
tasklist /v
查看安装的软件信息 wmic product get name,version
查看服务信息 wmic service list brief``sc query``Get-WmiObject win32_service | select PathName
linux：
ps aux/ps -ef
top 
还可以通过/proc/pid

这一步主要是看是否存在容易攻击的应用进程 还可以了解有无AV

查看杀软信息：

wmic /node:localhost /namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

获取凭证密码信息

收集凭证信息可以帮助我们更好的进行测试,如密码习惯,域渗透所需凭证,远程登陆等

• 工具

  • Windows：

    • mimikatz

    • wce

    • Invoke-WCMDump

    • mimiDbg

    • LaZagne

    • nirsoft_package

  • Linux：

    • LaZagne

    • mimipenguin

• Windows： 本地密码Hash和明文密码/抓取浏览器密码/服务端明文密码

• linux：history记录敏感操作/shadow文件破解/mimipenguin抓取密码/使用Strace收集登录凭证/全盘搜索敏感信息

• Windows RDP连接记录

• 浏览器中保存的账号密码

• 系统密码管理器中的各种密码

查询本机共享列表

net share
wmic share get name,path,status

查询防火墙相关配置

netsh firewall show config 查看防火墙配置
关闭防火墙 
netsh firewall set opmode disable Windows Server 2003及之前的版本
netsh advfirewall set allprofiles state off Windows Server 2003之后的版本
防火墙日志目录 netsh firewall show logging
防火墙规则 netsh advfirewall firewall show rule name=all

查询并开启远程连接服务

• 查询远程连接端口

Reg query "hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\RDP-Tcp" /v portnumber

0x02 域内信息收集

判断是否存在域:

• 通过主DNS后缀判断是否存在域 ifconfig /all
• 查看系统的基本信息 systeminfo

查看当前登陆域

• net config workstation

查看远程登陆信息

• cmdkey /l

判断主域（定位域控）

• 查询时间

  • net time /domain
  • 原理：域服务器通常会同时作为时间服务器使用

• 查看域控制器主机名: net group "domain controllers" /domain

• 通过DNS服务器定位

  • 一般DNS服务器和域控是同一台服务器
  • nslookup -type=SRV_ldap_tcp

获取域内基础信息

• 查询域：net view /domain (存在域tide)
• 查询域内所有计算机：net view /domain:域名
• 查询域内所有工作组：net group /domain
• 查看所有域成员计算机列表：net group "domain computers" /domain
• 获取域信任信息：nltest /domain_trusts
• 获取域密码信息：net accounts /domain

查找域控

• 查看域控机器名：nltest /DCLIST:域名
• 查看域控制器组：net group "Domain Controllers" /domain

获取域内用户和管理员信息

• 查询所有域用户列表：net user /domain
• 获取域内用户的详细信息：wmic useraccount get /all
• 查询域管理员用户组：net group "domain admins" /domain
• 查询管理员用户组：net group "Enterprise Admins" /domain
• 用户特权信息 whoami /priv
• 查看登陆本机的域管理员 net localgroup administrators /domain
• 修改域用户密码 net user /domain xxx pass

查找域管理进程

• 列出本机的所有进程及进程用户：tasklist /v
• 查询域控制器列表：net group “Domain Controllers” /domain