内 渗透之信息收集
-
- 一、内 信息收集概述
- 二、收集本机信息
- 三、查看当前权限
- 四、判断是否存在域
- 五、搜集域内基本信息
- 六、查看域控制器
- 七、获取域内用户和管理员信息
- 八、查询域管理员用户组
- 九、定位域管理员
- 十、查找与管理进程
- 十一、探测域内存活主机
信息收集的深度,直接关系到内 渗透测试的成败
一、内 信息收集概述
1.1、我是谁/strong>
——对当前机器角色的判断
WEB服务器发测试服务器共服务器件服务器理服务器NS服务器等
根据 主机名、文件、 络连接情况综合判断。
1.2、这是哪/strong>
—— 对当前机器所处 络环境的拓扑结构进行分析与判断。
绘制大致内 拓扑图
1.3、我在哪
——- 对当前机器所处区域的判断。
DMZ区、办公区、核心区
二、收集本机信息
2.1手动信息收集
2.1.1查询 络配置信息
命令: ipconfig/all
systeminfo | findstr /B /C:“OS 名称” /C:“OS 版本”
例子:
命令:powershell “GET-WmiObject -class Win32_Product | Select-Object -Property name,version”
例子:
2.1.3查询本机服务信息
命令:wmic service list brief
2.1.5查看启动程序(启动项)信息
命令:wmic startup get command,caption
命令: net session
2.1.10 查询端口列表
命令: netstat -ano
2.1.11 查看补丁列表
命令: systeminfo
wmic qfe get Caption,Descript,HotFixID,InstalledOn
2.1.12查询本地共享列表
命令:net share
wmic share get name,path,status
2.1.13查询路由表及所有可用接口的ARP缓存表
命令: route print
- 查杀软
命令: WMIC /Node:localhost /Namespace:rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
-
修改防火墙配置
-
win server 2003 及之前,允许指定程序全部连接。
netsh firewall add allowedprogram c:nc.exe “allwa nc” enable
- win server 2003 之后
netsh advfirewall firewall add rule name=“pass nc” dir=in action=allow program=“c:nc.exe”
- 允许指定程序退出
netsh advfirewall firewall add rule name=“Allow nc” dir=out action=allow program=“c:nc.exe”
- 允许 3389 端口放行
netsh advfirewall firewall add rule name=“Remote Desktop” protocol=TCP dir=in localport=3389 action=allow
- 自定义翻过墙存储位置
netsh advfirewall set currentprofile logging filename “c:windowstempfw.log”
-
远程桌面连接历史记录
cmdkey /l
2.2自动收集信息
http://www.fuzzysecurity.com/scripts/files/wmic_info.rar
域用户 的 SSID 是
3.3查询指定用户详细信息
命令: net user win7 /domain
nslookup security.com
命令: net config workstation
命令: nslookup -type=SRV_ldap_tcp
6.3查看当前时间
命令: net time /domain
6.4查看域控制器组
命令: net group “domain controllers” /domain
七、获取域内用户和管理员信息
7.1查询所有域用户列表
命令: net user /domain
7.2获取域内用户详细信息
命令: wmic useraccount get /all
7.3查看存在的用户
dsquery user
dsquery computer – 查找目录中的计算机。
dsquery contact – 查找目录中的联系人。
dsquery subnet – 查找目录中的子 。
dsquery group – 查找目录中的组。
dsquery ou – 查找目录中的组织单位。
dsquery site – 查找目录中的站点。
dsquery server – 查找目录中的域控制器。
dsquery user – 查找目录中的用户。
dsquery quota – 查找目录中的配额。
dsquery partition – 查找目录中的分区。
dsquery * – 用通用的 LDAP 查询查找目录中的任何对象。
7.4查询本地管理员组用户
命令:net localgroup administrators
八、查询域管理员用户组
8.1查询域管理员用户
命令:net group “domain admins” /domain
8.2查询管理员用户组
命令:net group “enterprise admins” /domain
九、定位域管理员
9.1域管理员定位概述
内 中通常会有大量 络安全系统和设备,IDS, IPS, 日志审计,安全 关,反病毒软件等。
在一个域中,当计算机加入域之后,会默认给域管理员组赋予本地系统管理员权限。因此,域管理员组的成员均可访问本地计算机,且具有完全控制权限。
定位域管理员渠道:
- 日志:本地机器管理员日志,使用脚本或者Wevtuil工具导出查看。
- 会话,域内每台机器的登录会话,netsess.exe, powerview 等工具查询。
9.2常用域管理员定位权限
9.2.1 psloggedon.exe
可查看谁使用了本机资源,但不能查看谁在使用远程计算机资源、谁登录了本地或远程计算机
下载链接
9.2.2PVEFindADUser.exe
用于查找活动目录用户登录的位置、枚举域用户,以及查找在特定计算机上登录的用户,包括本地用户、通过RDP登录用户、用于运行服务器和计划任务的用户。
需管理员权限
9.2.3 netview.exe
枚举工具
下载链接
9.2.4 Nmap的NSE脚本
zenmap
下载链接
9.2.5powerview脚本
下载链接
9.2.6 Empire 的 user_hunter 模块
十、查找与管理进程
典型域提权: 明文凭据或通过 mimikatz (kali 自带工具,密码抓取神器)提权。
10.1本机检查
- 获取域管理员列表
命令: net group “domain admins” /domain
-
列出本机所有进程及进程用户
命令: tasklist /v -
寻找域控制器的域用户会话
原理:在域控制器中查询域会话列表,并将其与域管理员列表交叉引用,从而得到与管理会话的系统列表。
(netsess.exe须上载到目标机器中)
十一、探测域内存活主机
11.1 利用NetBIOS 快速探测内
nbtscan下载链接
命令:
nbtscan.exe -h
nbtscan.exe 10.1.1.1/24

命令:
for /L %i in (1,1,254) DO @ping -w 1 -n 1 10.1.1.%i | findstr “TTL=”
11.3 通过 Arp协议探测
arp.exe -t 10.1.1.1/24
Empire、Nishang
11.4 常规TCP/UDP扫描探测
msf、nmap
11.5 扫描内 端口
- 端口banner信息
- 端口上运行的服务
- 常见应用的默认端口
11.5.1 telnet
telnet DC 22
11.5.2 MSF
search portscan
auxiliary/scanner/portscan/tcp
11.5.3 powershell 的Invoke-portscan.ps1脚本
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!