内网渗透|域内信息收集(上)(二)

简介: 内网渗透|域内信息收集(上)

16.查询并开启远程连接端口

REG QUERY “HKEY_LOcal_MACHINE\SYSTEM\CurrentControLset\Control\Terminal Server \WinStations\RDP-TCP" /v PortNUmber

ab197747829083110fb6e05a103dfa69_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

wmic /namespace:\root\CIMV2\TerminalServices PATH Win32_TerminalServiceSetting WHERE (__CLASS !="") CALL SetAllowTSConnections 1

7d2c5e1f383ed493f5a74f021e666a72_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


2 自动收集信息

为了简化操作,可以创建一个脚本,在目标机器上完成流程、服务、用户账户、用户组、网络接口、硬盘信息、网络共享信息、操作系统、安装的补丁、安装的软件、启动时运行的程序、时区等信息的查询工作。

1.下载地址:http://www.fuzzysecurity.com/scripts/files/wmic_info.rar

998e66faf5f83b186fa470b5e66f045b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2.点击下载文件,然后生成了out.html

0c9ec68c7656eacba1cc2dab09cfc865_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


2.Empire 下的主机信息收集

Empire 提供了用于收集主机信息的模块。输入命令”usemodule situational_awareness/host/winenum “

查询当前权限

1.查看当前权限·

whoami

ef668f45bfbb914ad9b66d9e7814075a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2.获取域SID

whoami/all

cdf29f49a7efc298c88b8b5754926e01_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

3.查询指定用户的详细信息

执行以下命令,查询当前用户的详细信息

net user xxx /domain

35b27b62288edc41e7a70d1805119420_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

4、判断是否存在域

1.使用ipconfig命令

ipconfig/all

bc766541803f3e53f7dd03d06be32be9_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

nslookup hacke.testlab

1f982a9bbc41df2fcd1a2ff93f4c9af3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2.查看系统详细信息

systeminfo

0626b5d20b57be61cf130bb79c742369_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

3.查询当前登录域及登录用户信息

net config workstation

926631206ae93b22156a41af8933f84b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

4.判断主域

net time /domain

318b5c69d0e19f8e901d36c296d951fd_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

二、 探测域内存活主机

内网存活主机探测是内网渗透测试中不可缺少的一个环节。可在白天和晚上分别·进行探测。

1 利用NetBIOS快速探测内网

NetBIOS是局域网程序使用的一种程序编辑接口(API),为程序提供了请求级别服务的统一的命令集,为局域网提供了网络及其他特殊功能。

nbtscan是一个命令行工具,用于扫描本地或远程tcp/ip网络上的开放NEtBIos名称服务器。

43189977ff7a596d1cd3ec74e725b060_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2 利用ICMP协议快速探测内网

除了利用NEtBIos探测内网,还可以利用icmp协议探测内网。

for /L %I in (1,1,254) Do @ping -w l -n 1 192.168.1.%I findstr "TTL="

11881f449106d8fe266acc07c27a9344_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

3 通过arp扫描探测内网

1.arp-scan工具

arp -a

4371e5d52f7bfd1e580f71dcdbc18763_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2.Empire 中的arpscan 模块

3.NIshang 中的invoke-Arpscan.ps1脚本

4 通过常规TCP/UDp端口扫描内网

ScanLine是一款经典的端口扫描工具,可以在所有版本的windoWS 操作系统中使单个文件,用,体积小,仅使用单个文件,同时支持TCp/udp扫描

5 扫描域内端口

端口的banner信息 ,端口上运行的服务,常见应用的默认端口

利用telnet命令进行扫描

Telnet 协议是tcp/ip协议族的一员,是Internet远程登陆服务的标准协议和主要形式。

1.首先得开启服务

2912a8e823bb067c5d17e33d4fcefa00_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

telnet 192.168.1.1 22

c15bc0da1617dc24d0663de27122e799_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

S扫描器

S扫描是2007年古老的扫描器,不建议使用了。

Metasploit 端口扫描

84435b101a72341a0966df7746d0459e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

6、端口banner信息

如果通过扫描发现了端口,可以使用客户端连接工具或者nc,获取服务端的Banner信息。获取Banner信息后,可以在漏洞库中查找对应cve编号的POc、exp、在exploitDB、seebug等平台上查看相关的漏洞利用工具,然后到目标系统中验证漏洞是否存在,从而有针对性地进行安全加固。

nc -nv 127.0.0.1 22

9a9bdbc3fae181f740c5a9e16282e2dc_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

• 文件共享服务端口(21、22、69、2049、139、389)

• 远程连接服务端口(22、23、3389、5900、5632)

• Web应用服务端口(80、443、8080、7001、7002、8089、9090、4848、1352)

• 数据库服务端口(3306、1433、1521、5432、6379、5000、9200)

• 邮件服务端口(25、110、143)

• 网络常见协议端口(53、67、68、161)域内基础信息收集

7、常见命令

ipconfig /all    查询本机IP段、所在域
nbtstat –A ip             netbios 查询
netstat –an/ano/anb     网络连接查询
route print            路由表
cmdkey /l             是否保存了登录凭证
net session           查看是否有远程连接的session

net类

net user        本机用户
net user /domain    查询域用户
net user domain-admin /domain 查看管理员登陆时间,密码过期时间,是否有登陆脚本
net localgroup administrators     本机管理员(通常含有域用户)
net localgroup administrators /domain   登录本机的域管理员
net localgroup administrators workgroup\user001 /add    域用户添加到本机
net group /domain   查询域工作组
net group "domain admins" /domain       查询域管理员用户组
net group "Domain controllers" /domain  查询域控列表
net group "domain computers" /domain   获得所有域成员计算机列表
net view    查询同一域内机器
net view /domain    查询域列表
net view /domain:domainname
net accounts                               查看本地密码策略
net accounts /domain                      查看域密码策略
net time /domain                         查看域时间
nltest /domain_trusts                    获取域信任信息
dsquery

dsquery computer domainroot -limit 65535 && net group "domain

computers" /domain ------> 列出该域内所有机器名

dsquery user domainroot -limit 65535 && net user /domain------>列出该域内所有用户名

dsquery subnet ------>列出该域内网段划分

dsquery group && net group /domain ------>列出该域内分组

dsquery ou ------>列出该域内组织单位

dsquery server && net time /domain------>列出该域内域控制器

总结:域内信息收集的方法是进行域内渗透最重要的一步,在域内进行快速收集有用信息是内网渗透的关键。
相关文章
|
5月前
|
安全 网络协议 关系型数据库
【信息收集】 端口信息收集
网络通信依赖端口来区分不同的服务。这些逻辑端口范围从0到65535,其中0-1023为知名端口,常用于特定服务如FTP(20和21)、HTTP(80)、SSH(22)等;1024-49151为注册端口,49152-65535为动态或私有端口。端口分为TCP和UDP,分别对应面向连接和无连接的协议。开放端口可能带来安全风险,如弱口令、漏洞利用等,需注意防护。NMAP工具可用于端口扫描,识别网络上开放的服务。
75 5
|
6月前
|
安全 数据可视化 JavaScript
【内网安全】域信息收集&应用网络凭据&CS插件&Adfind&BloodHound
【内网安全】域信息收集&应用网络凭据&CS插件&Adfind&BloodHound
108 1
|
7月前
|
Ubuntu 网络协议 网络安全
信息收集 -- 主机发现
信息收集 -- 主机发现
39 0
|
存储 缓存 监控
内网渗透|域内信息收集(上)(一)
内网渗透|域内信息收集(上)
264 0
内网渗透|域内信息收集(上)(一)
|
数据安全/隐私保护
内网渗透 -- 添加域服务
内网渗透 -- 添加域服务
120 0
内网渗透 -- 添加域服务
|
存储 SQL 网络协议
内网渗透|初识域基础及搭建简单域
内网渗透|初识域基础及搭建简单域
301 0