内网信息收集总结

本机信息查询

常用信息

复制代码
本机服务列表
wmic service list brief
本机进程列表
Tasklist /v
浏览器代理信息
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
RDP端口号(16进制)
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /V portNumber
用户列表
net user
本地管理员
net localgroup administrators
在线用户
query user || qwinsta

提权相关补丁信息查询和流程

http://uuzdaisuki.com/2021/04/12/windows提权速查流程/

本机3389开启

1.通用开3389:

复制代码
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

2.Win2003:

复制代码
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v 
fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.Win2008:

复制代码
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v 
fDenyTSConnections /t REG_DWORD /d 00000000 /f

4.win08 win2003 win7 win2012 winxp

win08,win2012三条命令皆可,win7前两条:

复制代码
wmic /namespace:\root\cimv2 erminalservices path 
win32_terminalservicesetting where (__CLASS != "") call 
setallowtsconnections 1

wmic /namespace:\root\cimv2 erminalservices path 
win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

杀毒软件进程名

复制代码
360sd.exe 360杀毒
360tray.exe 360实时保护
ZhuDongFangYu.exe 360主动防御
KSafeTray.exe 金山卫士
SafeDogUpdateCenter.exe 服务器安全狗
McAfee McShield.exe McAfee
egui.exe NOD32
AVP.EXE 卡巴斯基
avguard.exe 小红伞
bdagent.exe BitDefender

敏感信息获取

复制代码
源码
数据库备份文件
浏览器密码、cookie
3389、ipc连接记录
vpn
哈希提取
http://uuzdaisuki.com/2021/04/22/windows%E5%93%88%E5%B8%8C%E6%8F%90%E5%8F%96%E6%96%B9%E5%BC%8F%E6%80%BB%E7%BB%93/

域信息或内网信息收集

在拿到一个shell之后,需要先判断此机器有无域环境、是否出网、是否多网卡、内网网段分别是哪些。

复制代码
查看网络配置信息
ipconfig /all
ifconfig
判断主域
net time /domain

根据是否出网选择不同的代理方式,如目标出网,可采用frp等方式搭建代理,不出网有webshell等情况,可采用reGeorg等方式搭建代理。

查看当前机器的网络配置信息,根据ip地址和子网掩码推测其可能存在的内网网段。以此来确认我们有没有搭建代理的必要。

域内信息收集

复制代码
net view 查看域内机器列表
net view /domain: ZZZ 查看ZZZ域中所有的机器列表。
net group /domain 查询域里面所有的用户组列表
net group "domain computers" /domain 查看所有域成员计算机列表
net accounts /domain 查询域用户密码过期等信息
net user /domain 获取域用户列表
net group "domain admins" /domain 获取域管理员列表
net group "domain controllers" /domain 查看域控制器
net local group administrators 查看本地管理员组用户[通常含有域用户]
net localgroup administrators /domain 登录域管理员用户
net view /domain 查看内网存在多少个域

域内命令执行

http://uuzdaisuki.com/2021/04/29/域渗透中利用ipc命令执行总结/

票据传递

http://uuzdaisuki.com/2021/04/21/票据传递攻击/

敏感系统收集

复制代码
域控
OA系统
财务系统
数据库系统
邮件服务器
文件服务器
官网服务器
人事系统

内网信息收集

对目标内网进行扫描有两种方式,一种是通过代理进行扫描,一种是在shell中上传安装扫描工具。

上传扫描工具要考虑对方的系统、环境等情况

ping探测存活
复制代码
1、如果IP连续,例如(192.168.1.1-192.168.1.10):
@echo off&setlocal ENABLEDELAYEDEXPANSION
if exist onlist.txt
if exist offlist.txt 
for /l %%i in (1,1,10) do (
  ping -n 1 192.168.1.%%i>nul 2>nul
  if !errorlevel!==0 (echo 192.168.1.%%i >>c:\bat\onlist.txt) else (echo 192.168.1.%%i >>c:\bat\offlist.txt)
)
 
2、如果IP不连续,那使用一个文件plist写入要测试的地址列表,然后批处理:
@echo off&setlocal ENABLEDELAYEDEXPANSION
if exist c:\bat\onlist.txt del c:\bat\onlist.txt
if exist c:\bat\offlist.txt del c:\bat\offlist.txt 
for /f %%i in (c:\bat\pclist.txt) do (
  ping -n 1 %%i>nul 2>nul
  if !errorlevel!==0 (echo %%i >>c:\bat\onlist.txt) else (echo %%i >>c:\bat\offlist.txt)
)
自写python脚本探测端口

由于linux系统和程序员使用的windows环境一般都存在python环境,使用自写python脚本portscan扫描内网端口也很方便

常用的扫描端口列表

21,22,80,443,445,1433,1521,3306,3389,5900,6379,7001,8000,8080,8443

内网常见端口对应服务攻击

针对各类服务爆破

使用爆破工具获得口令,重点攻击:

  • FTP( 21 / TCP)
  • SSH( 22 / TCP)
  • Telnet( 23 / TCP)
  • NetBIOS / SMB / Samba( 139 / TCP 和 445 / TCP)
  • LDAP( 389 / TCP)
  • Kerberos( 88 / TCP)
  • RDP /终端服务( 3389 / TCP)
  • HTTP(S) / HTTP 管理服务( 80 / TCP 和 443 / TCP)
  • MSSQL( 1433 / TCP)
  • Oracle( 1521 / TCP)
  • MySQL( 3306 / TCP)
  • VNC( 5900 / TCP)
其他未授权访问端口
  • Redis(6379)
  • MongoDB(27017)
  • Elasticsearch(9200)
  • ZooKeeper(2181,2182)
  • docker(2375)
  • Memcached(11211)
  • nfs(2049)
  • CouchDB(5984)
  • hadoop(50070)
其他
  • Weblogic(7001/weblogic反序列化)
  • Zabbix (8069/命令执行)
  • Jenkins(8080-8089/控制台命令执行)
  • JBoss(8080-8089/反序列化)
相关推荐
ALe要立志成为web糕手1 天前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
jingshaoyou1 天前
Strongswan linked_list_t链表 注释可独立运行测试
数据结构·链表·网络安全·list
鹅肝手握高V五色1 天前
Wireshark入门教程:如何抓取和过滤网络数据包
websocket·网络协议·tcp/ip·http·网络安全·https·udp
nixiaoge1 天前
RCE漏洞
网络安全
禾木KG1 天前
网络安全-等级保护(等保) 1-0 等级保护制度公安部前期发文总结
网络安全
网络抓包与爬虫1 天前
Wireshark——抓包分析
websocket·网络协议·tcp/ip·http·网络安全·https·udp
仙女很美哦1 天前
Flutter视频播放、Flutter VideoPlayer 视频播放组件精要
websocket·网络协议·tcp/ip·http·网络安全·https·udp
CYRUS STUDIO2 天前
Unidbg Trace 反 OLLVM 控制流平坦化(fla)
android·汇编·算法·网络安全·逆向·ollvm
写代码的小王吧2 天前
【Java可执行命令】(十)JAR文件签名工具 jarsigner:通过数字签名及验证保证代码信任与安全,深入解析 Java的 jarsigner命令~
java·开发语言·网络·安全·web安全·网络安全·jar