内网渗透初识—信息收集

内网渗透初识—信息收集 本机信息收集 网络配置信息 ipconfig /all ：查看本机IP地址、子网掩码、默认网关、DNS服务器等网络配置信息 操作系统信息 systeminfo ：查询操作系统及版本信息、补丁信息等 echo %PROCESSOR_ARCHITECTURE% ：查询系统体系架构 软件信息 wmic product get name,version ：查询已安装的软件及版本信息 PowerShell替代命令： Get-WmiObject -class win32_product | Select-Object -property name,version 服务与进程 wmic service list brief ：查询本机服务 tasklist 或 wmic process list brief ：查询进程列表 杀毒软件识别 常见杀软进程对照表： | 进程名 | 软件 | |--------|------| | 360sd.exe | 360杀毒 | | 360tray.exe | 360实时保护 | | ZhuDongFangYu.exe | 360主动防御 | | KSafeTray.exe | 金山卫士 | | SafeDogUpdateCenter.exe | 安全狗 | | McAfee McShield.exe | McAfee | | egui.exe | NOD32 | | AVP.exe | 卡巴斯基 | | avguard.exe | 小红伞 | | bdagent.exe | BitDefender | 启动项与计划任务 wmic startup get command,caption ：查看已启动的程序信息 schtasks /query /fo LIST /v ：查看计划任务 系统运行时间 net statistics workstation ：查看主机的开机时间 用户信息 net user ：查看用户列表 net localgroup administrators ：查看本地管理员信息 query user 或 qwinsta ：查看当前在线的用户 网络连接与会话 net session ：查看本地计算机与所连接客户端之间的会话 netstat -ano ：查看端口连接情况 补丁信息 systeminfo wmic qfe get caption,description,hotfixid,installedon 共享文件夹 net share wmic share get name,path,status 路由与ARP route print ：查询路由表 arp -a ：查询所有可用的ARP缓存表 防火墙配置 netsh firewall show config ：查看防火墙配置 关闭防火墙： WinServer 2003之前： netsh firewall set opmode disable WinServer 2003之后： netsh advfirewall set allprofiles state off 代理设置 reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" 远程连接服务 reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber 权限信息 whoami ：查看当前权限 whoami /all ：获取域ID net user xxx /domain ：获取指定用户的详细信息 域环境探测 判断是否存在域 ipconfig /all ：查看DNS后缀 nslookup 域名 ：解析域名的IP net config workstation ：查询当前的登录域与用户信息 net time /domain ：判断主域 探测域内存活主机 ICMP探测： Empire的arpscan模块： usemodule situational_awareness/network/arpscan 端口扫描与Banner获取 扫描方法 Telnet扫描： telnet 主机名 22 Metasploit模块： auxiliar/scanner/portscan/ack auxiliar/scanner/portscan/ftpbounce auxiliar/scanner/portscan/syn auxiliar/scanner/portscan/tcp auxiliar/scanner/portscan/xmas PowerSploit的 Invoke-Portscan.ps1 脚本 Nishang的PortScan模块 常见端口与攻击技巧 | 端口号 | 服务 | 攻击技巧 | |--------|------|----------| | 21/22/69 | FTP/TFTP | 匿名上传下载、爆破、嗅探、溢出和后门 | | 22 | SSH | 爆破OpenSSH；28个退格 | | 23 | Telnet | 爆破、嗅探、弱口令 | | 25 | SMTP | 邮件伪造 | | 53 | DNS | 区域传输、劫持、缓存投毒、欺骗、隧道技术 | | 80/443/8080 | Web服务 | Web攻击、爆破、服务器版本漏洞 | | 110 | POP3 | 爆破、嗅探 | | 139 | Samba | 爆破、未授权访问、远程代码执行 | | 1433 | MSSQL | 爆破、注入攻击、SA弱口令 | | 1521 | Oracle | 爆破TNS、注入攻击、反弹shell | | 2049 | NFS | 配置不当 | | 3306 | MySQL | 爆破、拒绝服务、注入、提权 | | 3389 | RDP | 爆破、Shift后门 | | 6379 | Redis | 未授权访问、弱口令爆破 | | 7001/7002 | WebLogic | Java反序列化、控制台弱口令、部署webshell | | 8080/8089 | JBoss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 | | 27017/27018 | MongoDB | 爆破、未授权访问 | 域内信息收集 基础信息 net view /domain ：查询域 net view /domain:域名 ：查询域内所有计算机 net group /domain ：查询域内所有用户组 net group "domain computers" /domain ：查看所有域成员计算机列表 net accounts /domain ：获取域密码信息 nltest /domain_trusts ：获取域信任信息 域控定位 nltest /DCLIST:域名 ：查看域控机器名 nslookup -type=SRV _ldap._tcp ：查看域控主机名 net group "Domain Controllers" /domain ：查看域控制器组 netdom query pdc ：查询主域控制器 用户和管理员信息 net user /domain ：查询所有域用户列表 wmic useraccount get /all ：获取域内用户的详细信息 dsquery user ：查看存在的用户 net localgroup administrators ：查询本地管理员组用户 net group "domain admins" /domain ：查询域管理员用户组 net group "Enterprise Admins" /domain ：查询企业管理员用户组 域管理员定位 方法 检查日志（本地机器的管理员日志） 检查会话信息 工具 psloggedon.exe netview.exe PVEFindADUser.exe PowerSploit的PowerView脚本 Empire的user_ hunter模块 查找域管理进程 net group "Domain Admins" /domain ：列出域管理员 tasklist /v ：列出本机的所有进程及进程用户 在进程中查找域管理员进程或相关进程 查询域控的域用户会话 net group "Domain Controllers" /domain ：查询域控制器列表 net group "Domain admins" /domain ：收集域管理员列表 NetSess -h ：收集所有活动域的会话列表 PowerShell信息收集 准备工作 更改执行策略： Set-ExecutionPolicy RemoteSigned 导入PowerView模块： Import-Module .\PowerView.ps1 常用命令 参考PowerSploit/Recon/README.md中的命令用法 总结 内网渗透的信息收集是渗透测试的基础阶段，需要全面收集目标系统的各种信息，包括但不限于： 本机系统信息 网络配置信息 用户和权限信息 域环境信息 服务与端口信息 安全防护信息 通过全面收集这些信息，可以为后续的渗透测试提供有力的支持，帮助发现潜在的安全漏洞和攻击路径。