渗透测试内网渗透之信息收集(一)

  • A+
所属分类:安全文章
渗透测试内网渗透之信息收集(一)

点击蓝字关注我们吧!



0x01 前言


本系列文章为作者平时学习内网渗透中所学汇总记录,难免会有错误和不当之处,有相关问题可以留言指正。

此系列文章准备从内网渗透中信息收集、内网穿透、横向移动、权限维持、内网潜伏与反制等方面进行学习。


0x02 内网信息收集


现阶段内网往往还是比较脆弱的,由于种种原因,内网中win XP,win 7,winserver 2003,winserver 2008还是有很多的,而且往往还存在种种高危风险,但内网中的主机防护软件和设备也是一道关卡,想要在内网中摸爬滚打,信息收集是一个重点。


windows服务


拿到一台windows服务器主机之后,我们要做什么,当然是敲whoami啦!

  • 搞清楚位置

  • 网络环境判断


现在对于主机的系统信息收集往往已经自动化,工具化,直接上传相关脚本执行即可,但是身为菜鸡,还是需要了解相关常用命令及其含义的。


基本命令


1、systeminfo这个命令往往可以告诉我们一些基本信息,有一些检查KB号进行提权利用的脚本也是通过这里获取的wmic qfe get Caption,Description,HotFixID,InstalledOn  //也可以使用wmic来识别安装在系统中的补丁情况同时推荐使用https://github.com/bitsadmin/wesng,该工具可以根据systeminfo输出可利用的漏洞


其次一台主机上有多个远程管理或者数据库端口开放,要警惕其可能蜜罐。


常见的端口及服务


21、69 FTPTFTP 弱口令嗅探
22 SSH 弱口令
23 telnet 弱口令、嗅探、探测
25 SMTP 邮件
53 DNS 区域传送、dns欺骗、域控
67、68 DHCP 劫持、欺骗
80、443、8080 WEB应用 弱口令、WEB攻击
7001、7002 weblogic 反序列化、弱口令
8080、8089 jboss、jenkins 反序列化、弱口令
9090 websphere 反序列化、弱口令
110 POP3 爆破、嗅探
139、445 samba 未授权访问、远程代码执行
143 IMAP 爆破
161 SNMP 爆破、信息泄露
389 LDAP 弱口令、匿名访问
3389 RDP 爆破、远程代码执行
5900 VNC 弱口令
5632 PcAnywhere 嗅探、代码执行
3306 mysql 弱口令
1433 msssql、sql server 弱口令
1521 oracle 弱口令
5432 pgsql 弱口令
27017、27018 mongodb 未授权访问
6379 redis 未授权访问
5000 sysbase/DB2 弱口令
11211 memcached 未授权访问
9200、9300 elasticsearch 远程代码执行
2181 zookeeper 未授权访问
8069 zabbix 远程执行
3690 SVN SVN泄露
873 rsync 匿名访问
2049 NFS
3、ipconfig /all会比单单的ipconfig输出更为详细的信息,可以获取主机相关网段及网络,dns等信息
4、查看已装程序信息wmic product get name,versionpowershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"查看已安装程序,判断机器作用及价值,如安装了VMware vSphere Client或者xshell等,那就可以去提取账号口令了
5、查看服务信息wmic service list brief查看服务信息的作用也是判断机器价值
6、查看进程列表tasklist /v查看杀软及相关进程服务

进程名

杀软
360SD.exe 360杀毒
HipsMain.exe 火绒
SafeDog* 安全狗
D_Safe* D盾
yunsuo* 云锁
hws* 护卫神
avp.exe 卡巴斯基
avcenter.exe 小红伞
Mcshield.exe McAfee
QQPCRTP.exe QQ电脑管家
*hids* 主机防护类产品
7、查看启动项wmic startup get command,caption启动项往往包含最主要的业务服务
8、查看计划任务schtasks  /query  /fo  LIST /v计划任务大多都是由软件自己建立的,可以通过这个分析其应用
9、查看用户信息,推测网络主机命名规律net usernet localgroup administrators  //查看本地管理员信息query user || qwinsta  //查看当前在线用户信息(qwinsta)显示远程桌面会话主机(RD会话主机)服务器上的会话信息
10、查看共享信息net sharewmic share get name,path,status在装完windwos后会有一个自动共享功能,windows默认共享。IPC$入侵也是一个老方法了,由于默认共享服务开启,在获取账户密码后,可以通过共享服务批量上传程序,然后通过计划任务执行上传的后门文件。(这个操作必定会在主机上留下日志文件)具体可参考:https://www.cnblogs.com/sstfy/p/10414680.html#2608826650https://www.cnblogs.com/tongnaifu/articles/588334.html
11、查询路由信息route print  //查询路由表arp -A  //ARP(地址解析协议)缓存表
12、查询防火墙信息
netsh firewall show configfirewall命令已弃用,建议使用advfirewall命令netsh advfirewall firewall show rule name=all 查看配置规则netsh advfirewall set allprofiles state offon 关闭防火墙开启防火墙netsh advfirewall exportimport xx.pol 导出导入配置文件netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block 新建规则阻止TCP协议139端口netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow  新建规则允许3389通过防火墙netsh advfirewall firewall delete rule name=Remote Desktop 删除名为Remote Desktop的规则
13、查看dns缓存信息ipconfig  /displaydns

本文由“壹伴编辑器”提供技术支持



域环境相关命令


1、查看域用户

net user /domain

2、查看域管理员

net group "domain admins" /domain

3、定位域控

net time /domain //主域服务器都做时间服务器

4、查看域控制器

net group "domaincontrollers" /domain

域信任

信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。

nltest /domain_trusts


域传送

当存在域传送漏洞时,可以获取域名解析记录。

nslookup -type=ns domain.com

nslookup

sserver dns.domain.com

ls domain.com


文件搜索


一些运维人员往往会将密码文件保存到桌面上,其次服务器上的应用配置文件也会泄露相关口令。


findstr /s /i "passwd" *.*在当前目录及所有子目录下的所有文件中查找"passwd"这个字符串,*.*表示所有类型的文件/s 在当前目录和所有子目录中搜索匹配的文件/i 不区分大小写/m 如果文件包含匹配项,仅打印该文件名


应用 配置文件路径
tomcat CATALINA_HOME/conf/tomcat-users.xml
apache /etc/httpd/conf/httpd.conf
nginx /etc/nginx/nginx.conf
wdcp /www/wdlinux/wdcp/conf/mrpw.conf
mysql mysql/data/mysql/user.MYD


查看hosts文件

c:Windowssystem32driversetchosts


密码和密钥



1、wifi通过以下命令获取连接过的wifi密码,企业认证的获取不到for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do @echo %j | findstr -i -v echo |  netsh wlan show profiles %j key=clear


2. 常用软件保存密码的注册表地址

本文由“壹伴编辑器”提供技术支持

navicat:


MySQL HKEYCURRENTUSERSoftwarePremiumSoftNavicatServers
MariaDB HKEYCURRENTUSERSoftwarePremiumSoftNavicatMARIADBServers
MongoDB HKEYCURRENTUSERSoftwarePremiumSoftNavicatMONGODBServers
Microsoft SQL HKEYCURRENTUSERSoftwarePremiumSoftNavicatMSSQLServers
Oracle HKEYCURRENTUSERSoftwarePremiumSoftNavicatOraServers
PostgreSQL HKEYCURRENTUSERSoftwarePremiumSoftNavicatPGServers
SQLite HKEYCURRENTUSERSoftwarePremiumSoftNavicatSQLiteServers


SecureCRT:


xp/win2003 C:Documents and SettingsUSERNAMEApplication DataVanDykeConfigSessions
win7/win2008以上 C:UsersUSERNAMEAppDataRoamingVanDykeConfigSessions


Xshell:


Xshell 5 %userprofile%DocumentsNetSarangXshellSessions
Xshell 6 %userprofile%DocumentsNetSarang Computer6XshellSessions


WinSCP:


WinSCP
HKCUSoftwareMartin PrikrylWinSCP 2Sessions


VNC:


RealVNC HKEYLOCALMACHINESOFTWARERealVNCvncserver Password
TightVNC HKEYCURRENTUSERSoftwareTightVNCServer Value Password or PasswordViewOnly
TigerVNC HKEYLOCALUSERSoftwareTigerVNCWinVNC4 Password
UltraVNC C:Program FilesUltraVNCultravnc.ini passwd or passwd2



3、DPAPI

由“壹伴编辑器”提供技术支持

从Windows 2000开始,Microsoft随操作系统一起提供了一种特殊的数据保护接口,称为Data Protection Application Programming Interface(DPAPI)

其分别提供了加密函数CryptProtectData 与解密函数 CryptUnprotectData 以用作敏感信息的加密解密。

Dpapi采用的加密类型为对称加密,所以只要找到了密钥,就能解开物理存储的加密信息。


浏览器密码获取

LaZagne

chromepass

mimikatz


4、GPP

由“壹伴编辑器”提供技术支

当分发组策略时,会在域的SYSVOL目录下生成一个gpp配置的xml文件:Groups.xml,如果在配置组策略时填入了密码,则其中会存在加密过的账号密码。这些密码,往往都是管理员的密码。

该文件是通过网络传输到目标主机的。通过数据抓包,就可以截获该文件。然后使用Kali Linux提供工具gpp-decrypt来破解该密码。


5、本地凭证获取

由“壹伴编辑器”提供技术支持

在windows上,C:WindowsSystem32config目录保存着当前用户的密码hash。我们可以使用相关手段获取该hash。

Procdump

Quarks PwDump

WCE


6、域hash获取

由“壹伴编辑器”提供技术支持

当拿到域控权限时,可以从域控中的C:WindowsNTDSNTDS.dit导出所有用户hash。


参考文章及链接


内网渗透初识—信息收集

通过Dpapi获取Windows身份凭证

红蓝对抗之Windows内网渗透



ps: 本文为连载文章,后续更新,敬请关注。


end



渗透测试内网渗透之信息收集(一)


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: