信息收集之内网渗透(二)

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与学习之用，读者将信息做其他用途，由Ta承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

0、前言

本文主要是一些命令的集合，会比较枯燥，需要自己动手操作。

内网信息收集可分为三部分：本机基础信息、网络信息和域环境信息。

1、本机基础信息收集

进入内网后，需要对当前机器角色的判断，对当前机器所处网络环境的拓扑结构进行分析和判断，对当前机器所处区域的判断。

注意：部分命令仅适合在win7

1.查看当前权限
whoami

2.查看指定用户的详细信息
net user username
net user username /domain

3.查看用户SID
whoami /all

4.查看网卡配置
ipconfig /all

5.查看服务器版本\补丁等
systeminfo

6.查看系统架构
echo %PROCESSOR_ARCHITECTURE%

7.查看安装的软件及版本
wmic product get name,version

8.查看本机服务信息
wmic service list brief

9.查询进程信息和列表
wmic process list brief
tasklist /v

10.查看启动程序信息
wmic startup get command,caption

11.查看计划任务
schtasks /query /fo LIST /v

12.查看主机开机时间
net statistics workstation

13.查看属于本地管理员组的用户
net localgroup administrators

14.查看当前在线用户
query user || qwinsta
quser

15.端口开放情况
netstat -nao

16.列出或者断开本地计算机和连接的客户端会话
net session

17.补丁列表
wmic qfe get Caption,Description,HotFixID,InstalledOn
systeminfo

18.查看本机共享和可访问共享列表
net share
wmic share get name,path,status

信息收集辅助： https://detect.secwx.com/
补丁对比辅助： https://i.hacking8.com/tiquan

防火墙相关

进站规则
netsh advfirewall firewall show rule name=all dir=in
netsh firewall show config

(1)关闭防火墙
netsh firewall set opmode disable // Windows Server 2003 系统及之前版本
netsh advfirewall set allprofiles state off // Windows Server 2003 之后系统版本

(2)修改防火墙配置
netsh firewall add allowedprogram c:\nc.exe “allow nc” enable
// Windows Server 2003 系统及之前版本，允许指定程序全部连接Windows Server 2003 之后系统版本， 情况如下:

//允许指定程序连入：
netsh advfirewall firewall add rule name=“pass nc” dir=in action=allow program=“C:\nc.exe”

//允许指定程序连出：
netsh advfirewall firewall add rule name=“Allow nc” dir=out action=allow program=“C:\nc.exe”

远程服务相关

①查询远程服务是否开启
注册表查询RDP是否开启(0x1为关闭、 0x0为开启)
REG QUERY “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections
②查看远程服务的端口
REG QUERY “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp” /v PortNumber
③修改远程服务端口
REG ADD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp” /v PortNumber /t REG_DWORD /d x00003d3 （3389） 需要管理员

2、网络信息收集

分网段探测和存活主机探测。前者进行判断网络的架构，尽可能多的收集更多的网段，获得更多的网络信息，扩展可利用面。后者获取更多的存活主机，扩展利用点。获取更多的主机权限，同时获得更多的资产信息。

2.1、网段信息收集

1、 netstat -nato -p tcp
netstat -nato -p udp

2、 C:\Windows\System32\drivers\etc\hosts

3、 ipconfig

4、 远程连接管理工具

5、 远程连接记录
reg query “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers” /s

6、 事件查看器 -> windows日志 -> 安全 -> id:4648

2.2、存活主机探测

1、利用ICMP协议探测内网
For /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.242.%I | findstr “TTL=”

命令参数解析：
for /L %I in (sequence) do command，for遍历
192.168.242.%I，代表要ping的网段：192.168.242.0网段
(1,1,254)，第一个1和最后一个254，代表从1-254，中间那个1，代表，每次ping，递增1
-n 1，代表发送的回显请求数
-w 1，代表等待回复每次ping超时时间(毫秒)

2、arp
arp-scan.exe -t 192.168.242.1/24

3、tcp\udp
nmap -Pn -sT -p22,445,139,135 192.168.242.1/24

2.3、端口扫描

1、nmap
2、routescan
3、scanport

详细使用说明请参考博客：https://blog.csdn.net/qq_40989258/article/details/104064066

3、域环境信息收集

1.判断是否在域中
ipconfig /all 查看DNS信息， 是否存在域名
systeminfo 查看域(为WORKGROUP则没有域)
2.查询当前登录域及登录用户信息
net config workstation
3.判断主域
net time /domain // 域服务通常会同时作为时间服务器使用
4.查询域
net view /domain
5.查看域内用户组列表
net group /domain
相关组信息：
Domain Admins： 域管理员
Domain Computers： 域内机器
Domain Controllers： 域控制器(DC)
Domain Guests： 域访客， 权限低
Domain Users： 域普通用户
Enterprise Admins： 企业系统管理员(比Domain Admins权限高)
默认情况下： Domain Admins、 Enterprise Admins组中的用户对域内所有域控有完全控制权限
6.查询域内所有计算机
net group “domain computers” /domain
7.获取域内密码策略
net accounts /domain
8.获取域信任信息
nltest /domain_trusts
9.查看域控制器的计算机名
nltest /DCLIST:domainname
10.查看域控制器的主机名
Nslookup -tyoe=SRV _ldap._tcp
11.查看域控制器组
net group “Domain Controllers” /domain
// netdom query pdc (域控制器可执行)
12.查询域内所有用户列表
net user /domain
13.获取域内用户的详细信息
wmic useraccount get /all (用户名、 描述信息、 SID、 域名、 状态)
14.查询域管理员用户
net group “domain admins” /domain
15.查询管理员用户组
net group “Enterprise Admins” /domain

4、补充情报收集网站

分享Web渗透测试几个情报收集网站

360安全大脑： https://ti.360.cn/#/homepage
微步在线： https://x.threatbook.cn/
钟馗之眼： https://www.zoomeye.org/
搜索病毒总数： https://www.virustotal.com/gui/home/search
漏洞平台： https://www.shentoushi.top/

5、资料获取

如果需要上文提到的arp-scan.exe工具，请关注公众号：大象只为你，回复：信息收集。