内网渗透|内网渗透-最实用的信息收集内网渗透|安全

0x00 内网渗透概述

当我们渗透web端或者通过其他方式拿到某内网主机shell，我们就可以尝试开始内网渗透，也叫做后渗透，域渗透等，探索域内网络架构，通过内网渗透得到其他内网主机的权限，或者通过内网主机获取到同域的最高管理员主机权限等。

1.内网基本认知：各种名词认知，域的认知，大概了解内网安全流程
2.内网信息收集：
（1）内网主机的基本信息（版本，补丁，服务，任务，防护…），
（2）网络信息（端口，环境，代理通道…），
（3）用户信息（域用户，本地用户，用户权限，组信息…），
（4）凭据信息（各种储存的协议账号密码信息，各种口令信息，hash…）
3.后续探针信息：探索到域内的网络架构信息，存活主机，域控信息，服务接口…

0x01 内网基本认知内网基本认知：各种名词认知，域的认知，大概了解内网安全流程
名词：局域网，工作组，域环境，活动目录AD，域控制器DC…
域：单域，父域，子域，域树，域森林
自己笔记本比较鸡肋搭建了一个简单的内网支持这次实验：

文章图片

下面开始整个内网的信息收集
0x02 内网主机的基本信息收集（版本，补丁，服务，任务，防护…）当拿到内网主机的控制权shell，进行第一步的基本主机信息收集
当前服务器的计算机基本信息，为后续判断服务器角色，网络环境等做准备

systeminfo 详细信息 net start 启动服务 tasklist 进程列表 schtasks 计划任务

举例：进程列表，为判断主机服务信息做准备
文章图片

基本信息：
文章图片

0x03 网络信息收集（端口，环境，代理通道…）

ipconfig /all 判断存在域-dns net view /domain 判断存在域 net time /domain 判断主域 netstat -ano 当前网络端口开放 nslookup 域名追踪来源地址

举例：判断存在域名
文章图片

通过查看时间返回计算机名称信息包含域信息，
文章图片

【内网渗透|内网渗透-最实用的信息收集】通过nslookup追踪域名路由判断出主域IP
文章图片

0x04 用户信息收集（域用户，本地用户，用户权限，组信息…）了解当前计算机或域环境下的用户及用户组信息，便于后期利用凭据进行测试

系统默认常见用户身份： Domain Admins：域管理员（默认对域控制器有完全控制权） Domain Computers：域内机器 Domain Controllers：域控制器 Domain Guest：域访客，权限低 Domain Users：域用户 Enterprise Admins：企业系统管理员用户（默认对域控制器有完全控制权）相关用户收集操作命令： whoami /all 用户权限 net config workstation 登录信息 net user 本地用户 net localgroup 本地用户组 net user /domain 获取域用户信息 net group /domain 获取域用户组信息 wmic useraccount get /all 涉及域用户详细信息 net group "Domain Admins" /domain 查询域管理员账户 net group "Enterprise Admins" /domain 查询管理员用户组 net group "Domain Controllers" /domain 查询域控制器

举例：
文章图片

域主机上查询：
文章图片

涉及域用户详细信息：可在普通权限操作
文章图片

查询命令一定要注意权限：
文章图片

0x05 凭据信息收集（各种储存的协议账号密码信息，各种口令信息，hash…）旨在收集各种密文，明文，口令等，为后续横向渗透做好测试准备，凭据信息收集：

1.站点源码备份文件、数据库备份文件等
2.各类数据库 Web 管理入口，如 PHPMyAdmin
3.浏览器保存密码、浏览器 Cookies
4.其他用户会话、3389 和 ipc$连接记录、回收站内容
5.Windows 保存的 WIFI 密码
6.网络内部的各种帐号和密码，如：Email、VPN、FTP、OA 等

这里推荐软件测试主机的上面存在的凭据信息
主机信息：计算机用户 HASH，明文获取-mimikatz(win)，mimipenguin(linux)
mimikatz(win):https://github.com/gentilkiwi/mimikatz/releases

安装： privilege::debug sekurlsa::logonpasswords

使用获取本机账户密码信息：

文章图片

接口信息收集：计算机各种协议服务口令获取-LaZagne(all)，XenArmor(win收费，功能强大)
LaZagne工具演示-----
项目地址：https://github.com/AlessandroZ/LaZagne

laZagne.py all#检查所有模块 laZagne.py browsers#指定模块

文章图片

0x06 后续探针信息：探索到域内的网络架构信息，存活主机，域控信息，服务接口… 探针主机域控架构服务，为后续横向思路做准备，针对应用，协议等各类攻击手法
探针域内存活主机及地址信息，使用自带的内部命令循环语句探索网络IP架构：

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.213.%I | findstr "TTL="

文章图片

另外nmap masscan扫描工具工具也可以使用
这里介绍使用powershell框架脚本搜集信息nishang empire 等
powershell框架脚本搜集信息nishang：
项目地址：https://github.com/samratashok/nishang

工具使用：需要powershell权限运行 #设置执行策略 Set-ExecutionPolicy RemoteSigned #导入模块 nishang Import-Module .\nishang.psm1 #获取模块 nishang 的命令函数 Get-Command -Module nishang #获取常规计算机信息 Get-Information #端口扫描（查看目录对应文件有演示语法，其他同理） Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress 192.168.213.100 -ResolveHost -ScanPort

#获取常规计算机信息 Get-Information
文章图片

文章图片

文章图片

端口扫描：Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress
192.168.213.100 -ResolveHost -ScanPort
文章图片

#其他功能：删除补丁，反弹 Shell，凭据获取等
探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器（自建 SVN、GIT）
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器（内部技术文档服务器、其他监控服务器等）
大概的总结一下，希望各位师傅能够指点