技术流丨内网渗透之信息搜集

admin
admin
admin
102262
文章
87
评论
2022年7月4日19:34:43评论36 views字数 3084阅读10分16秒阅读模式

技术流丨内网渗透之信息搜集


内网渗透最开始也是最关键的一步就是信息搜集,根据搜集的信息的种类和优先程度的不同,我将它们分为三类:物理信息,系统信息和隐私信息。如果内网网络在域中,则再划分一条域渗透。

Vol.1

物理信息

物理信息包括但不仅限于渗透目标使用者或所有者的个人信息如姓名,邮箱,手机,生日乃至家庭住址,工作单位,生活习惯,作息等更为隐私的信息。当然,在没有授权的情况下,这些信息的搜集都会涉及法律,因此请谨慎行事。
这些信息可以在站长工具进行域名的查询信息等,也可以在谷歌等搜索引擎进行搜索,亦可以实地进行信息搜集,如果知道地址的话。
同样可以利用社会工程学去进行搜集,如果已经入侵了某台机器,也有可能在机器上能够得到信息,搜集方法不一而论。


利用方式

  • 第一,将信息整理成字典,进行爆破攻击。
个人的密码总不会离开个人的信息,这种利用方式是最简单也是最有效的方法。
  • 第二,利用信息渗透机器。包括邮件发送木马病毒,假装售后服务人员发送病毒文件等。
  • 第三,物理攻击。利用信息差进行攻击,包括假装维修人员利用U盘等移动设备植入病毒,假装内部人员调查植入病毒等。当然,出于某种原因并不推荐。

Vol.2

系统信息

系统信息则指机器的所有信息。包括网络,服务,进程,开放端口,防火墙等等。

查看IP(查看网络架构,摸清网络拓扑
一般IP分类:
A:1.0.0.0-127.255.255.255   大型网络保留区域:10.0.0.0-10.255.255.255B:128.0.0.0-191.255.255.255  中型网络保留区域:172.16.0.0-172.31.255.255C:192.0.0.0-223.255.255.255  小型网络保留区域:192.168.0.0-192.168.255.255D:224.0.0.0-239.255.255.255  多播网络E:240.0.0.0-247.255.255.255
以10,172,192.168开头的多半存在内网,但也不排除其他情况。

查看网络
ipconfigifconfig

查看路由
route printroute -n


查看开启进程
可能会运行有公开漏洞的软件或者开启的防火墙,可以利用提权的进程,或者渗透完毕后利用进程注入留下后门。
tasklistps

管理系统防火墙(Windows)
更多情况下windows自带的防火墙是关闭的,开启的是另外的防火墙。
netsh advfirewall ?netsh firewall ?    # 使用该命令查看帮助,需要管理员权限

端口占用
端口号对应服务不一定是固定的,不过大部分情况不会改变。
netstat# 常见端口号及对应服务21 FTP服务23 Telent服务25 SMTP服务53 DNS服务67 DHCP服务 服务端68 DHCP服务 客户端80 WWW服务443 HTTPS服务1080 Socket服务3389 远程桌面

查看用户列表
net usercat /etc/passwd

查看组信息
net localgroupcat /etc/group

查找系统信息,查看补丁情况
systeminfo# windows下查看补丁情况

查看计划任务
schtaskscrontab# 可以利用这两个命令去执行后门,不过相当容易被发现,因此不推荐# 如果能找到具有管理员权限的文件,而且自己可修改的挂可以利用提权。


利用方式

摸清网络拓扑对横向渗透非常有利,同时拿到机器的补丁情况,允许的话可以直接利用EXP进行渗透,能省下许多时间。
进程可以利用提权可以利用后门,具体教程网上也有许多,但具体实施还要看环境。防火墙则具体看环境,如果以后有时间的话准备整理一下防火墙的技巧。

Vol.3

隐私信息

物理信息针对个人,隐私信息针对整体。所有不被外人得知的信息都可以称为隐私信息。已经拿到某个机器的情况下,搜集可以用到的隐私信息,包括浏览器浏览历史及Cookies,各种密码,产品源码,公司计划安排等;未拿到机器的情况下,查找是否有源码备份,泄露的密码,配置等,也可以利用之前找到的密码试试。

查找隐私文件
如果是web机器,可以将源码拷贝一份留作备用,又或者查找泄露的密码,并不排除某些使用者记不住密码将密码写入文件保存在电脑上的情况
windows查找文件for /r 目录名 %i in (查找格式) do @echo %i# 例如查找桌面上的txt文件# for /r Desktop %i in (*.txt) do @echo %i
linuxfind命令# 从根目录下查找所有以.txt结尾的文件# find / -name *.txt

浏览器Cookies
# Firefox%APPDATA%MozillaFirefoxProfiles 目录中的xxx.default目录# IE%APPDATA%MicrosoftWindowsCookies 目录中的xxx.txt文件

邮件
OutLook邮件本地储存为.ost文件,浏览使用osttopst

提取hash
提取机器本地账户密码,可获取管理员密码。
reg save HKLMSYSTEM system.hivreg save HKLMSAM sam.hivreg save HKLMsecurity security.hiv# 需要管理员权限# 如果是利用的msf连接,则它提供下载功能,下载即可#利用impacket的secretsdump.py导出hash即可python /root/impacket/examples/secretsdump.py ‐sam sa m.hiv ‐security security.hiv ‐system sys.hiv LOCALcat /etc/shadow      # Linux下的hash密码,同样需要管理员权限

利用方式

浏览器的Cookies如果有类似于PHPMyAdmin的工具记录下密码的话可以直接利用。

Vol.4

域渗透

域渗透和内网渗透区别在于域渗透拿下了域控就相当于拿下了整个内网,因此域渗透主要渗透方向就是域控,一般情况下DNS服务器和DC是同一台。
有时候可能不止一个域,不止一个DC,DNS服务器,因此首先需要确定哪个是主域。
查询是否在域环境可以利用以下命令,前提是当前登录的需要是域用户。
net time /domain
如果是Linux系统,可以利用ifconfig查看

查看sysvol

sysvol是域建立时就会产生的一个文件夹,用来存储域公共文件服务器副本的共享文件夹,可以利用命令打开。
explorer 域名/sysvol

查看域用户

net user /domain# net group "Domain Controllers" /domain# 获取域控主机名# net group "Domain Computers" /domain# 获取域用户主机# net accounts /domain# 获取域密码策略# net view /domain# 查询同一域内机器列表

获取域控IP

获取域控IP,定位位置,方便渗透。
ping 域名

利用方式

拿到域控的IP之后,确定C段,朝着域控的方向横向渗透,拿下域控就代表拿下了整个域。可以利用以下几种方式:

  1. 猜解弱口令

  2. 社会工程学

  3. ARP欺骗,DNS欺骗

  4. EXP


总结

相比于外网的各种防护,内网的安全大部分并不重视,甚至导致一个密码通吃所有机器。有的内网的服务器甚至还是03服务器,就造成了更多漏洞,而且当微软发布补丁时,也很少去主动更新,这些都导致内网岌岌可危。

需要注意的是,因为渗透环境在内网,所以需要做内网穿透,将内网映射到本地,这样无论是在利用工具进行端口扫描,还是上传脚本提权之类的都方便许多。


技术流丨内网渗透之信息搜集

原文始发于微信公众号(小草培养创研中心):技术流丨内网渗透之信息搜集

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月4日19:34:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技术流丨内网渗透之信息搜集http://cn-sec.com/archives/1156752.html

发表评论

匿名网友 填写信息