内网信息收集总结

前言

本文记录一些内网渗透的注意点，信息比较散乱，后续更新完善

本机信息查询：常用信息

本机服务列表wmic service list brief本机进程列表Tasklist /v浏览器代理信息reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"RDP端口号（16进制）reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /V portNumber用户列表net user本地管理员net localgroup administrators在线用户query user || qwinsta

提权相关补丁信息查询和流程

http://uuzdaisuki.com/2021/04/12/windows%E6%8F%90%E6%9D%83%E9%80%9F%E6%9F%A5%E6%B5%81%E7%A8%8B/

本机3389开启

1.通用开3389：

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

2.Win2003:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.Win2008:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

4.win08 win2003 win7 win2012 winxp

win08，win2012三条命令皆可，win7前两条:

wmic /namespace:\root\cimv2 erminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
wmic /namespace:\root\cimv2 erminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

杀毒软件进程名​​​​​​​

360sd.exe 360杀毒360tray.exe 360实时保护ZhuDongFangYu.exe 360主动防御KSafeTray.exe 金山卫士SafeDogUpdateCenter.exe 服务器安全狗McAfee McShield.exe McAfeeegui.exe NOD32AVP.EXE 卡巴斯基avguard.exe 小红伞bdagent.exe BitDefender

敏感信息获取

​​​​​​​源码数据库备份文件浏览器密码、cookie3389、ipc连接记录vpn哈希提取http://uuzdaisuki.com/2021/04/22/windows%E5%93%88%E5%B8%8C%E6%8F%90%E5%8F%96%E6%96%B9%E5%BC%8F%E6%80%BB%E7%BB%93/

域信息或内网信息收集

在拿到一个shell之后，需要先判断此机器有无域环境、是否出网、是否多网卡、内网网段分别是哪些。​​​​​​​

查看网络配置信息ipconfig /allifconfig判断主域net time /domain

根据是否出网选择不同的代理方式，如目标出网，可采用frp等方式搭建代理，不出网有webshell等情况，可采用reGeorg等方式搭建代理。

查看当前机器的网络配置信息，根据ip地址和子网掩码推测其可能存在的内网网段。以此来确认我们有没有搭建代理的必要。

域内信息收集​​​​​​​

net view 查看域内机器列表net view /domain: ZZZ 查看ZZZ域中所有的机器列表。net group /domain 查询域里面所有的用户组列表net group "domain computers" /domain 查看所有域成员计算机列表net accounts /domain 查询域用户密码过期等信息net user /domain 获取域用户列表net group "domain admins" /domain 获取域管理员列表net group "domain controllers" /domain 查看域控制器net local group administrators 查看本地管理员组用户[通常含有域用户]net localgroup administrators /domain 登录域管理员用户net view /domain 查看内网存在多少个域

域内命令执行

http://uuzdaisuki.com/2021/04/29/%E5%9F%9F%E6%B8%97%E9%80%8F%E4%B8%AD%E5%88%A9%E7%94%A8ipc%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%80%BB%E7%BB%93/

票据传递

http://uuzdaisuki.com/2021/04/21/%E7%A5%A8%E6%8D%AE%E4%BC%A0%E9%80%92%E6%94%BB%E5%87%BB/

敏感系统收集​​​​​​​

域控OA系统财务系统数据库系统邮件服务器文件服务器官网服务器人事系统

内网信息收集

对目标内网进行扫描有两种方式，一种是通过代理进行扫描，一种是在shell中上传安装扫描工具。

上传扫描工具要考虑对方的系统、环境等情况

ping探测存活​​​​​​​​​​​​​

1、如果IP连续，例如（192.168.1.1-192.168.1.10）：@echo off&setlocal ENABLEDELAYEDEXPANSIONif exist onlist.txtif exist offlist.txt for /l %%i in (1,1,10) do (  ping -n 1 192.168.1.%%i>nul 2>nul  if !errorlevel!==0 (echo 192.168.1.%%i >>c:\bat\onlist.txt) else (echo 192.168.1.%%i >>c:\bat\offlist.txt)) 2、如果IP不连续，那使用一个文件plist写入要测试的地址列表，然后批处理：@echo off&setlocal ENABLEDELAYEDEXPANSIONif exist c:\bat\onlist.txt del c:\bat\onlist.txtif exist c:\bat\offlist.txt del c:\bat\offlist.txt for /f %%i in (c:\bat\pclist.txt) do (  ping -n 1 %%i>nul 2>nul  if !errorlevel!==0 (echo %%i >>c:\bat\onlist.txt) else (echo %%i >>c:\bat\offlist.txt))

自写python脚本探测端口

由于linux系统和程序员使用的windows环境一般都存在python环境，使用自写python脚本portscan扫描内网端口也很方便

常用的扫描端口列表
21,22,80,443,445,1433,1521,3306,3389,5900,6379,7001,8000,8080,8443

内网常见端口对应服务攻击

针对各类服务爆破

使用爆破工具获得口令,重点攻击：

• FTP（ 21 / TCP）

• SSH（ 22 / TCP）

• Telnet（ 23 / TCP）

• NetBIOS / SMB / Samba（ 139 / TCP 和 445 / TCP）

• LDAP（ 389 / TCP）

• Kerberos（ 88 / TCP）

• RDP /终端服务（ 3389 / TCP）

• HTTP(S) / HTTP 管理服务（ 80 / TCP 和 443 / TCP）

• MSSQL（ 1433 / TCP）

• Oracle（ 1521 / TCP）

• MySQL（ 3306 / TCP）

• VNC（ 5900 / TCP）

其他未授权访问端口

• Redis（6379）

• MongoDB（27017）

• Elasticsearch（9200）

• ZooKeeper（2181，2182）

• docker（2375）

• Memcached（11211）

• nfs（2049）

• CouchDB（5984）

• hadoop（50070）

其他

• Weblogic（7001/weblogic反序列化）

• Zabbix （8069/命令执行）

• Jenkins(8080-8089/控制台命令执行)

• JBoss(8080-8089/反序列化)