進入到內(nèi)網(wǎng)后，首先要對自己當(dāng)前所處的網(wǎng)絡(luò)環(huán)境有一個清楚地判斷，收集到有關(guān)當(dāng)前環(huán)境足夠多的信息，為接下來的滲透做好準備

PS：文中提到的PowerSploit

本機信息

包括操作系統(tǒng)，當(dāng)前用戶權(quán)限，內(nèi)網(wǎng)ip段，殺毒軟件，端口開放情況，系統(tǒng)打的補丁，網(wǎng)絡(luò)狀況，共享文件夾等，如果是域內(nèi)的主機的話，操作系統(tǒng)、補丁、運行的服務(wù)、殺軟等一般是域管批量用腳本安裝的。

本機網(wǎng)絡(luò)配置

• ipconfig /all：

### 操作系統(tǒng)

• 查詢操作系統(tǒng)及版本信息，補丁信息等等：systeminfo

• 查詢系統(tǒng)體系架構(gòu)：echo %PROCESSOR_ARCHITECTURE%

• 查詢已安裝的軟件及版本信息：wmic product get name,version

PS：在win10中，輸入wmic /?會提示wmic已棄用，但在server2012R2，win7等版本中可以正常使用

• • powershell中可替代該命令的是Get-WmiObject:Get-WmiObject -class win32_product | Select-Object -property name,version

• 查詢本機服務(wù)：wmic service list brief

• 查詢進程：tasklist，或者：wmic process list brief

常見的殺軟進程：

進程名軟件360sd.exe360殺毒360tray.exe360實時保護ZhuDongFangYu.exe360主動防御KSafeTray.exe金山衛(wèi)士SafeDogUpdateCenter.exe安全狗McAfee McShield.exeMcAfeeegui.exeNOD32AVP.exe卡巴斯基avguard.exe小紅傘bdagent.exeBitDefender

• 查看已啟動的程序信息：wmic startup get command,caption

• 查看計劃任務(wù)：schtasks /query /fo LIST /v
  此處在我的靶機Server2008R2中出現(xiàn)了錯誤：無法加載列資源，這里把編碼暫時設(shè)置為英文：chcp 437，之后再改回來：chcp 936即可

• 查看主機的開機時間：net statistics workstation

• 查看用戶列表：net user

• 查看本地管理員信息：net localgroup administrators

• 查看當(dāng)前在線的用戶：query user || qwinsta

• 查看本地計算機與所連接客戶端之間的會話：net session
  對于該指令，一開始我的機器上報錯："發(fā)生系統(tǒng)錯誤5。拒絕訪問"，找了一下解決辦法，只要以管理員身份運行即可，此處靶機沒有回話，所以顯示為空

• 查看端口：netstat -ano

• 查看補丁信息：systeminfo,wmic qfe get caption,description,hotfixid,installedon

• 查看本機共享列表：net share，wmic share get name,path,status

• 查詢路由表及所有可用的ARP緩存表：route print，arp -a

• 查看防火墻相關(guān)：
  • 查看防火墻配置：netsh firewall show config

• • 關(guān)閉防火墻：
    • winserver 2003之前：netsh firewall set opmode disable
    • winserver 2003之后：netsh advfirewall set allprofiles state off
      一般來說不要操作防火墻的開關(guān)，風(fēng)險極大，只需要查看配置即可

• 查看代理：reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings"

• 查詢遠程連接服務(wù)：reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlsetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber

連接端口為16進制數(shù)0xd3d，轉(zhuǎn)換為10進制就是3389

使用empire收集信息

在攻擊機上安裝empire后，使用usemodule powershell/situational_awareness/host/winenum即可收集相關(guān)信息，注意使用該模塊需要拿到管理員權(quán)限

權(quán)限

• 查看當(dāng)前權(quán)限：whoami

• 獲取域id：whoami /all

• 獲取指定用戶的詳細信息：net user xxx /domain

## 判斷是否存在域

• 使用ipconfig /all即可做出判斷

• 此時發(fā)現(xiàn)域名后，利用nslookup命令直接解析域名的ip，借此來判斷dns服務(wù)器與域控是否在同一主機上nslookup 域名

• 查詢當(dāng)前的登錄域與用戶信息：net config workstation

• 判斷主域：net time /domain

若是此命令在顯示域處顯示W(wǎng)ORKGROUP，則不存在域，若是報錯：發(fā)生系統(tǒng)錯誤5，則存在域，但該用戶不是域用戶
## 探測域內(nèi)存活主機

• 利用ICMP進行探測：for /L %I in (1,1,254) DO @ping -2 1 -n 1 192.168.52.%I | findstr "TTL="

我在本地機器中做了小小的修改，讓它只掃描141到142這段

• 利用empire中的arpscan模塊：usemodule situational_awareness/network/arpscan，設(shè)置Range(范圍)后即可掃描

掃描端口

• 使用telnet進行掃描：telnet 主機名 22
• 使用metasploit進行掃描：需要用到的是auxiliar/scanner/portscan/ack、ftpbounce、syn、tcp、xmas等模塊
• PowerSploit中的Invoke-Portscan.ps1腳本，位于Recon目錄下
• 使用Nishang的PortScan模塊，位于scan目錄下，上傳到主機上執(zhí)行

獲取Banner

掃描到端口后就要獲取到其Banner信息，接著就可以在漏洞庫里查找poc，這個可以找一下常見的端口的服務(wù)來得知

端口號端口說明攻擊技巧21/22/69ftp/tftp：文件傳輸協(xié)議允許匿名上傳、下載、爆破、嗅探、溢出和后門22ssh：遠程連接爆破OpenSSH；28個退格23telnet：遠程連接爆破嗅探、弱口令25smtp：郵件服務(wù)郵件偽造53DNS：域名系統(tǒng)DNS區(qū)域傳輸DNS劫持DNS緩存投毒DNS欺騙利用DNS隧道技術(shù)刺透防火墻67/68dhcp劫持欺騙80/443/8080常見web服務(wù)端口web攻擊、爆破、對應(yīng)服務(wù)器版本漏洞110pop3爆破、嗅探139samba爆破未授權(quán)訪問遠程代碼執(zhí)行143imap爆破161snmp爆破389ldap目錄訪問協(xié)議注入攻擊未授權(quán)訪問，弱口令512/513/514linux rexec直接使用rlogin爆破873rsync未授權(quán)訪問文件上傳1080socket爆破：進行內(nèi)網(wǎng)滲透1352lotus Domino郵件服務(wù)爆破：弱口令信息泄漏：源代碼1433mssql爆破：使用系統(tǒng)用戶登錄注入攻擊SA弱口令1521oracle爆破：TNS注入攻擊反彈shell2049nfs配置不當(dāng)2181zookeeper未授權(quán)訪問3306mysql爆破拒絕服務(wù)注入提權(quán)3389rdp爆破Shift后門3690SVN服務(wù)SVN泄露未授權(quán)訪問4848glassfish爆破：控制臺弱口令認證繞過5000sybase/DB2爆破注入5432postgresql緩沖區(qū)溢出注入攻擊爆破：弱口令5632pcanywhere拒絕服務(wù)代碼執(zhí)行，抓取密碼5900vnc爆破：弱口令認證繞過6379redis未授權(quán)訪問爆破：弱口令7001/7002weblogicJava反序列化控制臺弱口令控制臺部署webshell8069zabbix遠程命令執(zhí)行SQL注入8080/8089JBoss/Resin/Jetty/Jenkins反序列化、控制臺弱口令9090websphere控制臺爆破：控制臺弱口令Java反序列9200/9300elasticsearch遠程代碼執(zhí)行10000webmin控制面板弱口令11211memcacache未授權(quán)訪問27017/27018mongodb爆破未授權(quán)訪問50000SAP Management Console遠程執(zhí)行

獲取域內(nèi)的基礎(chǔ)信息

• 查詢域：net view /domain

• 查詢域內(nèi)所有計算機：net view /domain:域名

• 查詢域內(nèi)所有用戶組：net group /domain

• 查看所有域成員計算機列表：net group "domain computers" /domain

• 獲取域密碼信息：net accounts /domain

• 獲取域信任信息：nltest /domain_trusts

## 尋找域控

• 查看域控機器名：nltest /DCLIST:域名

• 查看域控主機名：nslookup -type=SRV _ladp._tcp
• 查看域控制器組：net group "Domain Controllers" /domain，netdom query pdc

在大型企業(yè)中，域控制器組中的用戶會不止一個，這是為了保證主域控故障時可以切換到備用域控制器
## 獲取域內(nèi)用戶和管理員信息

• 查詢所有域用戶列表：net user /domain

• 獲取域內(nèi)用戶的詳細信息：wmic useraccount get /all，可以獲取到用戶名，描述信息，SID域名等

• 查看存在的用戶：dsquery user

• 查詢本地管理員組用戶：net localgroup administrators

• 查詢域管理員用戶組：net group "domain admins" /domain

• 查詢管理員用戶組：net group "Enterprise Admins" /domain

## 定位域管理員
常規(guī)渠道有二個，日志與會話，日志是本地機器的管理員日志，可以用腳本或者內(nèi)置應(yīng)用wevtutil導(dǎo)出來看
### 工具
psloggedon.exe，netview.exe，PVEFindADUser.exe，powersploit的PowerView腳本，Empire的user_hunter模塊等

查找域管理進程

本機檢查

• net group "Domain Admins" /domain
• 列出本機的所有進程及進程用戶：tasklist /v

在以上進程中盡量查找域管理員進程或是與其相關(guān)的進程
### 查詢域控的域用戶會話

• 查詢域控制器列表：net group "Domain Controllers" /domain
• 收集域管理員列表：net group "Domain admins" /domain
• 收集所有活動域的會話列表：NetSess -h，使用的是NetSess.exe

目前還沒有任何會話，所以顯示無
## 利用powershell收集域信息

首先要將powershell的權(quán)限限制更改為RemoteSigned，這樣就可以執(zhí)行本地上的腳本

輸入：Get-ExecutionPolicy，發(fā)現(xiàn)自己并不是RemoteSigned權(quán)限，輸入：Set-ExecutionPolicy RemoteSigned，按Y確定即可，在本地虛擬機測試時還可以將腳本權(quán)限改為Unrestricter，這樣可以執(zhí)行來自網(wǎng)絡(luò)與本地的任何腳本

此處要使用的腳本在PowerSploit/Recon中，將要用到的PowerView.ps1傳入靶機，在powershell中打開該腳本目錄并導(dǎo)入：Import-Module .PowerView.ps1就可以進行收集了

具體命令的相關(guān)用法在PowerSploit/Recon/READE.md中

小結(jié)

針對內(nèi)網(wǎng)滲透這方面自己是邊學(xué)習(xí)內(nèi)網(wǎng)安全攻防這本書邊整理的，由于是初學(xué)者且沒有在真實環(huán)境實戰(zhàn)過，文內(nèi)有錯誤還請師傅們提出，水平一般還望見諒

---

轉(zhuǎn)載于先知社區(qū)

總結(jié)

以上是生活随笔為你收集整理的pyqt 把控制台信息显示到_内网渗透初识—信息收集的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。