1.基本信息收集 判断网络环境
systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务
2.是否在域和域控判断
ipconfig /all 判断存在域、dns服务器
net view /domain 判断存在域
net time /domain 判断主域
nslookup 域名 获取域控ip
ping 域名 获取域控ip
3. 用户信息收集
目的是 了解当前计算机 或域环境下 的用户及用户组信息,便于后期利用凭据进行测试
相关命令
whoami /all 获取用户权限信息
net config workstation 登录信息
net user 获取本地用户信息
net localgroup 获取本地用户组信息
net user /domain 获取域用户信息
net group /domain 获取域用户组
wmic useraccount get /all 涉及域用户的详细信息
net group “Domain Admins” /domain 查询域管理员账户
net group “Domain users” /domain 查询域用户成员账户
net group "Enterprise admins " /domain 查询管理员用户组
net group “Domain Controllers” /domain 查询域控制器
4.凭据信息收集
指 各种密文,明文 口令等,为后续横向渗透做好测试准备
计算机用户 hash 明文获取 mimikatz(win),mimipenguin(linux)
计算机各种协议服务口令获取 lazagne(all) XenArmor(win)
netsh wlan show profiles
netsh wlan show profiles name=“无线名称” key=clear
1.站点源码备份文件,数据库备份文件
2.各种数据库web管理入口,如phpmyadmin
3.浏览器保存的密码,浏览器cookie
4.其他用户会话,3389和ipc$连接记录,回收站内容
5.windows 保存的WiFi密码
6.网络内部的各种账号密码。如 VPN FTP OA Email 等
5.探测内网架构存活主机
- 探测域控及ip
net time /domain nslookup ping - 探测域内存活主机
-
第三方工具
nbtscan 10.10.10.0/24
-
自带命令
for /L %I in (1,1,254) Do @ping -w 1 -n 1 10.10.10.%I | findstr "TTL="
- nmap masscan fscan empire 等等
- powershell 使用 nishang
#导入模块
Import-Module .\nishang.psm1
#设置执行策略(直接导入模块显示禁止运行就需要先设置执行策略)
Set-ExecutionPolicy RemoteSigned
#获取模块nishang的命令函数
Get-Command -Module nishang
#有很多可执行的命令函数 比如 mimikatz
Invoke-mimikatz
#获取常规计算机信息
Get-Information
#端口扫描(查看目录对应文件有演示语法,其他同理)
Invoke-Portscan -StartAddress 10.10.10.0 -EndAddress 10.10.10.129 -ResolveHost -ScanPort
#还存在其他功能 删除补丁 反弹shell 凭据获取
- 实操测试
导入模块 显示此系统禁止执行脚本
设置执行策略
再导入模块 好像成功
执行命令尝试
Get-Command -Module nishang
随便执行一个
Invoke-mimikatz
端口扫描 (测试发现 icmp即ping被防火墙关闭,扫不到ip。 )
Invoke-Portscan -StartAddress 10.10.10.0 -EndAddress 10.10.10.129 -ResolveHost -ScanPort
6. 判断主机服务信息,所属角色
根据 开放的端口服务 和计算机名 ,磁盘文件内容判断。
核心业务机器有:
- 高级管理人员,系统管理人员,运维人员,财务、人事、业务人员的个人pc。
- 产品管理系统服务器。
- 办公系统服务器。
- 财务应用系统服务器。
- 核心产品源码服务器。(自建SVN、GIT)
- 数据库服务器
- 文件或网盘服务器,共享服务器
- 电子邮件服务器
- 网络监控系统服务器
10.其他服务器(内部技术文档服务器,其他监控服务器等)