内网渗透内网探测

前言

目标资产信息搜集的程度，决定渗透过程的复杂程度。 目标主机信息搜集的深度，决定后渗透权限持续把控。 渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。 —-

渗透的本质是信息收集

本机信息收集

基础信息：

• 内网网段信息，查看网卡信息收集内部地址段的信息
• 内网大小 核心业务信息：
• 内网OA办公系统、邮件服务器、网络监控系统、财务应用系统、核心产品源码（SVN服务器、git服务器等） 其他信息：
• 管理员密码、浏览器密码、cookie、无线密码、数据库密码、VPN历史密码、Teamview历史密码等
• 其他用户session、3389和IPC$连接记录，各用户回收站信息、用户列表
• host文件和DNS缓存信息
• AV、补丁、进程、服务、端口、网络代理信息、软件列表
• 计划任务、账号密码策略和锁定策略、共享文件、web服务器配置文件
• 启动项、系统日志、Web服务器日志、防火墙规则

查询当前权限

whoami /all命令

判断是否在域内

• RDS 如果目标服务器远程桌面服务开启，可尝试进行连接，若在用户名和密码栏下还有个登录到选项，下来选项栏如果除了计算机名（此计算机）选项外还有其他选项，则此服务器可能位于域中，且选项名即为域名；
• net time /domain执行该命令，有三种情况：第一种如果存在域会从域控返回时间， 并在第一行返回域控及域名；第二种如果当前服务器在域内但是当前用户非域用户，则会返回System error 5就表示权限不够；第三种就是返回找不到域Workgroup的域控制器表示当前网络环境为工作组

• ipconfig /all查看当前网络的DNS，一般在内网DNS服务器即为域控，很少将DNS与域控分开，除非有多个域环境
• systeminfo系统信息中含有两项：Domain和Logon Server，前者为域名，后者为域控。倘若Domain为Workgroup则当前服务器不在域内
• net config workstation其中工作域显示域名，同样若为WORKGROUP则非域环境，登录域表明当前用户是域用户登录还是本地用户登录

域内存活主机探测

基于UDP发现

• MSF扫描

1 use auxiliary/scanner/discovery/udp_probe2 use auxiliary/scanner/discovery/udp_sweep

• nmap扫描

nmap -sU -T5 -sV --max-retries 1 192.168.114.1

• unicornscan扫描

unicornscan扫描

• ScanLine扫描

windows平台 sl -bhpt 139,445 100.100.0.39

基于ARP发现

• MSF扫描

1 use auxiliary/scanner/discovery/arp_sweep

• nmap扫描

nmap -sn -PR 192.168.114.0/24

-sn只扫描主机，不扫描端口（类似于PE），PR表示用ARP扫描 netdiscover

netdiscover -r 192.168.114.0/24 -i wlan0

arp-scan（linux）

arp-scan --interface=wlan0 --localnet

Powershell

powershell.exe -exec bypass -Command "Import-Module .Invoke-ARPScan.ps1;Invoke-ARPScan -CIDR 192.168.1.0/24"

• arp scannet
• arp-scan （推荐） arp-scan.exe -t 192.168.114.0/24
• arp-ping arp-ping.exe 192.168.114.0/24
• meterpreter

run post/windows/gather/arp_scanner RHOSTS=192.168.0.1/24添加路由之后

• 基于Netbios发现 MSF扫描

1 use auxiliary/scanner/netbios/nbname

• nmap扫描

nmap -sU --script nbstat.nse -p137 192.168.114.0/24 -T4

• nbtscan扫描

基于SNMP发现

SNMP是一种简单网络管理协议，主要用于网络设备的管理

• MSF扫描

1 use auxiliary/scanner/snmp/snmp_enum

• nmap扫描nmap -sU --script snmp-brute 192.168.114.0/24 -T4
• NetCrunch
• snmp for pl扫描
• snmpbulkwalk

基于ICMP发现

• nmap扫描nmap ‐sP ‐PI 192.168.1.0/24 ‐T4 nmap ‐sn ‐PE ‐T4 192.168.1.0/24

域内基础信息收集

ipconfig /all    查询本机IP段、所在域nbtstat –A ip             netbios 查询netstat –an/ano/anb    网络连接查询route print            路由表cmdkey /l     是否保存了登录凭证net session     查看是否有远程连接的session

net 类

net user        本机用户net user /domain 查询域用户net user domain-admin /domain 查看管理员登陆时间，密码过期时间，是否有登陆脚本net localgroup administrators     本机管理员（通常含有域用户）net localgroup administrators /domain 登录本机的域管理员net localgroup administrators workgroupuser001 /add 域用户添加到本机net group /domain 查询域工作组net group "domain admins" /domain    查询域管理员用户组net group "Domain controllers" /domain 查询域控列表net group "domain computers" /domain   获得所有域成员计算机列表net view 查询同一域内机器net view /domain 查询域列表net view /domain:domainnamenet accounts                               查看本地密码策略net accounts /domain                      查看域密码策略net time /domain       查看域时间nltest /domain_trusts       获取域信任信息