用户
搜索
  • TA的每日心情
    开心
    4 天前
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-呆萌菜鸟

    Rank: 1

    3

    主题

    3

    帖子

    48

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2021-4-15
    发表于 2021-8-5 17:53:23 01581
    本帖最后由 未来fish 于 2021-8-6 16:21 编辑

    内网渗透---内网信息收集

    本篇文章作者未来fish,本篇文章参与i春秋作家连载计划所属从0到1团队,未经许可禁止转载。连载方向:内网安全,web安全

    目录

    1.内网渗透-------------------内网信息收集
    2.内网渗透-------------------明文和hash的获取
    3.内网渗透-------------------内网横向渗透

    简介

    渗透测试中信息收集的深度与广度以及对关键信息的提取,直接或间接的决定了渗透测试的质量,所以信息收集的重要性不容小觑,看得懂并不代表会,不如自己实操一遍,这里将提供一个单域的环境,进行信息收集,下载地址在文末提供。
    单域环境
    这张图为这次信息收集所搭建的单域内网环境

    多域环境
    域森林指若干个域树通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源,从而又保持了原有域自身原有的特性。这张图有多个域,构成了域森林,域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域server.rookit.org 就比 rootkit.org这个域级别低,因为它有两个层次关系,而rootkit.org只有一个层次,rootkit.org为域树。

    工作组与域环境比较
    工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么要区分呢?因为这两种环境攻击的手法不同,ARP欺骗、DNS欺骗只在工作组有效。
    基本网络框架组成

    1.DMz
    在实际的渗透测试中,大多数情况下,在web环境中拿到的权限都在dmz中。这个区域不属于严格意义上的内网。如果访问控制策略配置合理,dmz就会处在从内网能够访问DMz,而从dmz访问不能进入内网的状态。
    2.内网
    内网中包括很多服务器、办公电脑等,办公区的安全防护水平通常不高,基本的防护机制大多数为杀毒软件或主机入侵检测产品。服务器、域控制器的防护比较强,我们主要的目标是要拿下域控制器,要拿下域控前期的信息收集就显得格外重要。
    AD域控制器一般只在Windows server系统。
    linux一般很少会被当成域控制器,因为管理起来特别麻烦,功能也比较少,不过linux上也有相应的活动目录的,可是要装LDAP这个环境,一般企业很少会用LDAP来管理的,功能上不及域强大,而且用linux来管理的话要求技术人员门槛也比较高。而windows作为域控制器有图形化界面,能够很好的进行管理。

    基本信息收集

    旨在了解当前服务器的计算机基本信息、防护的强弱,为后续判断服务器角色、网络环境做准备。
    net start 查看启动的服务

    systeminfo 查看计算机版本、补丁编号等信息

    tasklist 查看进程列表

    schtasks  /query  /fo  LIST /v  来查看目标主机上的计划任务信息

    schtasks 查看计划任务

    SPN:服务主体名称。使用Kerberos须为服务器注册SPN,因此可以在内网中扫描SPN,快速寻找内网中注册的服务,SPN扫描可以规避像端口扫描的不确定性探测动作。主要利用工具有:setspn。
    利用Windows自带的setspn工具,普通域用户权限执行即可:
    setspn -T rootkit.org -Q */*  可以发现内网存在mssql

    查看安装软件的版本
    powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

    或者使用wmic product get name.version命令

    获取本机服务信息,查看是否有可以可以进行深入利用的点:
    wmic service list brief

    netsh firewall show config 查看防火墙的配置信息

    wmic nteventlog get path,filename,writeable
    查看是否能修改删除日志

    网络信息收集

    ipconfig /all判断存在域-dns 有域的有dns后缀,无域的无dns后缀

    这个是自己本机无域环境

    net time /domain 获取主域名,其实这个就是主域的计算机名,再通过nslookup或ping命令来获取主域的IP地址


    netstat -ano 查看当前网络端口开放

    常见端口及其服务

    用户信息收集

    为了了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试
    系统默认常见用户身份:
    Domain Admins :域管理员(默认对域控制器有完全控制权)
    Domain Computers :域内机器
    Domain Controllers :域控制器
    Domain Users :域用户
    Domain Guest : 域访客,权限低
    Enterprise Admins : 企业系统管理员用户
    相关操作命令
    whoami /all 获取用户权限

    net config workstation 获取登录信息
    net user获取本地用户 net user /domain 获取域用户信息

    域用户在执行修改账户类型等操作时,

    本地用户则不受域控制器的控制

    net localgroup 获取本地用户组信息

    net group /domain 获取域用户组信息

    wmic useraccount get /all 查看域用户详细信息

    net group “Enterprise Admins” /domain  查询管理员用户组里面的成员

    net “Domain users” /domain查看域用户组里面的成员

    query user || qwinsta  可以查看当前在线用户信息

    凭证信息收集

    收集各种密文,明文,口令等,为后续横向渗透做好测试准备获取所连接过的无线网名称。
    netsh wlan show profiles 系统命令获取登录过的WiFi名称

    netsh wlan show profile name="iQOO U3" key=clear
    获取iQOO U3中的WiFi密码

    通过如下命令获取连接过的wifi密码:
    for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  home.php?mod=space&uid=46675 %j | findstr -i -v echo |  netsh wlan show profiles %j key=clear

    mimikatz https://github.com/gentilkiwi/mimikatz/releases/ 用于破解计算机中的账号密码

    XenArmor https://xenarmor.com/ 专用于破解密码,几乎可以破解计算机上所有使用过的密码,非常牛逼,但需要钱,由于不是土豪就不演示了,软件是这样子滴。

    cmdkey /list能够列举出系统中的Windows凭据

    列出保管库(vault)列表:
    vaultcmd /list
    中文操作系统,列出GUID为{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管库(vault)下的所有凭据:
    vaultcmd /listcreds:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}
    列出GUID为{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管库(vault)的属性,包括文件位置、包含的凭据数量、保护方法:
    Vaultcmd /listproperties:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}

    脚本自动化收集信息
    下载油猴子脚本 wmic_info.bat 下载地址 http://www.fuzzysecurity.com/scripts/files/wmic_info.rar得到输出结果是out.html

    使用工具进行信息收集
    GDA.bat:https://github.com/nullbind/Other-Projects/tree/master/GDA
    PowerSploit: https://github.com/PowerShellMafia/PowerSploit
    Nishang: https://github.com/samratashok/nishang
    Metasploit:https://github.com/rapid7/metasploit-framework
    PowerTools: https://github.com/PowerShellEmpire/PowerTools

    防护软件信息收集

    域内的较件和杀毒软件应该是一致的,常见的杀毒软件进程

    获取反病毒产品详情
    枚举出目标系统安装的反病毒产品信息,包括安装位置和版本:
    wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

    使用ping命令检查局域网内存活的主机

    linux主机环境下:
    for i in {132..254}; do ping -q -i 0.01 -c 3 192.168.64.$i &> /dev/null && echo 192.168.64.$i is alive; done
    windows主机环境下:
    for /l %p in (143,1,254) do home.php?mod=space&uid=200625 -l 1 -n 3 -w 40 192.168.3.%p & if errorlevel 1 (echo 192.168.3.%p>>na.txt) else (echo 192.168.3.%p>>wangcheng.txt)  na.txt记录所有ping不通的主机,wangcheng.txt则记录所有可以ping通的主机,这个文件保存的位置有点难找,需细心。

    环境下载

    链接:https://pan.baidu.com/s/1Guuf1kS8rbgDaIOTFv9sJw
    提取码:fb3w

    发新帖
    您需要登录后才可以回帖 登录 | 立即注册