首页 » 内网渗透 » 正文

【内网渗透】信息收集常用命令技巧

收集当前低权限入口机器的基本信息

1.查看当前权限,用户
whoami /user 
2.查询系统最近无用户登录记录,这可能会影响后期抓取系统用户明文密码,如果目标系统很长时间没重启过,还是有可能抓到缓存里的明文密码的 
query user 
3.如果目标系统为 2008r2 64 位企业版,故不用考虑 wdigest 的问题,后期可尝试直接抓明文 
wmic OS get Caption,CSDVersion,OSArchitecture,Version 
4.在内网快速判断主机 那些协议可以走通
ping 谷歌超时,猜测目标内网可能有出站限制,后期如确实需要反弹端口,还需要再进一步详细刺探确认,到底哪些协议,哪些端口能正常进出 
icmp协议  
ping www.google.com
http协议  
curl -i www.google.com
tcp协议   
telnet www.google.com
dns协议
如果dns[txt]请求正常,后期如果其它常规方式无法上线,可考虑 DNS 隧道上线 
nslookup -type=txt www.google.com
5.查看当前计算机的其他用户
net user 
6.查看zzhsec用户的属性
net user zzhsec
7.查看域,网关,主备DNS,C段范围
ipconfig /all 
8.本地密码管理器,可能会存有密码
cmdkey /l 
9.查看当前有没有ipc连接
net use
10.查看当前系统补丁情况,有可能还需要提权,并重定向输出到1.txt文本里,因为systeminfo等待时间长,菜刀中执行可能会超时,所以输出到一个文本里面
systeminfo > 1.txt
11.获取当前系统进程列表
tasklist
12.获取当前系统中已安装的详细软件列表
wmic product get name,version
powershell命令版本
powershell "Get-WmiObject -class Win32_Product | Select-Object -property name,version"
13.获取当前系统的所有监听端口和正在进行的网络连接,暂未见内网敏感服务及其它各类恶意连接 
netstat -ano 
netstat -ano | findstr "ESTABLISHED"

特殊情况

1.Google Chrome 
其中可能会存有各种 web 登录密码,后期可提取 cookie 文件进行离线解密,建议提权后操作 
2.Mozilla Firefox 61.0.2 (x64 vi) 
其中可能会存有各种 web 登录密码,后期可提取 profile 目录进行离线解密,同样建议提权后操作 
3.PremiumSoft Navicat 9.0 for MySQL 
在本地可能会存有 mysql 连接密码,后期可从注册表中读取 hash 进行离线解密,当前权限太低,可能看不到,建议提权后操作 
4.MySQL Server 5.5  user.MYD 
文件中存有所有数据库用户密码 hash,后期可提取进行离线爆破,另外,由于是 windows, mysql 服务本身默认可能直接是用 system 权限起的,后期可尝试 udf,mof...提权,2008r2,mysql5.5 不一定能成,先备着 
5.TortoiseSVN 1.8.10.26129 (64 bit)     
本地可能存有 svn 登录账号密码,不过当前权限下也可能看不到,需要提权后再进行相应操作 
6.ESET File Security 6.5.12014.1          
很显然,ESET 套装,以下全部简称"efs",不同于其它 ESET 杀毒版本,这个是文件系统专版,高级内存查杀比较厉害,市面上的部分工具,基本是丢上去就瞬间没,包括各种 webshell[大马]和一些公开的渗透工具 
7.ESET Remote Administrator Agent    
看到 agnet 端,自然而然就会联想到是不是还有 master 端,可能就在内网的某台机器上 
8.F-Secure Server Security Premium      
虽然装了 F-Secure 服务器版杀毒[ 预览版? 过期? ],但似乎并没发现有相关的活动进程,其实,在翻目录的过程中我们还发现,这台机器之前可能还装过卡巴,Sophos,也就是说,它前后可能换过三四种杀软 
9.PHP Manager 1.2 for IIS 7    
添加 iis 对 PHP 脚本的解析支持,从他装的软件都能看出来,竟然会用这种东西,很显然,当前管理员并不是个专业的管理员,水平很一般 
10.Notepad++ (32-bit x86) 32 位的 noteapd++,最好先先办法确定其详细版本[ 看了 notepadd++.exe 里貌似没有可直接在 cmd 下查看版本的选项,只能猜? ],检查对应版本是否存在 dll 劫持,可用于提权,后期亦可考虑用来做持久化控制 
11.WinRAR 5.30 (32-bit) 32 位的 winrar,5.3 版本[存在漏洞版本],后期可直接用其安装目录下的 rar.exel 在 cmd 下进行打包各种敏感文件数据 
目标自带的各种运行环境 [ 装了这么多,唯一的好处可能就是极大的方便了我们的可操作范围 ] 
12..NET Framework 4.5  .NET Framework 4.7 环境 
编译执行各种自己的 chsarp 程序,比如,shellcode,各种小工具... 
13.Microsoft SQL Server 2012 Command Line Utilities sqlcmd 
方便后续直接在 cmd 下远程操作 mssql[不得已的情况下] 
14.Microsoft Visual Studio Premium 2012 vs2012 
预览版,自带完整编译环境,极大扩宽了我们的可利用空间 
15.Office 2007 办公套装 
版本比较低,后期可考虑用来做持久化控制[很少用] 
16.Symantec Backup Exec Remote Agent for Windows 
猜测应该是 Symantec 的什么远程备份工具,初步判断应该并不是特别重要 

查看当前域情况

1. net view 确实可以快速获取当前域或工作组内的"部分"在线机器
net view
2.通过 net group "domain computers" /domain 把域内的所有机器名都查出
net group "domain computers" /domain
3.获取当前内网下的所有工作组和域 
net view /domain
4.获取指定域或工作组下的存活主机列表 
net view /domain:zzhdc

file

5.Linux下去除一些东西,方便批量化操作
# awk -F " " {'print $1'} list.txt >> mac.txt 
# awk -F " " {'print $2'} list.txt >> mac.txt 
# awk -F " " {'print $3'} list.txt >> mac.txt 
# sed -i 's/\$//g' mac.txt 记得把机器名末尾的那个$批量剔除 
# cat mac.txt 最终得到的完整域内机器名列表如下 

file

有了域内的所有机器名列表,接下来探测域内存活很简单了,批处理,循环 ping 列表文件中的所有机器名,便可拿到每个机器名所解析到的内网 ip,这种方式要远比简单的去 net view 一下要获取的多的多,也更加的精准实用[实际中,单单机械的敲个 net view 其实没 有任何意义,完全是一些非常冗余的操作],从各个机器名解析到的 ip 中,我们顺便还可以发现很多隐藏的内网段,这对于后期横向拓展是非常有帮助的

for /f "delims=" %i in (C:\HOST-ASP\MTI\Styles\mac.txt) do @ping -w 1 -n 1 %i | findstr /c:"mark.com" >> C:\HOST-ASP\MTI\Styles\mactoip.txt 
type C:\HOST-ASP\MTI\Styles\mactoip.txt 
至于能不能 ping 通,其实并不重要,我们需要的知识那个内网 ip,暂时只要知道这台机器是存活的即可,另外特别注意,这些存活扫描动作,最好都选在目标上班时段进行,这样获取到的结果会更加全面一些 
del mactoip.txt /F 
拿到这些机器名之后,其实我们已经能看出个大概,哪台机器都是干啥的,比如, SRV ,PC , web, sql, bakup, app... 了解这些会更加利于后期有针对性的横向拓展,比如,快速获取目标内网敏感机器上的资源.
6.获取当前域的信任关系
nltest /dclist:xxxx.com 

待更新,明天更新完