進(jìn)入到內(nèi)網(wǎng)后，首先要對(duì)自己當(dāng)前所處的網(wǎng)絡(luò)環(huán)境有一個(gè)清楚地判斷，收集到有關(guān)當(dāng)前環(huán)境足夠多的信息，為接下來的滲透做好準(zhǔn)備

PS：文中提到的PowerSploit

本機(jī)信息

包括操作系統(tǒng)，當(dāng)前用戶權(quán)限，內(nèi)網(wǎng)ip段，殺毒軟件，端口開放情況，系統(tǒng)打的補(bǔ)丁，網(wǎng)絡(luò)狀況，共享文件夾等，如果是域內(nèi)的主機(jī)的話，操作系統(tǒng)、補(bǔ)丁、運(yùn)行的服務(wù)、殺軟等一般是域管批量用腳本安裝的。

本機(jī)網(wǎng)絡(luò)配置

• ipconfig /all：

### 操作系統(tǒng)

• 查詢操作系統(tǒng)及版本信息，補(bǔ)丁信息等等：systeminfo

• 查詢系統(tǒng)體系架構(gòu)：echo %PROCESSOR_ARCHITECTURE%

• 查詢已安裝的軟件及版本信息：wmic product get name,version

PS：在win10中，輸入wmic /?會(huì)提示wmic已棄用，但在server2012R2，win7等版本中可以正常使用

• • powershell中可替代該命令的是Get-WmiObject:Get-WmiObject -class win32_product | Select-Object -property name,version

• 查詢本機(jī)服務(wù)：wmic service list brief

• 查詢進(jìn)程：tasklist，或者：wmic process list brief

常見的殺軟進(jìn)程：

進(jìn)程名軟件360sd.exe360殺毒360tray.exe360實(shí)時(shí)保護(hù)ZhuDongFangYu.exe360主動(dòng)防御KSafeTray.exe金山衛(wèi)士SafeDogUpdateCenter.exe安全狗McAfee McShield.exeMcAfeeegui.exeNOD32AVP.exe卡巴斯基avguard.exe小紅傘bdagent.exeBitDefender

• 查看已啟動(dòng)的程序信息：wmic startup get command,caption

• 查看計(jì)劃任務(wù)：schtasks /query /fo LIST /v
  此處在我的靶機(jī)Server2008R2中出現(xiàn)了錯(cuò)誤：無法加載列資源，這里把編碼暫時(shí)設(shè)置為英文：chcp 437，之后再改回來：chcp 936即可

• 查看主機(jī)的開機(jī)時(shí)間：net statistics workstation

• 查看用戶列表：net user

• 查看本地管理員信息：net localgroup administrators

• 查看當(dāng)前在線的用戶：query user || qwinsta

• 查看本地計(jì)算機(jī)與所連接客戶端之間的會(huì)話：net session
  對(duì)于該指令，一開始我的機(jī)器上報(bào)錯(cuò)："發(fā)生系統(tǒng)錯(cuò)誤5。拒絕訪問"，找了一下解決辦法，只要以管理員身份運(yùn)行即可，此處靶機(jī)沒有回話，所以顯示為空

• 查看端口：netstat -ano

• 查看補(bǔ)丁信息：systeminfo,wmic qfe get caption,description,hotfixid,installedon

• 查看本機(jī)共享列表：net share，wmic share get name,path,status

• 查詢路由表及所有可用的ARP緩存表：route print，arp -a

• 查看防火墻相關(guān)：
  • 查看防火墻配置：netsh firewall show config

• • 關(guān)閉防火墻：
    • winserver 2003之前：netsh firewall set opmode disable
    • winserver 2003之后：netsh advfirewall set allprofiles state off
      一般來說不要操作防火墻的開關(guān)，風(fēng)險(xiǎn)極大，只需要查看配置即可

• 查看代理：reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings"

• 查詢遠(yuǎn)程連接服務(wù)：reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlsetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber

連接端口為16進(jìn)制數(shù)0xd3d，轉(zhuǎn)換為10進(jìn)制就是3389

使用empire收集信息

在攻擊機(jī)上安裝empire后，使用usemodule powershell/situational_awareness/host/winenum即可收集相關(guān)信息，注意使用該模塊需要拿到管理員權(quán)限

權(quán)限

• 查看當(dāng)前權(quán)限：whoami

• 獲取域id：whoami /all

• 獲取指定用戶的詳細(xì)信息：net user xxx /domain

## 判斷是否存在域

• 使用ipconfig /all即可做出判斷

• 此時(shí)發(fā)現(xiàn)域名后，利用nslookup命令直接解析域名的ip，借此來判斷dns服務(wù)器與域控是否在同一主機(jī)上nslookup 域名

• 查詢當(dāng)前的登錄域與用戶信息：net config workstation

• 判斷主域：net time /domain

若是此命令在顯示域處顯示W(wǎng)ORKGROUP，則不存在域，若是報(bào)錯(cuò)：發(fā)生系統(tǒng)錯(cuò)誤5，則存在域，但該用戶不是域用戶
## 探測(cè)域內(nèi)存活主機(jī)

• 利用ICMP進(jìn)行探測(cè)：for /L %I in (1,1,254) DO @ping -2 1 -n 1 192.168.52.%I | findstr "TTL="

我在本地機(jī)器中做了小小的修改，讓它只掃描141到142這段

• 利用empire中的arpscan模塊：usemodule situational_awareness/network/arpscan，設(shè)置Range(范圍)后即可掃描

掃描端口

• 使用telnet進(jìn)行掃描：telnet 主機(jī)名 22
• 使用metasploit進(jìn)行掃描：需要用到的是auxiliar/scanner/portscan/ack、ftpbounce、syn、tcp、xmas等模塊
• PowerSploit中的Invoke-Portscan.ps1腳本，位于Recon目錄下
• 使用Nishang的PortScan模塊，位于scan目錄下，上傳到主機(jī)上執(zhí)行

獲取Banner

掃描到端口后就要獲取到其Banner信息，接著就可以在漏洞庫(kù)里查找poc，這個(gè)可以找一下常見的端口的服務(wù)來得知

端口號(hào)端口說明攻擊技巧21/22/69ftp/tftp：文件傳輸協(xié)議允許匿名上傳、下載、爆破、嗅探、溢出和后門22ssh：遠(yuǎn)程連接爆破OpenSSH；28個(gè)退格23telnet：遠(yuǎn)程連接爆破嗅探、弱口令25smtp：郵件服務(wù)郵件偽造53DNS：域名系統(tǒng)DNS區(qū)域傳輸DNS劫持DNS緩存投毒DNS欺騙利用DNS隧道技術(shù)刺透防火墻67/68dhcp劫持欺騙80/443/8080常見web服務(wù)端口web攻擊、爆破、對(duì)應(yīng)服務(wù)器版本漏洞110pop3爆破、嗅探139samba爆破未授權(quán)訪問遠(yuǎn)程代碼執(zhí)行143imap爆破161snmp爆破389ldap目錄訪問協(xié)議注入攻擊未授權(quán)訪問，弱口令512/513/514linux rexec直接使用rlogin爆破873rsync未授權(quán)訪問文件上傳1080socket爆破：進(jìn)行內(nèi)網(wǎng)滲透1352lotus Domino郵件服務(wù)爆破：弱口令信息泄漏：源代碼1433mssql爆破：使用系統(tǒng)用戶登錄注入攻擊SA弱口令1521oracle爆破：TNS注入攻擊反彈shell2049nfs配置不當(dāng)2181zookeeper未授權(quán)訪問3306mysql爆破拒絕服務(wù)注入提權(quán)3389rdp爆破Shift后門3690SVN服務(wù)SVN泄露未授權(quán)訪問4848glassfish爆破：控制臺(tái)弱口令認(rèn)證繞過5000sybase/DB2爆破注入5432postgresql緩沖區(qū)溢出注入攻擊爆破：弱口令5632pcanywhere拒絕服務(wù)代碼執(zhí)行，抓取密碼5900vnc爆破：弱口令認(rèn)證繞過6379redis未授權(quán)訪問爆破：弱口令7001/7002weblogicJava反序列化控制臺(tái)弱口令控制臺(tái)部署webshell8069zabbix遠(yuǎn)程命令執(zhí)行SQL注入8080/8089JBoss/Resin/Jetty/Jenkins反序列化、控制臺(tái)弱口令9090websphere控制臺(tái)爆破：控制臺(tái)弱口令Java反序列9200/9300elasticsearch遠(yuǎn)程代碼執(zhí)行10000webmin控制面板弱口令11211memcacache未授權(quán)訪問27017/27018mongodb爆破未授權(quán)訪問50000SAP Management Console遠(yuǎn)程執(zhí)行

獲取域內(nèi)的基礎(chǔ)信息

• 查詢域：net view /domain

• 查詢域內(nèi)所有計(jì)算機(jī)：net view /domain:域名

• 查詢域內(nèi)所有用戶組：net group /domain

• 查看所有域成員計(jì)算機(jī)列表：net group "domain computers" /domain

• 獲取域密碼信息：net accounts /domain

• 獲取域信任信息：nltest /domain_trusts

## 尋找域控

• 查看域控機(jī)器名：nltest /DCLIST:域名

• 查看域控主機(jī)名：nslookup -type=SRV _ladp._tcp
• 查看域控制器組：net group "Domain Controllers" /domain，netdom query pdc

在大型企業(yè)中，域控制器組中的用戶會(huì)不止一個(gè)，這是為了保證主域控故障時(shí)可以切換到備用域控制器
## 獲取域內(nèi)用戶和管理員信息

• 查詢所有域用戶列表：net user /domain

• 獲取域內(nèi)用戶的詳細(xì)信息：wmic useraccount get /all，可以獲取到用戶名，描述信息，SID域名等

• 查看存在的用戶：dsquery user

• 查詢本地管理員組用戶：net localgroup administrators

• 查詢域管理員用戶組：net group "domain admins" /domain

• 查詢管理員用戶組：net group "Enterprise Admins" /domain

## 定位域管理員
常規(guī)渠道有二個(gè)，日志與會(huì)話，日志是本地機(jī)器的管理員日志，可以用腳本或者內(nèi)置應(yīng)用wevtutil導(dǎo)出來看
### 工具
psloggedon.exe，netview.exe，PVEFindADUser.exe，powersploit的PowerView腳本，Empire的user_hunter模塊等

查找域管理進(jìn)程

本機(jī)檢查

• net group "Domain Admins" /domain
• 列出本機(jī)的所有進(jìn)程及進(jìn)程用戶：tasklist /v

在以上進(jìn)程中盡量查找域管理員進(jìn)程或是與其相關(guān)的進(jìn)程
### 查詢域控的域用戶會(huì)話

• 查詢域控制器列表：net group "Domain Controllers" /domain
• 收集域管理員列表：net group "Domain admins" /domain
• 收集所有活動(dòng)域的會(huì)話列表：NetSess -h，使用的是NetSess.exe

目前還沒有任何會(huì)話，所以顯示無
## 利用powershell收集域信息

首先要將powershell的權(quán)限限制更改為RemoteSigned，這樣就可以執(zhí)行本地上的腳本

輸入：Get-ExecutionPolicy，發(fā)現(xiàn)自己并不是RemoteSigned權(quán)限，輸入：Set-ExecutionPolicy RemoteSigned，按Y確定即可，在本地虛擬機(jī)測(cè)試時(shí)還可以將腳本權(quán)限改為Unrestricter，這樣可以執(zhí)行來自網(wǎng)絡(luò)與本地的任何腳本

此處要使用的腳本在PowerSploit/Recon中，將要用到的PowerView.ps1傳入靶機(jī)，在powershell中打開該腳本目錄并導(dǎo)入：Import-Module .PowerView.ps1就可以進(jìn)行收集了

具體命令的相關(guān)用法在PowerSploit/Recon/READE.md中

小結(jié)

針對(duì)內(nèi)網(wǎng)滲透這方面自己是邊學(xué)習(xí)內(nèi)網(wǎng)安全攻防這本書邊整理的，由于是初學(xué)者且沒有在真實(shí)環(huán)境實(shí)戰(zhàn)過，文內(nèi)有錯(cuò)誤還請(qǐng)師傅們提出，水平一般還望見諒

---

轉(zhuǎn)載于先知社區(qū)

總結(jié)

以上是生活随笔為你收集整理的pyqt 把控制台信息显示到_内网渗透初识—信息收集的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。