• 针对内网的信息搜集


    信息收集(Information Gathering),信息收集是指通过各种方式获取所需要的信息,在整个渗透测试环节中,信息搜集是整个渗透过程中最为重要的一环,信息搜集可占据整个渗透测试80%左右的工作量,同样的如果尽可能搜集更多的信息,对于后期的渗透工作是非常有帮助的,本章将针对内网(域)环境进行信息的搜集工作,以作为学习笔记收录。

    收集本机信息

    ipconfig: 获取本地主机的IP地址,与子网。

    C:>ipconfig
    
    Windows IP 配置
    以太网适配器 以太网:
    
       连接特定的 DNS 后缀 . . . . . . . :
       本地链接 IPv6 地址. . . . . . . . : fcc0::fbb0:8226:511e:bcc4%19
       IPv4 地址 . . . . . . . . . . . . : 192.168.1.2
       子网掩码  . . . . . . . . . . . . : 255.255.255.0
       默认网关. . . . . . . . . . . . . : 192.168.1.1
    

    net localgroup: 查本机主机组中的管理权限。

    C:>net localgroup administrators
    别名     administrators
    注释     管理员对计算机/域有不受限制的完全访问权
    -------------------------------------------------------------------------------
    Administrator
    LyShark
    

    netstat: 查询本机端口开放情况。

    C:>netstat -ano
    
    活动连接
      协议  本地地址          外部地址        状态           PID
      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       404
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:902            0.0.0.0:0              LISTENING       4000
      TCP    0.0.0.0:912            0.0.0.0:0              LISTENING       4000
      TCP    0.0.0.0:5040           0.0.0.0:0              LISTENING       6364
      TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:8082           0.0.0.0:0              LISTENING       1180
      TCP    0.0.0.0:49664          0.0.0.0:0              LISTENING       704
      TCP    0.0.0.0:49665          0.0.0.0:0              LISTENING       1432
    

    systeminfo: 查询当前主机的详细信息。

    C:>systeminfo
    
    主机名:           DELL
    OS 名称:          Microsoft Windows 10 企业版
    OS 版本:          10.0.17763 暂缺 Build 17763
    OS 制造商:        Microsoft Corporation
    OS 配置:          独立工作站
    OS 构件类型:      Multiprocessor Free
    注册的所有人:     LyShark
    注册的组织:       暂缺
    产品 ID:          00425-00000-00002-AA474
    初始安装日期:     2019/8/21, 19:53:20
    系统启动时间:     2019/8/24, 7:31:16
    系统制造商:       Dell Inc.
    系统型号:         Inspiron 
    系统类型:         x64-based PC
    处理器:           安装了 1 个处理器。
    

    wmic share: 查看共享

    C:>wmic share get name,path,status
    Name    Path        Status
    ADMIN$  C:Windows  OK
    C$      C:         OK
    D$      D:         OK
    E$      E:         OK
    IPC$                OK
    

    whoami: 获取域的SID,把这个作为访问令牌

    C:>whoami /all
    
    用户名       SID
    ============ =============================================
    delllyshark S-1-5-21-2451267939-1622466721-1234564-1001
    

    net user: 查询本机的用户信息。

    C:>net accounts
    强制用户在时间到期之后多久必须注销?:     从不
    密码最短使用期限(天):                    0
    密码最长使用期限(天):                    42
    密码长度最小值:                          0
    保持的密码历史记录长度:                  None
    锁定阈值:                                从不
    锁定持续时间(分):                        30
    锁定观测窗口(分):                        30
    计算机角色:                              WORK
    命令成功完成。
    
    C:>net user
    -------------------------------------------------------------------------------
    Administrator            Guest            LyShark
    命令成功完成。
    

    netsh wlan: 查询本机无线网的连接密码。

    C:>netsh wlan show profiles
    C:>netsh wlan show profile name="lyshark" key=clear
    
    接口 WLAN 上的配置文件 瑞发百货:
    =======================================================================
    
    已应用: 所有用户配置文件
    
    配置文件信息
    -------------------
        版本                   : 1
        类型                   : 无线局域网
        名称                   : lyshark
        控制选项               :
            连接模式           : 手动连接
            网络广播           : 只在网络广播时连接
            AutoSwitch         : 请勿切换到其他网络
            MAC 随机化: 禁用
    
    安全设置
    -----------------
        身份验证         : WPA2 - 个人
        密码                 : CCMP
        身份验证         : WPA2 - 个人
        密码                 : GCMP
        安全密钥               : 存在
        关键内容            : 1234567890     # 此处为密码
    

    wmic qfe: 查询本机的补丁情况,并生成patch.html 文件

    C:>wmic qfe list full /format:htable>c:patch.html
    

    route: 查询路由记录。

    C:>route print
    ===========================================================================
    IPv4 路由表
    ===========================================================================
    活动路由:
    网络目标        网络掩码          网关       接口   跃点数
              0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2     35
            127.0.0.0        255.0.0.0            在链路上         127.0.0.1    331
            127.0.0.1  255.255.255.255            在链路上         127.0.0.1    331
      127.255.255.255  255.255.255.255            在链路上         127.0.0.1    331
          192.168.1.0    255.255.255.0            在链路上       192.168.1.2    291
          192.168.1.2  255.255.255.255            在链路上       192.168.1.2    291
        192.168.1.255  255.255.255.255            在链路上       192.168.1.2    291
         192.168.81.0    255.255.255.0            在链路上      192.168.81.1    291
         192.168.81.1  255.255.255.255            在链路上      192.168.81.1    291
       192.168.81.255  255.255.255.255            在链路上      192.168.81.1    291
        192.168.222.0    255.255.255.0            在链路上     192.168.222.1    291
    

    arp: 查询arp记录。

    C:>arp -a
    
    接口: 192.168.222.1 --- 0xd
      Internet 地址         物理地址              类型
      192.168.222.254       00-52-56-f3-a5-99     动态
      192.168.222.255       ff-ff-ff-ff-ff-ff     静态
      224.0.0.2             01-20-5e-00-60-02     静态
      224.0.0.22            01-30-5e-04-00-16     静态
    

    提取注册表: 提取注册表中的关键数据。

    C:>reg save HKLMSecurity sec.hive
    操作成功完成。
    C:>reg save HKLMSystem sys.hive
    操作成功完成。
    C:>reg save HKLMSAM sam.hive
    操作成功完成。
    

    net: 命令大合集。

    net user /domain            查看域用户
    net view /domain                查询域列表
    net group /domain           查看域里面的工作组
    net group "domain admins" /domain       查询域管理员用户组 
    net localgroup administrators /domain   查询登录本机的域管理员
    net group "domain controllers" /domain  查看域控制器
    net time /domain                判断主域,主域服务器都做时间服务器
    net config workstation          查询当前登录域
    net share               查看共享文件路径
    net view                            查询同一域内机器列表 
    net view \ip                       查询某IP共享
    net view /domain:test.com           查看test域中计算机列表
    

    使用Nmap 探测网络

    Nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端,确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统,正如大多数被用于网络安全的工具,Nmap也是不少黑客及骇客爱用的工具,如下是内网中最常用的使用方式,更多Nmap 使用方式参考:https://www.cnblogs.com/LyShark/p/11136300.html

    主机发现: 通过使用 -sn 参数发现内网中存活的主机,也可以使用 -sP 选项。

    root@kali:~# nmap -sn 192.168.1.0/24 | grep "Nmap scan" | awk '{print $5}'
    
    192.168.1.1
    192.168.1.2
    192.168.1.4
    192.168.1.5
    192.168.1.10
    192.168.1.40
    

    端口扫描: 扫描主机 192.168.1.10 的前1-1024端口是否开放。

    root@kali:~# nmap -sS -p1-1024 192.168.1.10 | grep "open"
    
    80/tcp  open  http
    100/tcp open  newacct
    135/tcp open  msrpc
    139/tcp open  netbios-ssn
    443/tcp open  https
    902/tcp open  iss-realsecure
    912/tcp open  apex-mesh
    

    系统识别: 检测指定主机安装了什么操作系统,通过指纹识别。

    root@kali:~# nmap -O 192.168.1.2 | grep "Running"
    Running (JUST GUESSING): FreeBSD 6.X|10.X (89%), AVtech embedded (89%)
    
    root@kali:~# nmap -O 192.168.1.3 | grep "Running"
    Running: Google Android 5.X|6.X, Linux 3.X
    
    root@kali:~# nmap -O 192.168.1.10 | grep "Running"
    Running: Microsoft Windows XP
    

    服务识别: 识别目标主机常用端口开放服务的具体版本,仅供参考。

    root@kali:~# nmap -sV 192.168.1.10 | grep "open"
    
    80/tcp   open  http        Apache httpd 2.4.18 ((Win32) OpenSSL/1.0.2e mod_fcgid/2.3.9)
    135/tcp  open  msrpc       Microsoft Windows RPC
    139/tcp  open  netbios-ssn Microsoft Windows netbios-ssn
    443/tcp  open  ssl/https?
    902/tcp  open  nagios-nsca Nagios NSCA
    912/tcp  open  vmware-auth VMware Authentication Daemon 1.0 (Uses VNC, SOAP)
    1433/tcp open  ms-sql-s    Microsoft SQL Server 2000 8.00.2039; SP4
    2869/tcp open  http        Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP)
    3306/tcp open  mysql       MySQL (unauthorized)
    

    UDP端口扫描: 指定 -sU 扫描UDP,-p指定扫描端口。

    root@kali:~# nmap -sU -T5 -sV --max-retries 1 -p 139 192.168.1.10
    
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:32 CST
    Nmap scan report for 192.168.1.10
    Host is up (0.00022s latency).
    
    PORT    STATE  SERVICE     VERSION
    139/udp closed netbios-ssn
    MAC Address: ZZ:9C:PP:3A:11 (Elitegroup Computer Systems)
    
    Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
    Nmap done: 1 IP address (1 host up) scanned in 0.91 seconds
    

    通过NetBios发现主机: 使用script指定一个脚本,-p指定端口。

    root@kali:~# nmap -sU --script nbstat.nse -p137 192.168.1.10 -T4
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:40 CST
    Nmap scan report for 192.168.1.10
    Host is up (0.00022s latency).
    
    PORT    STATE SERVICE
    137/udp open  netbios-ns
    
    Host script results:
    |_nbstat: NetBIOS name: WANG, NetBIOS user: <unknown>, NetBIOS (Elitegroup Computer Systems)
    Nmap done: 1 IP address (1 host up) scanned in 0.76 seconds
    

    通过ARP发现主机: ARP 协议发现内网存活主机。

    root@kali:~# nmap -sn -PR 192.168.1.0/24
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:41 CST
    Nmap scan report for 192.168.1.1
    Host is up (0.00039s latency).
    Nmap scan report for 192.168.1.2
    Host is up (0.00020s latency).
    Nmap scan report for 192.168.1.10
    Host is up (0.00010s latency).
    Nmap scan report for 192.168.1.40
    Host is up.
    Nmap done: 256 IP addresses (4 hosts up) scanned in 2.06 seconds
    

    broadcast脚本: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务

    root@kali:~# nmap --script=broadcast 192.168.1.10
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:56 CST
    Pre-scan script results:
    | broadcast-dhcp-discover: 
    |   Response 1 of 1: 
    |     IP Offered: 192.168.1.7
    |     Server Identifier: 192.168.1.1
    |     Subnet Mask: 255.255.255.0
    |     Router: 192.168.1.1
    |_    Domain Name Server: 192.168.1.1
    ...More...
    

    vuln检测漏洞: 用于检测系统常见漏洞,并有相应的解释。

    root@kali:~# nmap --script=vuln 192.168.1.10
    
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 20:00 CST
    Host script results:
    | smb-vuln-cve2009-3103: 
    |   VULNERABLE:
    |   SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
    |     State: VULNERABLE
    |     IDs:  CVE:CVE-2009-3103
    |           Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
    |           Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
    |           denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
    |           PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
    |           aka "SMBv2 Negotiation Vulnerability."
    |           
    |     Disclosure date: 2009-09-08
    |     References:
    |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
    |_      http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
    

    searchsploit: 通过本地漏洞数据库,查询漏洞的详细描述和使用方法。

    root@kali:~# searchsploit ms17-010
    --------------------------------------------------------------------------------------------- ----------------------------------------
     Exploit Title                                                                               |  Path
                                                                                                 | (/usr/share/exploitdb/)
    --------------------------------------------------------------------------------------------- ----------------------------------------
    Microsoft Windows - 'EternalRomance'/'EternalSynergy'/'EternalChampion' SMB Remote Code Exec | exploits/windows/remote/43970.rb
    Microsoft Windows - SMB Remote Code Execution Scanner (MS17-010) (Metasploit)                | exploits/windows/dos/41891.rb
    
  • 相关阅读:
    Merge Intervals
    Merge k Sorted Lists
    Sqrt(x)
    First Missing Positive
    Construct Binary Tree from Inorder and Postorder Traversal
    Construct Binary Tree from Preorder and Inorder Traversal
    Distinct Subsequences
    Reverse Nodes in k-Group
    Jump Game II
    Jump Game
  • 原文地址:https://www.cnblogs.com/LyShark/p/11405355.html
Copyright © 2020-2023  润新知