本帖最后由 zhaorong 于 2021-9-10 15:41 编辑

内网渗透---内网信息收集

连载方向：内网安全,web安全

目录


1，内网渗透-------------------明文和hash的获取
2，内网渗透-------------------内网横向渗透
3，内网渗透-------------------内网信息收集

简介

在渗透测试中信息收集的深度与广度以及对关键信息的提取 直接或间接的决定了渗透测试的质量
所以信息收集的重要性不容小觑 。看得懂并不代表会，不如自己实操一遍 这里将提供一个单域的
环境进行信息收集。下载地址在文末提供。

单域环境

这张图为这次信息收集所搭建的单域内网环境


多域环境

域森林指若干个域树通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源
从而又保持了原有域自身原有的特性。这张图有多个域 构成了域森林 域树由多个域组成，这些域共享同一表结构和配
置形成一个连续的名字空间。树中的域通过信任关系连接起来 活动目录包含一个或多个域树。域树中的域层次越深级
别越低 一个代表一个层次 如域server.rookit.org 就比 rootkit.org这个域级别低，因为它有两个层次关系
而rootkit.org只有一个层次，rootkit.org为域树。


工作组与域环境比较

工作组是一群计算机的集合 它仅仅是一个逻辑的集合 各自计算机还是各自管理的 你要访问其中的计算机 还是要到
被访问计算机上来实现用户验证的。而域不同 域是一个有安全边界的计算机集合在同一个域中的计算机彼此之间已
经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。为什么要区分呢？因为这两种环境攻击
的手法不同 ARP欺骗 DNS欺骗只在工作组有效。

基本网络框架组成


1.DMz

在实际的渗透测试中 大多数情况下 在web环境中拿到的权限都在dmz中。这个区域不属于严格意义上的内网
如果访问控制策略配置合理，dmz就会处在从内网能够访问DMz 而从dmz访问不能进入内网的状态。

2.内网

内网中包括很多服务器、办公电脑等 办公区的安全防护水平通常不高，基本的防护机制大多数为杀毒软件
或主机入侵检测产品服务器、域控制器的防护比较强，我们主要的目标是要拿下域控制器，要拿下域控前
期的信息收集就显得格外重要。

AD域控制器一般只在Windows server系统。
linux一般很少会被当成域控制器，因为管理起来特别麻烦 功能也比较少 不过linux上也有相应的活动目录的 可是要装
LDAP这个环境，一般企业很少会用LDAP来管理的，功能上不及域强大，而且用linux来管理的话要求技术人员门槛也
比较高。而windows作为域控制器有图形化界面 能够很好的进行管理。

基本信息收集

旨在了解当前服务器的计算机基本信息 防护的强弱 为后续判断服务器角色、网络环境做准备。
net start 查看启动的服务


systeminfo 查看计算机版本、补丁编号等信息


tasklist 查看进程列表


schtasks  /query  /fo  LIST /v  来查看目标主机上的计划任务信息


schtasks 查看计划任务


SPN：服务主体名称。使用Kerberos须为服务器注册SPN因此可以在内网中扫描SPN 快速寻找内网中注册的服务
SPN扫描可以规避像端口扫描的不确定性探测动作。主要利用工具有：setspn。
利用Windows自带的setspn工具 。普通域用户权限执行即可：
setspn -T rootkit.org -Q */*  可以发现内网存在mssql



查看安装软件的版本
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"


或者使用wmic product get name.version命令


获取本机服务信息，查看是否有可以可以进行深入利用的点：
wmic service list brief


netsh firewall show config 查看防火墙的配置信息


wmic nteventlog get path,filename,writeable
查看是否能修改删除日志


网络信息收集

ipconfig /all判断存在域-dns 有域的有dns后缀  无域的无dns后缀


这个是自己本机无域环境


net time /domain 获取主域名，其实这个就是主域的计算机名 再通过nslookup或ping命令来获取主域的IP地址




netstat -ano 查看当前网络端口开放


常见端口及其服务


用户信息收集
为了了解当前计算机或域环境下的用户及用户组信息，便于后期利用凭据进行测试
系统默认常见用户身份：
Domain Admins :域管理员（默认对域控制器有完全控制权）
Domain Computers :域内机器
Domain Controllers :域控制器
Domain Users :域用户
Domain Guest : 域访客，权限低
Enterprise Admins ： 企业系统管理员用户
相关操作命令
whoami /all 获取用户权限


net config workstation 获取登录信息


net user获取本地用户 net user /domain 获取域用户信息



域用户在执行修改账户类型等操作时


本地用户则不受域控制器的控制


net localgroup 获取本地用户组信息


net group /domain 获取域用户组信息


wmic useraccount get /all 查看域用户详细信息


net group “Enterprise Admins” /domain  查询管理员用户组里面的成员


net “Domain users” /domain查看域用户组里面的成员


query user || qwinsta  可以查看当前在线用户信息


凭证信息收集

收集各种密文 明文 口令等 为后续横向渗透做好测试准备获取所连接过的无线网名称。
netsh wlan show profiles 系统命令获取登录过的WiFi名称


netsh wlan show profile name="iQOO U3" key=clear
获取iQOO U3中的WiFi密码


通过如下命令获取连接过的wifi密码：
for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  home.php?mod=spa
ce&uid=46675 %j | findstr -i -v echo |  netsh wlan show profiles %j key=clear


mimikatz https://github.com/gentilkiwi/mimikatz/releases/ 用于破解计算机中的账号密码


XenArmor https://xenarmor.com/ 专用于破解密码 几乎可以破解计算机上所有使用过的密码
非常牛逼，但需要钱 由于不是土豪就不演示了。软件是这样子滴。


cmdkey /list能够列举出系统中的Windows凭据


列出保管库(vault)列表：
vaultcmd /list
中文操作系统，列出GUID为{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管库(vault)下的所有凭据：
vaultcmd /listcreds:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}
列出GUID为{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管库(vault)的属性，包括文件位置、包含的凭据数量、保护方法：
Vaultcmd /listproperties:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}



脚本自动化收集信息
下载油猴子脚本 wmic_info.bat 下载地址 http://www.fuzzysecurity.com/scrip
ts/files/wmic_info.rar得到输出结果是out.html


使用工具进行信息收集
GDA.bat:https://github.com/nullbind/Other-Projects/tree/master/GDA
PowerSploit: https://github.com/PowerShellMafia/PowerSploit
Nishang： https://github.com/samratashok/nishang
Metasploit:https://github.com/rapid7/metasploit-framework
PowerTools: https://github.com/PowerShellEmpire/PowerTools
防护软件信息收集

域内的较件和杀毒软件应该是一致的 常见的杀毒软件进程


获取反病毒产品详情
枚举出目标系统安装的反病毒产品信息，包括安装位置和版本：
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET dis
playName,productState, pathToSignedProductExe


使用ping命令检查局域网内存活的主机

inux主机环境下：
for i in {132..254}; do ping -q -i 0.01 -c 3 192.168.64.$i &> /dev/null && echo 192.168.64.$i is alive; done
windows主机环境下:
for /l %p in (143,1,254) do home.php?mod=space&uid=200625 -l 1 -n 3 -w 40 192.168.3.%p & if errorlevel
1 (echo 192.168.3.%p>>na.txt) else (echo 192.168.3.%p>>wangcheng.txt)  na.txt记录所有ping不通的主机
wangcheng.txt则记录所有可以ping通的主机,这个文件保存的位置有点难找需细心。