内网渗透信息收集总结_渗透dmz区域内网网段获取ip

内网渗透信息收集总结

信息收集

一、内网信息收集概述

1.1、我是谁？

——对当前机器角色的判断

WEB服务器？开发测试服务器？公共服务器？文件服务器？代理服务器？DNS服务器？等等？？

根据 主机名、文件、网络连接情况综合判断。

1.2、这是哪？

—— 对当前机器所处网络环境的拓扑结构进行分析与判断。

绘制大致内网拓扑图

1.3、我在哪

——- 对当前机器所处区域的判断。

DMZ区、办公区、核心区

二、收集本机信息

2.1手动信息收集

2.1.1查询网络配置信息

ipconfig/all
1

2.1.2查询操作系统及软件信息

systeminfo
可查询出补丁，可利用系统自身存在的漏洞进行后续的提权。
systeminfo | findstr /B /C:“OS 名称” /C:“OS 版本”
1
2
3

查看系统体系结构

echo %PROCESSOR_ARCHITECTURE%
1

查看安装的软件版本及路径等

wmic product get name,version
1

利用powershell收集软件版本信息

powershell “GET-WmiObject -class Win32_Product | Select-Object -Property name,version”
1

2.1.3查询本机服务信息

wmic service list brief
1

2.1.4查询进程列表

tasklist
1

查看当前进程和进程用户

wmic process list brief
1

2.1.5查看启动程序（启动项）信息

wmic startup get command,caption
1

2.1.6查看计划任务

schtasks /query /fo LIST /v
1

2.1.7查看用户列表

查看本机用户列表

net user
1

获取本地管理员组

net localgroup administrators
1

查看当前在线用户：

query user || qwinsta
1

2.1.8查看主机开机时间

net statistics workstation
1

2.1.9列出或端开本地计算机与所有连接的客户端之间的会话

net session
1

2.1.10 查询端口列表

netstat -ano
1

2.1.11 查看补丁列表

systeminfo
wmic qfe get Caption,Descript,HotFixID,InstalledOn
1
2

2.1.12查询本地共享列表

net share
wmic share get name,path,status
1
2

2.1.13查询路由表及所有可用接口的ARP缓存表

route print
arp -a
1
2

2.1.14查看防火墙相关配置

查杀软

WMIC /Node:localhost /Namespace:\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
1

关闭防火墙

netsh firewall set opmode disable (Windows Server 2003 系统及之前版本)
netsh advfirewall set allprofiles state off (Windows Server 2003 系统及之后版本)
1
2

查看防火墙配置

netstat firewall show config
1

修改防火墙配置

win server 2003 及之前，允许指定程序全部连接。

netsh firewall add allowedprogram c:\nc.exe “allwa nc” enable

win server 2003 之后
netsh advfirewall firewall add rule name=“pass nc” dir=in action=allow program=“c:\nc.exe”

允许指定程序退出
netsh advfirewall firewall add rule name=“Allow nc” dir=out action=allow program=“c:\nc.exe”

允许 3389 端口放行
netsh advfirewall firewall add rule name=“Remote Desktop” protocol=TCP dir=in localport=3389 action=allow

自定义翻过墙存储位置
netsh advfirewall set currentprofile logging filename “c:\windows\temp\fw.log”

远程桌面连接历史记录

cmdkey /l
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

自定义防火墙日志的储存位置

netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
1

2.2自动收集信息

http://www.fuzzysecurity.com/scripts/files/wmic_info.rar

下载后直接运行脚本：
wmic_info.bat

三、查看当前权限

3.1权限

• 本地普通用户
• 本地管理员用户
• 本地域内用户

3.2获取域SID

whoami /all
1

3.3查询指定用户详细信息

net user win7 /domain
1

四、判断是否存在域

了解本机信息后，接下来就要判断当前所在内网是否存在域。

4.1 ipconfig

查看网关IP地址、DNS的ip地址、域名、本机是否和DNS服务器处于同一网段等信息。

ipconfig /all
1

然后nslookup解析域名的ip地址，查看是否与DNS服务器在同一ip上。

nslookup security.com
1

4.2 查看系统详细信息

systeminfo
1

从中看到处于域 security.com

4.3 查看当前登录域及域用户

net config workstation
1

4.4 判断主域

net time /domain
1

五、搜集域内基本信息

5.1 查询域

net view /domain
1

5.2 查询域内所有计算机

net view /domain:SECURITY
1

5.3 查询域内所有用户组列表

net group /domain
1

• Domain Admins : 域管理员组
• Domain Computers : 域内机器
• Domain Controllers ：域控制器
• Domain Guest ： 域访客，权限较低
• Domain User ： 域用户
• Enterprise Admins ： 企业系统管理员用户

默认，Domain Admins 、Enterprise Admins 对域内机器有完全控制权。

5.4 查询所有域成员计算机列表

net group “domain computers” /doamin
1

5.5 获取域用户密码信息

net accounts /domain
1

5.6 获取域信任信息

nltest /domain_trusts
1

六、查看域控制器

6.1查看域控制器的机器名

nltest /DCLIST:security
1

6.2查看域控制器的主机名

nslookup -type=SRV_ldap_tcp
1

6.3查看当前时间

net time /domain
1

6.4查看域控制器组

net group “domain controllers” /domain
1

七、获取域内用户和管理员信息

7.1查询所有域用户列表

net user /domain
1

7.2获取域内用户详细信息

wmic useraccount get /all
1

7.3查看存在的用户

dsquery user

dsquery computer - 查找目录中的计算机。
dsquery contact - 查找目录中的联系人。
dsquery subnet - 查找目录中的子网。
dsquery group - 查找目录中的组。
dsquery ou - 查找目录中的组织单位。
dsquery site - 查找目录中的站点。
dsquery server - 查找目录中的域控制器。
dsquery user - 查找目录中的用户。
dsquery quota - 查找目录中的配额。
dsquery partition - 查找目录中的分区。
dsquery * - 用通用的 LDAP 查询查找目录中的任何对象。
dsquery computer domainroot -limit 65535 && net group “domain computers” /domain  //列出该域内所有机器名
dsquery user domainroot -limit 65535 && net user /domain //列出该域内所有用户名
dsquery subnet //列出该域内网段划分
dsquery group && net group /domain //列出该域内分组
dsquery ou //列出该域内组织单位
dsquery server && net time /domain //列出该域内域控制器
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

7.4查询本地管理员组用户

net localgroup administrators
1

八、查询域管理员用户组

8.1查询域管理员用户

net group “domain admins” /domain
1

8.2查询管理员用户组

net group “enterprise admins” /domain
1

九、定位域管理员

9.1域管理员定位概述

内网中通常会有大量网络安全系统和设备，IDS, IPS, 日志审计，安全网关，反病毒软件等。

在一个域中，当计算机加入域之后，会默认给域管理员组赋予本地系统管理员权限。因此，域管理员组的成员均可访问本地计算机，且具有完全控制权限。

定位域管理员渠道：

• 日志：本地机器管理员日志，使用脚本或者Wevtuil工具导出查看。
• 会话，域内每台机器的登录会话，netsess.exe, powerview 等工具查询。

9.2常用域管理员定位权限

9.2.1 psloggedon.exe

net session 可查看谁使用了本机资源，但不能查看谁在使用远程计算机资源、谁登录了本地或远程计算机

下载链接

使用：

C:\Users\de1ay.DE1AY\Desktop>PsLoggedon.exe \\DC

PsLoggedon v1.35 - See who's logged on
Copyright (C) 2000-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

No one is logged on locally.

Users logged on via resource shares:
     2023/2/28 16:06:09         WEB\Administrator
     2023/2/28 16:06:25         DE1AY\de1ay
1
2
3
4
5
6
7
8
9
10
11

9.2.2 PVEFindADUser.exe

用于查找活动目录用户登录的位置、枚举域用户，以及查找在特定计算机上登录的用户，包括本地用户、通过RDP登录用户、用于运行服务器和计划任务的用户。需管理员权限

下载地址：https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

使用:

C:\Users\mssql\Desktop>PVEFindADUser.exe -current
 -----------------------------------------
  PVE Find AD Users
  Peter Van Eeckhoutte
  (c) 2009 - http://www.corelan.be:8800
  Version : 1.0.0.12
 -----------------------------------------
 [+] Finding currently logged on users ? true
 [+] Finding last logged on users ? false

 [+] Enumerating all computers...
 [+] Number of computers found : 3
 [+] Launching queries
     [+] Processing host : DC.de1ay.com (Windows Server 2012 R2 Standard)
     [+] Processing host : PC.de1ay.com (Windows 7 旗舰版;Service Pack 1)
     [+] Processing host : WEB.de1ay.com (Windows Server 2008 R2 Standard;Servic
e Pack 1)
         [-] Computer : WEB.de1ay.com Down
 [+] Report written to report.csv
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

9.2.3 netview.exe

netview 是一个枚举工具，使用 WinAPI 枚举系统，利用 NetSessionEnum 寻找登录会话，利用 NetShareEnum 寻找共享，利用 NetWkstaUserEnum 枚举登录的用户，netview 可以查询共享入口和有价值的用户，其绝大部分功能无需管理员权限就可使用。

下载链接

使用：netview.exe -d DE1AY(域名)

C:\Users\de1ay.DE1AY\Desktop>netview.exe -d DE1AY
[+] Domain Specified: DE1AY

[*] Using interval: 0
[*] Using jitter: 0.00

[+] Number of hosts: 2

[+] Host: DC
Enumerating AD Info[+] DC - Comment -
[+] D - OS Version - 6.3
[+] DC - Domain Controller

Enumerating IP Info
[+] (null) - IPv4 Address - 10.10.10.10

Enumerating Share Info
[+] DC - Share : ADMIN$               : ????
[+] DC - Share : C$                   : ????
[+] DC - Share : IPC$                 : ?? IPC
[+] DC - Share : NETLOGON             : Logon server share
[+] DC - Share : SYSVOL               : Logon server share

Enumerating Session Info
[+] DC - Session - Administrator from \\10.10.10.80 - Active: 26035 - Idle: 6898

[+] DC - Session - de1ay from \\10.10.10.80 - Active: 0 - Idle: 0

Enumerating Logged-on Users
[+] DC - Logged-on - DE1AY.COM\de1ay

[+] Host: PC
Enumerating AD Info[+] PC - Comment -
[+] P - OS Version - 6.1

Enumerating IP Info
[+] (null) - IPv4 Address - 10.10.10.201

Enumerating Share Info
[+] PC - Share : ADMIN$               : ????
[+] PC - Share : C$                   : ????
[+] PC - Share : IPC$                 : ?? IPC

Enumerating Session Info
[+] PC - Session - de1ay from \\10.10.10.80 - Active: 0 - Idle: 0

Enumerating Logged-on Users
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

9.2.4 Nmap的NSE脚本

zenmap

下载链接

使用:

nmap --script=smb-os-discovery.nse -p 445 192.168.7.107
1

9.2.5 powerview脚本

下载链接

使用：

powershell.exe -exec bypass -Command "& {Import-Module .\PowerView.ps1;Invoke-UserHunter}"
1

C:\Users\de1ay.DE1AY\Desktop\PowerSploit-3.0.0\Recon>powershell.exe -exec bypass
 -Command "& {Import-Module .\PowerView.ps1;Invoke-UserHunter}"

UserDomain   : de1ay.com
UserName     : Administrator
ComputerName : DC.de1ay.com
IP           : 10.10.10.10
SessionFrom  : 10.10.10.80
LocalAdmin   :

UserDomain   : DE1AY
UserName     : Administrator
ComputerName : WEB.de1ay.com
IP           : {10.10.10.80, 192.168.5.131}
SessionFrom  :
LocalAdmin   :

UserDomain   : DE1AY
UserName     : Administrator
ComputerName : WEB.de1ay.com
IP           : {10.10.10.80, 192.168.5.131}
SessionFrom  :
LocalAdmin   :

UserDomain   : DE1AY
UserName     : Administrator
ComputerName : WEB.de1ay.com
IP           : {10.10.10.80, 192.168.5.131}
SessionFrom  :
LocalAdmin   :

UserDomain   : WEB
UserName     : Administrator
ComputerName : WEB.de1ay.com
IP           : {10.10.10.80, 192.168.5.131}
SessionFrom  :
LocalAdmin   :

UserDomain   : DE1AY
UserName     : Administrator
ComputerName : WEB.de1ay.com
IP           : {10.10.10.80, 192.168.5.131}
SessionFrom  :
LocalAdmin   :

UserDomain   : DE1AY
UserName     : Administrator
ComputerName : WEB.de1ay.com
IP           : {10.10.10.80, 192.168.5.131}
SessionFrom  :
LocalAdmin   :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

9.2.6 Empire 的 user_hunter 模块

十、查找与管理进程

典型域提权： 明文凭据或通过 mimikatz （kali 自带工具，密码抓取神器）提权。

10.1本机检查

获取域管理员列表

net group “domain admins” /domain
1

列出本机所有进程及进程用户

tasklist /v
1

寻找域控制器的域用户会话

原理：在域控制器中查询域会话列表，并将其与域管理员列表交叉引用，从而得到与管理会话的系统列表。

NetSess -h(netsess.exe须上载到目标机器中)

十一、探测域内存活主机

11.1 利用NetBIOS 快速探测内网nbtscan下载链接

命令：

nbtscan.exe -h

nbtscan.exe 10.1.1.1/24
1
2
3

11.2 利用ICMP协议快速探测内网

for /L %i in (1,1,254) DO @ping -w 1 -n 1 10.1.1.%i | findstr “TTL=”
1

11.3 通过 Arp协议探测

arp.exe -t 10.1.1.1/24

Empire、Nishang

arp -a
1
2
3
4
5

11.5.1 telnet

telnet DC 22
1

11.5.2 MSF

search scanner/portscan/tcp
use 0
show options
set port 1-1000
set rhosts 192.168.1.1
set threads 10
run
1
2
3
4
5
6
7

域内主机存活检测

一、ping

如果服务器禁ping，该方法不可用

windows

for /l %i in (1,1,255) do @ping 192.168.7.%i -w 1 -n 1|find /i "ttl="
1

C:\Users\daniel10>for /l %i in (1,1,255) do @ping 192.168.7.%i -w 1 -n 1|find /i "ttl="
来自 192.168.7.7 的回复: 字节=32 时间<1ms TTL=128
来自 192.168.7.107 的回复: 字节=32 时间=1ms TTL=64
来自 192.168.7.110 的回复: 字节=32 时间<1ms TTL=128
1
2
3
4

linux

for k in $( seq 1 255);do ping -c 1 192.168.7.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done
1

VPS脚本

strSubNet = "192.168.7."  
Set objFSO= CreateObject("Scripting.FileSystemObject")  
Set objTS = objfso.CreateTextFile("C:\Result.txt")   
For i = 1 To 254  
strComputer = strSubNet & i  
blnResult = Ping(strComputer)  
If blnResult = True Then  
objTS.WriteLine strComputer & " is alived ! :) "  
End If  
Next   
objTS.Close  
WScript.Echo "All Ping Scan , All Done ! :) "    
Function Ping(strComputer)  
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2") 
Set colItems = objWMIService.ExecQuery("Select * From Win32_PingStatus Where Address='" & strComputer & "'") 
For Each objItem In colItems  
Select case objItem.StatusCode  
Case 0  
Ping = True  
Case Else  
Ping = False  
End select  
Exit For  
Next  
End Function
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

strSubNet = “10.10.10.”

Set objFSO= CreateObject(“Scripting.FileSystemObject”)

Set objTS = objfso.CreateTextFile(“C:\Windows\Temp\Result.txt”)

For i = 1 To 254

strComputer = strSubNet & i

blnResult = Ping(strComputer)

If blnResult = True Then

objTS.WriteLine strComputer & " is alived ! 
声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/知新_RL/article/detail/130390