在渗透中当我们获取到web服务器的权限之后,想要进一步的扩大自己的战果拿到该网络环境里的其他机器,这个过程就是内网中域内横移,想要更有效率的进行域内横移,就需要通过各种途径进行信息的收集,信息收集的深度,直接关系到内网渗透测试的成败。
注:这里我只打开了其中几台机器(子域普通用户,子域控制器,父域控制器)作为演示
内网信息收集我们可以理解为:当渗透测试人员获取shell进入内网环境后,面对的是一个一无所知的环境,若想对内网进行渗透,还需要对当前的环境进行判断。
1、对当前服务器角色进行判断
判断当前机器是否为普通web服务器,域服务器,DNS服务器
2、对当前服务器所处网络环境的拓补结构进行分析
对该内网环境进行全面的数据收集与分析,尝试画出目前该环境的部分拓补图,随着信息收集的深入渐渐填充拓补图
3、对当前服务器所处区域进行判断
2.1 收集本机信息
无论是在内外网环境中,都需要对服务器进行信息收集:
1、服务器的内网结构
2、机器所扮演的角色
3、使用这台服务器的是谁
4、服务器上是否存在杀软,是哪种杀软
5、服务器通过什么方式联网
6、机器是笔记本还是台式机
这里我们从子域普通用户开始进行信息收集,进行渗透
2.1.1 手动信息收集
信息收集主要收集的内容包括:本机操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等等。
如果是域内主机,操作系统、应用软件、补丁、服务、杀毒软件一般都是批量统一安装的。
这里将介绍几种常用的手动收集内网信息的方法:
1、查询网络配置信息
ipconfig /all
发现该机器存在双网卡:
1、一个是192.168.1.137的外网网卡,一个是10.10.3.100的内网网卡
2、主机名:user1
3、DNS后缀:yizhi.xiaobai.com(判断出该域是子域,该机器是子域的域用户)
4、DNS服务器为10.10.3.6可以判断出该ip是子域的IP
2、查询操作系统及软件的信息
(1)查询操作系统和版本信息
英文版系统:systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
中文版系统:systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
(3)查看安装的软件版本、路径等
wmic命令收集:
注:wmic是系统自带的命令,且不会留下执行痕迹(速度较慢)
wmic product get name,version
3、查询本机服务信息wmic查询本机服务信息
wmic service list brief
4、查询进程列表
查看杀软进程列表:
tasklist
wmic命令查询:
wmic process list brief
在线查询杀软地址(网上有很多):
http://payloads.net/kill_software/
5、查询启动程序信息
wmic命令查看:
wmic startup get command,caption
6、查看计划任务
schtasks /query /fo LIST /v
注:如果使用的是936中文GBK编码,schtasks /query /fo LIST /v 会报错
7、查看主机开机时间
net statistics workstation
8、查询用户列表
#查看本地管理员掌握的用户组信息,枚举域信息
net user
net localgroup administrators
#查看在线用户
query user || qwinsta
9、列出或断开本地计算机与所连接的客户端之间的会话
net session
10、查询端口列表
netstat -ano
11、查看补丁列表
systeminfo
wmic查询:
wmic qfe get Caption,Description,HotFixID,InstalledOn
12、查询本机共享列表
net share
或
wmic share get name,path,status
13、查询路由表及所有可用接口的ARP缓存表
可以通过查看路由表来发现是否存在其他的存活主机
route print
arp -a
14、防火墙的相关配置
1>查看防火墙配制
netsh firewall show config
2>关闭防火墙
netsh firewall set opmode disable
# windows2003及之前版本
netsh advfirewall set allprofiles state off
# windows 2003之后的版本
2.1.2 常用内网信息收集工具
1、Nbtscan
http://www.unixwiz.net/tools/nbtscan.html
2、arp-scan
https://github.com/QbsuranAlang/arp-scan-windows
3、Nishang中的
https://github.com/samratashok/nishang
powershell -exec bypass -Command "& {Import-Module C:Users
AdministratorDesktopInvoke-ARPScan.ps1; Invoke-ARPScan -
CIDR 192.168.253.0/24}" >> C:UsersAdministratorDesktopR
esult.txt
4、msf
2.1.3 扫描域内端口需要注意的信息
端口的Banner信息
端口上运行的服务
常见应用的默认端口
在收集这些信息后可以通过这些信息在漏洞库中查找对应的CVE编号的POC,EXP。在ExploitDB、Seebug等平台上查看相关的漏洞利用工具,然后到目标系统中验证漏洞是否存在,进行针对性的攻击与防护
文件共享服务端口
端口号 端口说明 使用说明
21、22、69 FTP/TFTP文件传输协议 允许匿名的上传、下载爆破和嗅探操作
2049 NFS服务 配置不当
139 SAMBA服务爆破、未授权访问、远程代码执行
389 LDAP目录访问协议 注入、允许匿名访问、弱口令、远程连接服务端口
端口号 端口说明 使用说明
22 SSH远程连接爆破、SSH隧道及内网代理转发、文件传输
23 Telnet远程连接 爆破、嗅探、弱口令
3389 RDP远程桌面连接 Shift后门(Windows Server2003以下版本)、 爆破
5900 VNC 弱口令爆破
5632 PcAnywhere服务 抓取密码、代码执行
80、443、8080 常见的Web服务端口 Web攻击、爆破、对应服务器版本漏洞
7001、7002 Weblogic控制台Java反序列化、弱口令
8080、8089 JBoss/Resin/Jetty/Jenkins 反序列化、控制台弱口令
9090 WebSphere控制台 Java反序列化、弱口令
4848 GlassFish控制台 弱口令
1352 Lotus Domino邮件服务 弱口令、信息泄露、爆破
10000 webmin控制面板 弱口令
数据库服务端口
端口号 端口说明 使用说明
3306 MySQL数据库 注入、提权、爆破
1433 MSSQL数据库 注入、提权、SA弱口令、爆破
1521 Oracle数据库 TNS爆破、注入、反弹Shell
5432 PostgreSQL数据库 爆破、注入、弱口令
27017、27018 MongoDB数据库爆破、未授权访问 6379
6379 Redis数据库 未授权访问、弱口令
5000 Sysbase/DB2数据库爆破、注入
邮件服务器端口
端口号 端口说明 使用说明
25 SMTP邮件服务 邮件伪造
110 POP3协议 爆破、嗅探
143 IMAP协议 爆破
网络常见协议端口
端口号 端口说明 使用说明
53 DNS域名系统允许区域传送、DNS劫持、缓存投毒、欺骗
67、68 DHCP服务 劫持、欺骗
161 SNMP协议 爆破、搜集目标内网信息
特殊服务端口
端口号 端口说明 使用说明
2181 ZooKeeper服务 未授权访问
8069 Zabbix服务 远程执行、SQL注入
9200、9300 Elasticsearch服务 远程执行
11211 Memchached服务 未授权访问
512、513、514 Linux rexec服务 爆破、远程登录
873 rsync服务匿名访问、文件上传
3690 SVN服务 svn泄露、未授权访问
50000 SAP Management Console 远程执行
小编 | HBXQ师傅
原文始发于微信公众号(璇铠安全实验室):内网攻略 | 内网信息收集(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论