内 渗透之信息收集

内 渗透之信息收集

• • 一、内 信息收集概述
  • 二、收集本机信息
  • 三、查看当前权限
  • 四、判断是否存在域
  • 五、搜集域内基本信息
  • 六、查看域控制器
  • 七、获取域内用户和管理员信息
  • 八、查询域管理员用户组
  • 九、定位域管理员
  • 十、查找与管理进程
  • 十一、探测域内存活主机

信息收集的深度，直接关系到内 渗透测试的成败

一、内 信息收集概述

1.1、我是谁/strong>

——对当前机器角色的判断

WEB服务器发测试服务器共服务器件服务器理服务器NS服务器等

根据 主机名、文件、 络连接情况综合判断。

1.2、这是哪/strong>

—— 对当前机器所处 络环境的拓扑结构进行分析与判断。

绘制大致内 拓扑图

1.3、我在哪

——- 对当前机器所处区域的判断。

DMZ区、办公区、核心区

二、收集本机信息

2.1手动信息收集

2.1.1查询 络配置信息
命令： ipconfig/all

systeminfo | findstr /B /C:“OS 名称” /C:“OS 版本”

例子：

命令：powershell “GET-WmiObject -class Win32_Product | Select-Object -Property name,version”

例子：

2.1.3查询本机服务信息

命令：wmic service list brief

2.1.5查看启动程序（启动项）信息

命令：wmic startup get command,caption

命令： net session

2.1.10 查询端口列表

命令： netstat -ano

2.1.11 查看补丁列表

命令： systeminfo
wmic qfe get Caption,Descript,HotFixID,InstalledOn

2.1.12查询本地共享列表
命令：net share
wmic share get name,path,status

2.1.13查询路由表及所有可用接口的ARP缓存表

命令： route print

• 查杀软

命令： WMIC /Node:localhost /Namespace:rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

• 修改防火墙配置

• win server 2003 及之前，允许指定程序全部连接。

netsh firewall add allowedprogram c:nc.exe “allwa nc” enable

• win server 2003 之后

netsh advfirewall firewall add rule name=“pass nc” dir=in action=allow program=“c:nc.exe”

• 允许指定程序退出

netsh advfirewall firewall add rule name=“Allow nc” dir=out action=allow program=“c:nc.exe”

• 允许 3389 端口放行

netsh advfirewall firewall add rule name=“Remote Desktop” protocol=TCP dir=in localport=3389 action=allow

• 自定义翻过墙存储位置

netsh advfirewall set currentprofile logging filename “c:windowstempfw.log”

• 远程桌面连接历史记录

  cmdkey /l

2.2自动收集信息

http://www.fuzzysecurity.com/scripts/files/wmic_info.rar

域用户 的 SSID 是

3.3查询指定用户详细信息

命令： net user win7 /domain

nslookup security.com

命令： net config workstation

命令： nslookup -type=SRV_ldap_tcp

6.3查看当前时间

命令： net time /domain

6.4查看域控制器组

命令: net group “domain controllers” /domain

七、获取域内用户和管理员信息

7.1查询所有域用户列表

命令： net user /domain

7.2获取域内用户详细信息

命令： wmic useraccount get /all

7.3查看存在的用户

dsquery user

dsquery computer – 查找目录中的计算机。
dsquery contact – 查找目录中的联系人。
dsquery subnet – 查找目录中的子 。
dsquery group – 查找目录中的组。
dsquery ou – 查找目录中的组织单位。
dsquery site – 查找目录中的站点。
dsquery server – 查找目录中的域控制器。
dsquery user – 查找目录中的用户。
dsquery quota – 查找目录中的配额。
dsquery partition – 查找目录中的分区。
dsquery * – 用通用的 LDAP 查询查找目录中的任何对象。

7.4查询本地管理员组用户

命令：net localgroup administrators

八、查询域管理员用户组

8.1查询域管理员用户
命令：net group “domain admins” /domain

8.2查询管理员用户组

命令：net group “enterprise admins” /domain

九、定位域管理员

9.1域管理员定位概述

内 中通常会有大量 络安全系统和设备，IDS, IPS, 日志审计，安全 关，反病毒软件等。

在一个域中，当计算机加入域之后，会默认给域管理员组赋予本地系统管理员权限。因此，域管理员组的成员均可访问本地计算机，且具有完全控制权限。

定位域管理员渠道：

• 日志：本地机器管理员日志，使用脚本或者Wevtuil工具导出查看。
• 会话，域内每台机器的登录会话，netsess.exe, powerview 等工具查询。

9.2常用域管理员定位权限

9.2.1 psloggedon.exe

可查看谁使用了本机资源，但不能查看谁在使用远程计算机资源、谁登录了本地或远程计算机

下载链接

9.2.2PVEFindADUser.exe

用于查找活动目录用户登录的位置、枚举域用户，以及查找在特定计算机上登录的用户，包括本地用户、通过RDP登录用户、用于运行服务器和计划任务的用户。

需管理员权限

9.2.3 netview.exe

枚举工具

下载链接

9.2.4 Nmap的NSE脚本

zenmap

下载链接

9.2.5powerview脚本

下载链接

9.2.6 Empire 的 user_hunter 模块

十、查找与管理进程

典型域提权： 明文凭据或通过 mimikatz （kali 自带工具，密码抓取神器）提权。

10.1本机检查

• 获取域管理员列表

命令： net group “domain admins” /domain

• 列出本机所有进程及进程用户
  命令： tasklist /v

• 寻找域控制器的域用户会话

原理：在域控制器中查询域会话列表，并将其与域管理员列表交叉引用，从而得到与管理会话的系统列表。

(netsess.exe须上载到目标机器中)

十一、探测域内存活主机

11.1 利用NetBIOS 快速探测内
nbtscan下载链接

命令：
nbtscan.exe -h

nbtscan.exe 10.1.1.1/24

11.2 利用ICMP协议快速探测内
命令：
for /L %i in (1,1,254) DO @ping -w 1 -n 1 10.1.1.%i | findstr “TTL=”

11.3 通过 Arp协议探测

arp.exe -t 10.1.1.1/24

Empire、Nishang

11.4 常规TCP/UDP扫描探测

msf、nmap

11.5 扫描内 端口

• 端口banner信息
• 端口上运行的服务
• 常见应用的默认端口

11.5.1 telnet

telnet DC 22

11.5.2 MSF

search portscan

auxiliary/scanner/portscan/tcp

11.5.3 powershell 的Invoke-portscan.ps1脚本