内网信息收集总结

本机信息查询

常用信息

本机服务列表
wmic service list brief
本机进程列表
Tasklist /v
浏览器代理信息
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
RDP端口号(16进制)
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /V portNumber
用户列表
net user
本地管理员
net localgroup administrators
在线用户
query user || qwinsta

提权相关补丁信息查询和流程

http://uuzdaisuki.com/2021/04/12/windows提权速查流程/

本机3389开启

1.通用开3389:

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

2.Win2003:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v 
fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.Win2008:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v 
fDenyTSConnections /t REG_DWORD /d 00000000 /f

4.win08 win2003 win7 win2012 winxp

win08,win2012三条命令皆可,win7前两条:

wmic /namespace:\root\cimv2 erminalservices path 
win32_terminalservicesetting where (__CLASS != "") call 
setallowtsconnections 1

wmic /namespace:\root\cimv2 erminalservices path 
win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

杀毒软件进程名

360sd.exe 360杀毒
360tray.exe 360实时保护
ZhuDongFangYu.exe 360主动防御
KSafeTray.exe 金山卫士
SafeDogUpdateCenter.exe 服务器安全狗
McAfee McShield.exe McAfee
egui.exe NOD32
AVP.EXE 卡巴斯基
avguard.exe 小红伞
bdagent.exe BitDefender

敏感信息获取

源码
数据库备份文件
浏览器密码、cookie
3389、ipc连接记录
vpn
哈希提取
http://uuzdaisuki.com/2021/04/22/windows%E5%93%88%E5%B8%8C%E6%8F%90%E5%8F%96%E6%96%B9%E5%BC%8F%E6%80%BB%E7%BB%93/

域信息或内网信息收集

在拿到一个shell之后,需要先判断此机器有无域环境、是否出网、是否多网卡、内网网段分别是哪些。

查看网络配置信息
ipconfig /all
ifconfig
判断主域
net time /domain

根据是否出网选择不同的代理方式,如目标出网,可采用frp等方式搭建代理,不出网有webshell等情况,可采用reGeorg等方式搭建代理。

查看当前机器的网络配置信息,根据ip地址和子网掩码推测其可能存在的内网网段。以此来确认我们有没有搭建代理的必要。

域内信息收集

net view 查看域内机器列表
net view /domain: ZZZ 查看ZZZ域中所有的机器列表。
net group /domain 查询域里面所有的用户组列表
net group "domain computers" /domain 查看所有域成员计算机列表
net accounts /domain 查询域用户密码过期等信息
net user /domain 获取域用户列表
net group "domain admins" /domain 获取域管理员列表
net group "domain controllers" /domain 查看域控制器
net local group administrators 查看本地管理员组用户[通常含有域用户]
net localgroup administrators /domain 登录域管理员用户
net view /domain 查看内网存在多少个域

域内命令执行

http://uuzdaisuki.com/2021/04/29/域渗透中利用ipc命令执行总结/

票据传递

http://uuzdaisuki.com/2021/04/21/票据传递攻击/

敏感系统收集

域控
OA系统
财务系统
数据库系统
邮件服务器
文件服务器
官网服务器
人事系统

内网信息收集

对目标内网进行扫描有两种方式,一种是通过代理进行扫描,一种是在shell中上传安装扫描工具。

上传扫描工具要考虑对方的系统、环境等情况

ping探测存活
1、如果IP连续,例如(192.168.1.1-192.168.1.10):
@echo off&setlocal ENABLEDELAYEDEXPANSION
if exist onlist.txt
if exist offlist.txt 
for /l %%i in (1,1,10) do (
  ping -n 1 192.168.1.%%i>nul 2>nul
  if !errorlevel!==0 (echo 192.168.1.%%i >>c:\bat\onlist.txt) else (echo 192.168.1.%%i >>c:\bat\offlist.txt)
)
 
2、如果IP不连续,那使用一个文件plist写入要测试的地址列表,然后批处理:
@echo off&setlocal ENABLEDELAYEDEXPANSION
if exist c:\bat\onlist.txt del c:\bat\onlist.txt
if exist c:\bat\offlist.txt del c:\bat\offlist.txt 
for /f %%i in (c:\bat\pclist.txt) do (
  ping -n 1 %%i>nul 2>nul
  if !errorlevel!==0 (echo %%i >>c:\bat\onlist.txt) else (echo %%i >>c:\bat\offlist.txt)
)
自写python脚本探测端口

由于linux系统和程序员使用的windows环境一般都存在python环境,使用自写python脚本portscan扫描内网端口也很方便

常用的扫描端口列表

21,22,80,443,445,1433,1521,3306,3389,5900,6379,7001,8000,8080,8443

内网常见端口对应服务攻击

针对各类服务爆破

使用爆破工具获得口令,重点攻击:

  • FTP( 21 / TCP)
  • SSH( 22 / TCP)
  • Telnet( 23 / TCP)
  • NetBIOS / SMB / Samba( 139 / TCP 和 445 / TCP)
  • LDAP( 389 / TCP)
  • Kerberos( 88 / TCP)
  • RDP /终端服务( 3389 / TCP)
  • HTTP(S) / HTTP 管理服务( 80 / TCP 和 443 / TCP)
  • MSSQL( 1433 / TCP)
  • Oracle( 1521 / TCP)
  • MySQL( 3306 / TCP)
  • VNC( 5900 / TCP)
其他未授权访问端口
  • Redis(6379)
  • MongoDB(27017)
  • Elasticsearch(9200)
  • ZooKeeper(2181,2182)
  • docker(2375)
  • Memcached(11211)
  • nfs(2049)
  • CouchDB(5984)
  • hadoop(50070)
其他
  • Weblogic(7001/weblogic反序列化)
  • Zabbix (8069/命令执行)
  • Jenkins(8080-8089/控制台命令执行)
  • JBoss(8080-8089/反序列化)
相关推荐
轨迹H10 小时前
kali设置中文输入法
linux·网络安全·渗透测试·kali
cr.sheeper10 小时前
Vulnhub靶场Apache解析漏洞
网络安全·apache
Autumn.h10 小时前
文件解析漏洞
web安全·网络安全·中间件
Mitch31112 小时前
【漏洞复现】CVE-2023-37461 Arbitrary File Writing
web安全·网络安全·prometheus·metersphere·漏洞复现
CVE-柠檬i12 小时前
渗透测试-前后端加密分析之RSA+AES
网络安全
衣舞晨风16 小时前
内网IP段介绍与汇总
网络·tcp/ip·ipv4·内网·网段
TazmiDev17 小时前
[极客大挑战 2019]BabySQL 1
服务器·数据库·安全·web安全·网络安全·密码学·安全威胁分析
亚信安全官方账号1 天前
亚信安全与方天股份达成战略合作,双向奔赴助力数字化转型
网络安全
Koi慢热1 天前
黑客术语3
网络·安全·网络安全·智能路由器·空间安全·网络空间测绘安全