内网渗透-前期信息收集

概述

当我们渗透web端或者通过其他方式拿到某内网主机shell,我们就可以尝试开始内网渗透,也叫做后渗透,域渗透等,探索域内网络架构,通过内网渗透得到其他内网主机的权限,或者通过内网主机获取到同域的最高管理员主机权限等。
1.内网基本认知:各种名词认知,域的认知,大概了解内网安全流程
2.内网信息收集:
(1)内网主机的基本信息(版本,补丁,服务,任务,防护…),
(2)网络信息(端口,环境,代理通道…),
(3)用户信息(域用户,本地用户,用户权限,组信息…),
(4)凭据信息(各种储存的协议账号密码信息,各种口令信息,hash…)
3.后续探针信息:探索到域内的网络架构信息,存活主机,域控信息,服务接口…

内网相关概念这里不再进行介绍,大家可以参考我之前发的文章内网渗透-域环境基础,诸如什么是域、域与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解,

Tips:本次讲解的是基于Windows环境下的信息收集,后续会讲解Linux环境下信息收集操作

主机详细信息收集

通过web获取权限拿到主机权限后,应了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做好准备

  • systeminfo

    获取当前主机名称,打了哪些补丁等详细信息

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ftKE5A0r-1659023305778)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220613150025001.png)]

  • net start

    获取当前主机启动的服务

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-f7YsTYMq-1659023305779)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220613150131204.png)]

  • tasklist

    查看进程列表

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1I9mHUbS-1659023305779)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220613150221122.png)]

网络信息收集

了解当前服务器的网络接口信息,判断是否在域环境下,判断当前角色,功能,网络架构做准备

  • ipconfig/all

    查看当前主机网络IP信息,以及判断存在域-DNS

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VNS6mxM0-1659023305780)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220613150545553.png)]

  • net view /domain

    判断存在域
    在这里插入图片描述

  • net time /domain

    判断主域
    在这里插入图片描述

  • netstat -ano

    查看当前主机网络端口开放
    在这里插入图片描述

  • nslookup

    域名 可追踪来源地址,以及判断域控IP
    在这里插入图片描述

用户信息收集

了解在当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试

系统默认常见用户身份:

Domain Admins:域管理员(默认对域控制器有完全控制权)

Domain Computers:域内机器

Domain Controllers:域控制器

Domain Guest:域访客,权限低

Domain Users:域用户

Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)

在这里插入图片描述

相关用户收集操作命令:

  • whoami /all:查看用户权限
    在这里插入图片描述

  • net config workstaion:登录信息
    在这里插入图片描述

  • net user:查看本地用户
    在这里插入图片描述

后续的自行进行测试~

  • net localgroup 本地用户组
  • net user /domain 获取域用户信息
  • net group /domain 获取域用户组信息
  • wmic useraccount get /all 涉及域用户详细信息
  • net group “Domain Admins” /domain 查询域管理员账户
  • net group “Enterprise Admins” /domain 查询管理员用户组
  • net group “Domain Controllers” /domain 查询域控制器

凭据信息收集

收集主机上各种密文,明文,口令等,为后续横向渗透测试做好测试准备

计算机用户HASH,明文获取-minikatz(win),mimipenguin(linux)

minikatz

使用教程:

下载地址:https://github.com/gentilkiwi/mimikatz/releases

下载后是个exe文件加载到主机上

在这里插入图片描述

分为x64,和32位主机

在这里插入图片描述

打开exe界面:输入以下两条指令进行执行

mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

README文件里有使用教程

执行成功后 可以看到账号密码以明文形式显现出来了

在这里插入图片描述

注意:部分拿到web权限后执行该文件会爆出该错误
在这里插入图片描述

解决方式:获取到的主机需要提权到system权限或administrator权限即可成功执行

前期提权的重要性,部分会报错账号密码是空的情况
在这里插入图片描述

mimipenguin(linux)

linux下检测工具,该工具兼容性不全,只适用与linux,权限不是root将无法执行

下载地址:https://github.com/huntergregal/mimipenguin/releases/

协议服务口令信息收集

计算机各种协议服务口令获取-Lazagne(all),XenArmor(win)

1.站点源码备份文件、数据库备份文件等

2.各类数据库Web管理入口,如PHPMyAdmin

3.浏览器保存密码、浏览器Cookies

4.其他用户会话、3389和ipc$连接记录、回收站内容

5.Windows 保存的WIFI密码

6.网络内部的各种帐号和密码,如:Email、VPN、FTP、OA等

Lazagne

该工具兼容任何系统(win/linux/mac) 推荐该工具

下载地址:https://github.com/AlessandroZ/LaZagne

下载该windows exe文件后,拖入到cmd命令行进行执行

在这里插入图片描述

列出了需要查看的文件密码,一般都是直接all全选

在这里插入图片描述

执行成功,可以看到历史的wifi,浏览器保存密码,各种口令,为后期渗透提高了更多手段
在这里插入图片描述

探针内网信息收集

探针主机域控架构服务操作演示

为后续横向思路做准备,针对应用,协议等各类攻击手法

探针域内存活主机及IP地址信息

注意:使用工具容易被运维容易发现,建议使用自带命令

netbios

下载地址:http://www.unixwiz.net/tools/nbtscan.html

将下载后的exe文件拖入cmd执行 输入要扫描的网段

该工具目前容易被查杀,不建议使用
在这里插入图片描述

自带命令

推荐使用自带命令,不会被发现

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="

在cmd中执行
在这里插入图片描述

成功探测到存活主机

nmap/msscan第三方工具

蓝队如有APT,态势感知等设备,容易被发现,不建议使用

nishang/PowerShell脚本

该工具为集成一体化工具/包含minikatz的所有功能,推荐使用

下载地址:https://github.com/samratashok/nishang

下载后通过PowerShell命令行进行导入模块

Import-Module .\nishang.psm1

设置执行策略

Set-ExecutionPolicy RemoteSigned

获取模块nishang的命令函数

Get-Command -Module nishang

在这里插入图片描述

可以看到nishang支持的功能

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j2jxIajc-1659023305791)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220613175718866.png)]

minikatz也包含在里面

在这里插入图片描述

执行只需要对应的命令即可

Invoke-Mimikatz

在这里插入图片描述

密码全部出来了

在这里插入图片描述

获取常规计算机信息

Get-Information

在这里插入图片描述

端口扫描(查看目录对应文件有演示语法,其他同理)

Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort

在这里插入图片描述

#其他功能:删除补丁,反弹Shell,凭据获取等

探针域内主机角色及服务信息

利用开放端口服务及计算机名判断

核心业务机器:

1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机

2.产品管理系统服务器

3.办公系统服务器

4.财务应用系统服务器

5.核心产品源码服务器(自建SVN、GIT)

6.数据库服务器

7.文件或网盘服务器、共享服务器

8.电子邮件服务器

9.网络监控系统服务器

10.其他服务器(内部技术文档服务器、其他监控服务器等)

总结

一、本次讲的前期信息收集环节利用条件放在现实中利用比较苛刻(比较安全厂商的设备也不是吃白饭的)基本都能检测到流量,学习个内网前期信息收集思路即可
二、嫌麻烦的可以使用一些市面常见的工具,做免杀处理可以达到很好的效果,如Ladon、CS、等其他工具

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ranwu0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值