内网渗透-最实用的信息收集

当我们渗透web端或者通过其他方式拿到某内网主机shell，我们就可以尝试开始内网渗透，也叫做后渗透，域渗透等，探索域内网络架构，通过内网渗透得到其他内网主机的权限，或者通过内网主机获取到同域的最高管理员主机权限等。

1.内网基本认知：各种名词认知，域的认知，大概了解内网安全流程
2.内网信息收集：

（1） 内网主机的基本信息（版本，补丁，服务，任务，防护……..），
（2）网络信息（端口，环境，代理通道…..），
（3）用户信息（域用户，本地用户，用户权限，组信息…..），
（4）凭据信息（各种储存的协议账号密码信息，各种口令信息，hash…..）

3.后续探针信息：探索到域内的网络架构信息，存活主机，域控信息，服务接口…….

0x01 内网基本认知

内网基本认知：各种名词认知，域的认知，大概了解内网安全流程
名词：局域网，工作组，域环境，活动目录AD，域控制器DC….
域：单域，父域，子域，域树，域森林

自己笔记本比较鸡肋搭建了一个简单的内网支持这次实验：

下面开始整个内网的信息收集

0x02 内网主机的基本信息收集

（版本，补丁，服务，任务，防护……..）

当拿到内网主机的控制权shell，进行第一步的基本主机信息收集
当前服务器的计算机基本信息，为后续判断服务器角色，网络环境等做准备

systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务

举例： 进程列表，为判断主机服务信息做准备

基本信息：

 

0x03 网络信息收集

（端口，环境，代理通道…..）

ipconfig /all 判断存在域-dns
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址

举例： 判断存在域名

 

通过查看时间返回计算机名称信息包含域信息，

 

通过nslookup追踪域名路由判断出主域IP

 

0x04 用户信息收集

（域用户，本地用户，用户权限，组信息…..）

了解当前计算机或域环境下的用户及用户组信息，便于后期利用凭据进行测试

系统默认常见用户身份：
Domain Admins：域管理员（默认对域控制器有完全控制权）
Domain Computers：域内机器
Domain Controllers：域控制器
Domain Guest：域访客，权限低
Domain Users：域用户
Enterprise Admins：企业系统管理员用户（默认对域控制器有完全控制权）
相关用户收集操作命令：
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器

举例：

域主机上查询：

涉及域用户详细信息：可在普通权限操作

查询命令一定要注意权限：

 

0x05 凭据信息收集

（各种储存的协议账号密码信息，各种口令信息，hash…..）

旨在收集各种密文，明文，口令等，为后续横向渗透做好测试准备，凭据信息收集：

1.站点源码备份文件、数据库备份文件等
2.各类数据库 Web 管理入口，如 PHPMyAdmin
3.浏览器保存密码、浏览器 Cookies
4.其他用户会话、3389 和 ipc$连接记录、回收站内容
5.Windows 保存的 WIFI 密码
6.网络内部的各种帐号和密码，如：Email、VPN、FTP、OA 等

这里推荐软件测试主机的上面存在的凭据信息
主机信息：计算机用户 HASH，明文获取-mimikatz(win)，mimipenguin(linux)
mimikatz(win):https://github.com/gentilkiwi/mimikatz/releases

安装：
privilege::debug
sekurlsa::logonpasswords

使用获取本机账户密码信息：

接口信息收集：计算机各种协议服务口令获取-LaZagne(all)，XenArmor(win收费，功能强大)
LaZagne工具演示—–
项目地址：https://github.com/AlessandroZ/LaZagne

laZagne.py all#检查所有模块
laZagne.py browsers#指定模块

0x06 后续探针信息：

探索到域内的网络架构信息，存活主机，域控信息，服务接口…..

探针主机域控架构服务，为后续横向思路做准备，针对应用，协议等各类攻击手法

探针域内存活主机及地址信息，使用自带的内部命令循环语句探索网络IP架构：

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.213.%I | findstr "TTL=" 

另外nmap masscan扫描工具工具也可以使用

这里介绍使用powershell框架脚本搜集信息nishang empire 等
powershell框架脚本搜集信息nishang：
项目地址：https://github.com/samratashok/nishang

工具使用：需要powershell权限运行
#设置执行策略
Set-ExecutionPolicy RemoteSigned
#导入模块 nishang
Import-Module .\nishang.psm1
#获取模块 nishang 的命令函数
Get-Command -Module nishang
#获取常规计算机信息
Get-Information
#端口扫描（查看目录对应文件有演示语法，其他同理）
Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress 192.168.213.100 -ResolveHost -ScanPort

#获取常规计算机信息 Get-Information

 

 

端口扫描：Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress
192.168.213.100 -ResolveHost -ScanPort

 

#其他功能：删除补丁，反弹 Shell，凭据获取等
探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器（自建 SVN、GIT）
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器（内部技术文档服务器、其他监控服务器等）

大概的总结一下，希望各位师傅能够指点