|
|
原文链接:内网信息收集总结
前言
本文记录一些内网渗透的注意点,信息比较散乱,后续更新完善
本机信息查询:常用信息
- 本机服务列表
- wmic service list brief
- 本机进程列表
- Tasklist /v
- 浏览器代理信息
- reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
- RDP端口号(16进制)
- reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /V portNumber
- 用户列表
- net user
- 本地管理员
- net localgroup administrators
- 在线用户
- query user || qwinsta
提权相关补丁信息查询和流程http://uuzdaisuki.com/2021/04/12 ... %E6%B5%81%E7%A8%8B/
本机3389开启
1.通用开3389:
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
2.Win2003:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
3.Win2008:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
4.win08 win2003 win7 win2012 winxp
win08,win2012三条命令皆可,win7前两条:
- wmic /namespace:\root\cimv2 erminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
- wmic /namespace:\root\cimv2 erminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
杀毒软件进程名- 360sd.exe 360杀毒
- 360tray.exe 360实时保护
- ZhuDongFangYu.exe 360主动防御
- KSafeTray.exe 金山卫士
- SafeDogUpdateCenter.exe 服务器安全狗
- McAfee McShield.exe McAfee
- egui.exe NOD32
- AVP.EXE 卡巴斯基
- avguard.exe 小红伞
- bdagent.exe BitDefender
敏感信息获取- 源码
- 数据库备份文件
- 浏览器密码、cookie
- 3389、ipc连接记录
- vpn
- 哈希提取
- http://uuzdaisuki.com/2021/04/22/windows%E5%93%88%E5%B8%8C%E6%8F%90%E5%8F%96%E6%96%B9%E5%BC%8F%E6%80%BB%E7%BB%93/
在拿到一个shell之后,需要先判断此机器有无域环境、是否出网、是否多网卡、内网网段分别是哪些。
- 查看网络配置信息
- ipconfig /all
- ifconfig
- 判断主域
- net time /domain
查看当前机器的网络配置信息,根据ip地址和子网掩码推测其可能存在的内网网段。以此来确认我们有没有搭建代理的必要。
域内信息收集- net view 查看域内机器列表
- net view /domain: ZZZ 查看ZZZ域中所有的机器列表。
- net group /domain 查询域里面所有的用户组列表
- net group "domain computers" /domain 查看所有域成员计算机列表
- net accounts /domain 查询域用户密码过期等信息
- net user /domain 获取域用户列表
- net group "domain admins" /domain 获取域管理员列表
- net group "domain controllers" /domain 查看域控制器
- net local group administrators 查看本地管理员组用户[通常含有域用户]
- net localgroup administrators /domain 登录域管理员用户
- net view /domain 查看内网存在多少个域
域内命令执行http://uuzdaisuki.com/2021/04/29 ... %E6%80%BB%E7%BB%93/
票据传递
http://uuzdaisuki.com/2021/04/21 ... %E6%94%BB%E5%87%BB/
敏感系统收集- 域控
- OA系统
- 财务系统
- 数据库系统
- 邮件服务器
- 文件服务器
- 官网服务器
- 人事系统
对目标内网进行扫描有两种方式,一种是通过代理进行扫描,一种是在shell中上传安装扫描工具。
上传扫描工具要考虑对方的系统、环境等情况
ping探测存活
- 1、如果IP连续,例如(192.168.1.1-192.168.1.10):
- @echo off&setlocal ENABLEDELAYEDEXPANSION
- if exist onlist.txt
- if exist offlist.txt
- for /l %%i in (1,1,10) do (
- ping -n 1 192.168.1.%%i>nul 2>nul
- if !errorlevel!==0 (echo 192.168.1.%%i >>c:\bat\onlist.txt) else (echo 192.168.1.%%i >>c:\bat\offlist.txt)
- )
-
- 2、如果IP不连续,那使用一个文件plist写入要测试的地址列表,然后批处理:
- @echo off&setlocal ENABLEDELAYEDEXPANSION
- if exist c:\bat\onlist.txt del c:\bat\onlist.txt
- if exist c:\bat\offlist.txt del c:\bat\offlist.txt
- for /f %%i in (c:\bat\pclist.txt) do (
- ping -n 1 %%i>nul 2>nul
- if !errorlevel!==0 (echo %%i >>c:\bat\onlist.txt) else (echo %%i >>c:\bat\offlist.txt)
- )
自写python脚本探测端口由于linux系统和程序员使用的windows环境一般都存在python环境,使用自写python脚本portscan扫描内网端口也很方便
常用的扫描端口列表
21,22,80,443,445,1433,1521,3306,3389,5900,6379,7001,8000,8080,8443
内网常见端口对应服务攻击
针对各类服务爆破
使用爆破工具获得口令,重点攻击:
- FTP( 21 / TCP)
- SSH( 22 / TCP)
- Telnet( 23 / TCP)
- NetBIOS / SMB / Samba( 139 / TCP 和 445 / TCP)
- LDAP( 389 / TCP)
- Kerberos( 88 / TCP)
- RDP /终端服务( 3389 / TCP)
- HTTP(S) / HTTP 管理服务( 80 / TCP 和 443 / TCP)
- MSSQL( 1433 / TCP)
- Oracle( 1521 / TCP)
- MySQL( 3306 / TCP)
- VNC( 5900 / TCP)
其他未授权访问端口
- Redis(6379)
- MongoDB(27017)
- Elasticsearch(9200)
- ZooKeeper(2181,2182)
- docker(2375)
- Memcached(11211)
- nfs(2049)
- CouchDB(5984)
- hadoop(50070)
其他
- Weblogic(7001/weblogic反序列化)
- Zabbix (8069/命令执行)
- Jenkins(8080-8089/控制台命令执行)
- JBoss(8080-8089/反序列化)
|
|
发表于 2021-10-7 17:37:55