内网信息搜集方法小结2

前言

之前已经小结过一些方法：

• 信息搜集方法小结（持续更新）：主要是前渗透，即日站或寻找入口时的一些方法

• 内网渗透系列：信息搜集方法小结2：主要是前渗透，对上面那篇的一些补充

• 内网渗透系列：内网信息搜集方法小结：主要是控制了一台内网机器后，做的一些基础信息搜集

本文与这几篇做个补充，主要还是小结下进入内网后的一些信息搜集方法

一、本机信息搜集

1、用户列表

（1）windows用户列表

net usernet user admin   查看admin详细信息net user /domain  查看domain域下的用户net user admin /domain 查看domain域下的admin用户的详细信息net user/domain admin password  修改域用户admin的密码为password   需要域管理员权限net group "domain admins" /domain  查看域管理员列表net group "domain controllers" /domain  查看域控制器net group "domain computers" /domain  查看域里面的电脑net group  /domain  查看域里面的工作组net localgroup administratornet localgroup administrator /domain 登陆本机的域管理员net localgroup administrator  workgroupuser001 add 域用户添加到本机net view  查看局域网机器列表net view \ip  查看某ip的共享net view  \aaa  查看aaa主机的共享net view /domain 查看所有的域net view /domain:AAA  查看AAA域的机器列表net accounts /domain 查询域用户的密码过期信息

（2）分析邮件用户

内网[域]邮件用户，通常就是内网[域]用户

2、进程列表

tasklist #winps aux  #linuxtop #linux动态



分析杀毒软件/安全监控工具等


邮件客户端


VPN


ftp


3、服务列表
nat start #winchkconfig --list #linuxservice --status-all #linux



与安全防范工具有关服务[判断是否可以手动开关等]


存在问题的服务[权限/漏洞]


4、端口列表
netstat -ano #winnetstat -anpt（查看所有tcp端口）-u：udp端口  -l：开发端口 #linux



开放端口对应的常见服务/应用程序[匿名/权限/漏洞等]


利用端口进行信息收集


5、补丁列表
systeminfo #winwmic qfe list full #winuname -a(关注系统版本号，按系统内核查看补丁) #linuxrpm -qa | grep 软件名 (关注软件版本号，按软件版本查看补丁) #linux



分析 Windows 补丁


第三方软件[Java/Oracle/Flash 等]漏洞


6、本机共享
net share #win



本机共享列表/访问权限


本机访问的域共享/访问权限


7、本用户习惯分析
windows下


C:WINDOWSSchedLgU.txt，如果未启动Remote Storage Engine服务和Task Scheduler 服务，则不会做任何记录


C:WINDOWSPrefetch 文件夹，里面有记录用户曾经运行过什么程序，文件最前面的即为程序名


C:Users用户名Recent 文件夹，xp及server03的是C:Documents and Settings用户名Recent 文件夹，记录了最近打开过的文件和文件夹


8、获取当前用户密码工具
（1）Windows


mimikatz


wce


Invoke-WCMDump


mimiDbg


LaZagne


nirsoft_package


QuarksPwDump fgdump


星号查看器


（2）Linux


LaZagne


mimipenguin


（3）浏览器


HackBrowserData


SharpWeb


SharpDPAPI


360SafeBrowsergetpass


（4）其他


SharpDecryptPwd


Decrypt_Weblogic_Password


OA-Seeyou


一篇可以参考：内网渗透之——权限维持(获取windows、linux密码，安装后门程序)
二、扩散信息搜集
1、端口扫描


nmap


masscan


zmap


s扫描器


自写脚本


NC：nc -v -w 2 -z 192.168.1.1 20-1000


2、内网拓扑架构分析


DMZ


管理网


生产网


测试网


3、常见信息收集命令
ipconfig:

ipconfig /all ------> 查询本机 IP 段，所在域等

net:

net user ------> 本机用户列表net localgroup administrators ------> 本机管理员[通常含有域用户]net user /domain ------> 查询域用户net group /domain ------> 查询域里面的工作组net group "domain admins" /domain ------> 查询域管理员用户组net localgroup administrators /domain ------> 登录本机的域管理员net localgroup administrators workgroupuser001 /add ----->域用户添加到本机 net group "Domain controllers" -------> 查看域控制器(如果有多台)net view ------> 查询同一域内机器列表 net view /domain ------> 查询域列表net view /domain:domainname

dsquery

dsquery computer domainroot -limit 65535 && net group "domaincomputers" /domain ------> 列出该域内所有机器名dsquery user domainroot -limit 65535 && net user /domain------>列出该域内所有用户名dsquery subnet ------>列出该域内网段划分dsquery group && net group /domain ------>列出该域内分组 dsquery ou ------>列出该域内组织单位 dsquery server && net time /domain------>列出该域内域控制器 

4、域信息搜集
参考内网渗透之内网信息收集
三、第三方信息搜集
1、NETBIOS 信息收集
NetBIOS是局域网程序使用的一种API，为程序提供了请求低级别服务的统一的命令集，为局域网提供了网络及其他特殊功能，几乎所有的局域网都是在NetBIOS协议的基础上工作的，NetBIOS也是计算机的标识名，主要用于局域网中计算机的互访，NetBIOS的工作流程就是正常的机器名解析查询应答过程，因此推荐优先使用。
工具：


https://github.com/lifenjoiner/nbtscan


https://github.com/scallywag/nbtscan


2、SMB 信息收集
server message block协议


微软默认开放的协议


用来文件共享


实现过程复杂


历史上出现安全问题最多


可以用来判断是否windows系统
nmap -v -p139,445 1.1.1.1-24 --open #--open筛选出开放的139和445端口，来判断是不是windows，但结果不一定准确nmap -v -p139,445 1.1.1.1 --script=smb-os-discovery.nse #用脚本来发现更准确nmap -v -p139,445 --script=smb-check-culns --script-args=unsafe=1 1.1.1.1 #用已知的smb的漏洞来扫描，unsafe参数会对系统造成破坏#建议自己查看脚本，熟悉脚本nbtscan -r 192.168.1.0/24 #兼容性好，win95/win98enum4linux -a 192.168.1.133 #不支持子网掩码，但比上面信息详细

结语
对内网信息搜集方法做个小结和补充
红客突击队于2019年由队长k龙牵头，联合国内多位顶尖高校研究生成立。其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩，积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备人员，下属联合分队数支。红客突击队始终秉承先做人后技术的宗旨，旨在打造国际顶尖网络安全团队。

原文始发于微信公众号（中龙 红客突击队）：内网信息搜集方法小结2