内网渗透|内网渗透-最实用的信息收集

0x00 内网渗透概述

当我们渗透web端或者通过其他方式拿到某内网主机shell,我们就可以尝试开始内网渗透,也叫做后渗透,域渗透等,探索域内网络架构,通过内网渗透得到其他内网主机的权限,或者通过内网主机获取到同域的最高管理员主机权限等。
1.内网基本认知:各种名词认知,域的认知,大概了解内网安全流程
2.内网信息收集:
(1) 内网主机的基本信息(版本,补丁,服务,任务,防护…),
(2)网络信息(端口,环境,代理通道…),
(3)用户信息(域用户,本地用户,用户权限,组信息…),
(4)凭据信息(各种储存的协议账号密码信息,各种口令信息,hash…)
3.后续探针信息:探索到域内的网络架构信息,存活主机,域控信息,服务接口…
0x01 内网基本认知 内网基本认知:各种名词认知,域的认知,大概了解内网安全流程
名词:局域网,工作组,域环境,活动目录AD,域控制器DC…
域:单域,父域,子域,域树,域森林
自己笔记本比较鸡肋搭建了一个简单的内网支持这次实验:
内网渗透|内网渗透-最实用的信息收集
文章图片

下面开始整个内网的信息收集
0x02 内网主机的基本信息收集(版本,补丁,服务,任务,防护…) 当拿到内网主机的控制权shell,进行第一步的基本主机信息收集
当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备
systeminfo 详细信息 net start 启动服务 tasklist 进程列表 schtasks 计划任务

举例: 进程列表,为判断主机服务信息做准备 内网渗透|内网渗透-最实用的信息收集
文章图片

基本信息: 内网渗透|内网渗透-最实用的信息收集
文章图片

0x03 网络信息收集(端口,环境,代理通道…)
ipconfig /all 判断存在域-dns net view /domain 判断存在域 net time /domain 判断主域 netstat -ano 当前网络端口开放 nslookup 域名 追踪来源地址

举例: 判断存在域名 内网渗透|内网渗透-最实用的信息收集
文章图片

通过查看时间返回计算机名称信息包含域信息, 内网渗透|内网渗透-最实用的信息收集
文章图片

【内网渗透|内网渗透-最实用的信息收集】通过nslookup追踪域名路由判断出主域IP 内网渗透|内网渗透-最实用的信息收集
文章图片

0x04 用户信息收集(域用户,本地用户,用户权限,组信息…) 了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试
系统默认常见用户身份: Domain Admins:域管理员(默认对域控制器有完全控制权) Domain Computers:域内机器 Domain Controllers:域控制器 Domain Guest:域访客,权限低 Domain Users:域用户 Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权) 相关用户收集操作命令: whoami /all 用户权限 net config workstation 登录信息 net user 本地用户 net localgroup 本地用户组 net user /domain 获取域用户信息 net group /domain 获取域用户组信息 wmic useraccount get /all 涉及域用户详细信息 net group "Domain Admins" /domain 查询域管理员账户 net group "Enterprise Admins" /domain 查询管理员用户组 net group "Domain Controllers" /domain 查询域控制器

举例: 内网渗透|内网渗透-最实用的信息收集
文章图片

域主机上查询: 内网渗透|内网渗透-最实用的信息收集
文章图片

涉及域用户详细信息:可在普通权限操作 内网渗透|内网渗透-最实用的信息收集
文章图片

查询命令一定要注意权限: 内网渗透|内网渗透-最实用的信息收集
文章图片

0x05 凭据信息收集(各种储存的协议账号密码信息,各种口令信息,hash…) 旨在收集各种密文,明文,口令等,为后续横向渗透做好测试准备,凭据信息收集:
1.站点源码备份文件、数据库备份文件等
2.各类数据库 Web 管理入口,如 PHPMyAdmin
3.浏览器保存密码、浏览器 Cookies
4.其他用户会话、3389 和 ipc$连接记录、回收站内容
5.Windows 保存的 WIFI 密码
6.网络内部的各种帐号和密码,如:Email、VPN、FTP、OA 等
这里推荐软件测试主机的上面存在的凭据信息
主机信息:计算机用户 HASH,明文获取-mimikatz(win),mimipenguin(linux)
mimikatz(win):https://github.com/gentilkiwi/mimikatz/releases
安装: privilege::debug sekurlsa::logonpasswords

使用获取本机账户密码信息:
内网渗透|内网渗透-最实用的信息收集
文章图片

接口信息收集:计算机各种协议服务口令获取-LaZagne(all),XenArmor(win收费,功能强大)
LaZagne工具演示-----
项目地址:https://github.com/AlessandroZ/LaZagne
laZagne.py all#检查所有模块 laZagne.py browsers#指定模块

内网渗透|内网渗透-最实用的信息收集
文章图片

0x06 后续探针信息:探索到域内的网络架构信息,存活主机,域控信息,服务接口… 探针主机域控架构服务,为后续横向思路做准备,针对应用,协议等各类攻击手法
探针域内存活主机及地址信息,使用自带的内部命令循环语句探索网络IP架构:
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.213.%I | findstr "TTL="

内网渗透|内网渗透-最实用的信息收集
文章图片

另外nmap masscan扫描工具工具也可以使用
这里介绍使用powershell框架脚本搜集信息nishang empire 等
powershell框架脚本搜集信息nishang:
项目地址:https://github.com/samratashok/nishang
工具使用:需要powershell权限运行 #设置执行策略 Set-ExecutionPolicy RemoteSigned #导入模块 nishang Import-Module .\nishang.psm1 #获取模块 nishang 的命令函数 Get-Command -Module nishang #获取常规计算机信息 Get-Information #端口扫描(查看目录对应文件有演示语法,其他同理) Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress 192.168.213.100 -ResolveHost -ScanPort

#获取常规计算机信息 Get-Information 内网渗透|内网渗透-最实用的信息收集
文章图片

内网渗透|内网渗透-最实用的信息收集
文章图片

内网渗透|内网渗透-最实用的信息收集
文章图片

端口扫描:Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress
192.168.213.100 -ResolveHost -ScanPort 内网渗透|内网渗透-最实用的信息收集
文章图片

#其他功能:删除补丁,反弹 Shell,凭据获取等
探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器(自建 SVN、GIT)
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器(内部技术文档服务器、其他监控服务器等)
大概的总结一下,希望各位师傅能够指点
交流学习:
博客:http://www.kxsy.work
CSND社区:告白热

    推荐阅读