内网渗透基石篇–内网信息收集（上）

前言

渗透测试的本质是信息收集，我们可以将内网信息收集大致分为5个步骤，即本机信息收集、域内信息收集、登录凭证窃取、存活主机探测、内网端口扫描。

进入内网后，首先需要对当前网络环境进行判断：

我是谁：当前机器的角色

这是哪：当前机器所处网络环境的拓扑结构2

一.收集本机信息

（1）手动收集信息

本机信息包括操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。

如果是域内主机，操作系统，应用软件，补丁、服务、杀毒软件一般都是批量安装的。

1.查询网络配置信息

ipconfig/all

1617689432_606bfb580bded760bd1d4.png!small?1617689432585

2.查询操作系统及软件的信息

systeminfo | findstr /B /C”OS 名称 ” OS版本”

1617689461_606bfb75d3218ed7073c3.png!small?1617689462440

假如是英文版本就改为 Name 和· 版本就行

查看系统体系结构

echo %PROCESSOR_ARCHITECTURE%

1617689497_606bfb99b6477f8eaa528.png!small?1617689498267

3.查看安装的路径及版本、路径

利用wmic 命令，将结果输出到文本文件

wmic product get name,version

1617689517_606bfbade6610018af411.png!small?1617689518410

利用powersHELL 命令，收集软件的版本信息

powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version"

1617689537_606bfbc1e62ee489737f4.png!small?1617689538570

查询本机服务信息

wmic service list brief

1617689554_606bfbd284c4b3a92c682.png!small?1617689555050

4.查询进程列表

tasklsit

1617689575_606bfbe7381b07e1913ae.png!small?1617689575793

wmic process brief

1617689596_606bfbfc108196bc18ea8.png!small?1617689596571

5.查看启动程序信息

wmic startup get command ,caption

1617689610_606bfc0a6e2a9070a2e2d.png!small?1617689610951

6.查看计划任务

schtasks /query /fo LIST /v

1617689624_606bfc188c79e33a53ecf.png!small?1617689625063

7.查看主机开机时间

net statistics workstation

8.查询用户列表

执行如下命令，查看本机用户列表

net user

net localgroup administrator

1617689658_606bfc3a198cb608ea74c.png!small?1617689658670

查看当前在线用户

query user || qwinsta

1617689671_606bfc47ccfeeef78d88e.png!small?1617689672333

9.列出或断开本地计算机与所连接的客户端之间的会话（需要管理员权限）

net sesssion

1617689689_606bfc5925e61a162204d.png!small?1617689689674

10.查询端口列表（常用命令）

netstat -ano

1617689705_606bfc69736d11f30ee87.png!small?1617689706050

11.查看补丁列表

systeminfo

1617689719_606bfc77ecccfd8385f00.png!small?1617689720836

使用wmic命令查看安装在系统的补丁

wmic qfe get Caption ,Description ,HotFixID,InstalledOn

1617689735_606bfc87b64700821c462.png!small?1617689736253

12.查询本机共享列表

net share

1617689749_606bfc959cf7f94314f4a.png!small?1617689750172

wmic share get name,path,status

13.查询路由表及所有可用接口的Arp缓存表

route print

1617689781_606bfcb55adbae1e4849d.png!small?1617689781992

arp -a

1617689795_606bfcc380eb9f283dd08.png!small?1617689796001

14.查询防火墙相关配置

1.关闭防火墙

windows server 2003及之前的版本：

windows server 2003及之后的版本：

1	netsh advfirewall set allprofiles state off Copy

2.查看防火墙配置

2	netsh firewall show config Copy

3.修改防火墙配置

windwos server 2003 及之前的版本，允许指定程序全部连接

3	netsh firewall add allowedprogram c:\nc.exe "allow nc" enable Copy

windows server 2003之后的版本：

允许指定程序进入,命令如下：
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"
允许指定程序退出,命令如下：
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"
允许3389端口放行：
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
Copy

4.自定义防火墙日志的存储位置

4	netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"

2.查看防火墙及配置

netsh firewall show config

1617689879_606bfd174c60050946b5e.png!small?1617689879820

15.查看代理配置情况

reg query “HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\INternet settings”

1617689895_606bfd27ad5c9b4a655c9.png!small?1617689896703

16.查询并开启远程连接端口

REG QUERY “HKEY_LOcal_MACHINE\SYSTEM\CurrentControLset\Control\Terminal Server \WinStations\RDP-TCP” /v PortNUmber

1617689909_606bfd35408b87453876e.png!small?1617689909835

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TerminalServiceSetting WHERE (__CLASS !="") CALL SetAllowTSConnections 1

1617689924_606bfd44348668fe4d63a.png!small?1617689924842

（2）自动收集信息(油猴子脚本)

为了简化操作，可以创建一个脚本，在目标机器上完成流程、服务、用户账户、用户组、网络接口、硬盘信息、网络共享信息、操作系统、安装的补丁、安装的软件、启动时运行的程序、时区等信息的查询工作。

1.下载地址：http://www.fuzzysecurity.com/scripts/files/wmic_info.rar

2.点击下载文件，然后生成了out.html

1617689939_606bfd534a49b6bb1b84b.png!small?1617689939870

1617689959_606bfd67a0ff2470dcfaf.png!small?1617689960517

二.Empire 下的主机信息收集

Empire 提供了用于收集主机信息的模块。输入命令”usemodule situational_awareness/host/winenum “

三. 查询当前权限

1.查看当前权限

whoami

1617689978_606bfd7a322687d2ad0c1.png!small?1617689978641

2.获取域SID

whoami/all

1617689992_606bfd88cf3279face1e2.png!small?1617689993555

3.查询指定用户的详细信息

执行以下命令，查询当前用户的详细信息

net user xxx /domain

1617690006_606bfd9629b2ae7c0b2ad.png!small?1617690006729

四.判断是否存在域

1.使用ipconfig命令

ipconfig/all

1617690022_606bfda655e471f4500d8.png!small?1617690022908

nslookup hacke.testlab

1617690042_606bfdbaf0a7048056186.png!small?1617690043507

2.查看系统详细信息

systeminfo

1617690058_606bfdca0b57fe9110647.png!small?1617690058822

3.查询当前登录域及登录用户信息

net config workstation

1617690075_606bfddb14276a4c51d15.png!small?1617690075601

4.判断主域

net time /domain

1617690087_606bfde7b7577c89bf430.png!small?1617690088276

五.探测域内存活主机

内网存活主机探测是内网渗透测试中不可缺少的一个环节。可在白天和晚上分别·进行探测。

（1）利用NetBIOS快速探测内网

NetBIOS是局域网程序使用的一种程序编辑接口（API），为程序提供了请求级别服务的统一的命令集，为局域网提供了网络及其他特殊功能。

nbtscan是一个命令行工具，用于扫描本地或远程tcp/ip网络上的开放NEtBIos名称服务器。

1617690101_606bfdf501861fb0b9290.png!small?1617690101590

（2). 利用ICMP协议快速探测内网

除了利用NEtBIos探测内网，还可以利用icmp协议探测内网。

for /L %I in (1,1,254) Do @ping -w l -n 1 192.168.1.%I findstr “TTL=”

1617690117_606bfe05a3810f6b302a1.png!small?1617690118151

(3) 通过arp扫描探测内网

1.arp-scan工具

arp -a

1617690131_606bfe133c2242d1a5b1b.png!small?1617690131762

2.Empire 中的arpscan 模块

3.NIshang 中的invoke-Arpscan.ps1脚本

(4) 通过常规TCP/UDp端口扫描内网

ScanLine是一款经典的端口扫描工具，可以在所有版本的windoWS 操作系统中使单个文件，用，体积小，仅使用单个文件，同时支持TCp/udp扫描

六.扫描域内端口

端口的banner信息，端口上运行的服务，常见应用的默认端口

（1).利用telnet命令进行扫描

Telnet 协议是tcp/ip协议族的一员，是Internet远程登陆服务的标准协议和主要形式。

首先得开启服务

1617690150_606bfe2621f272274d09a.png!small?1617690150995

telnet 192.168.1.1 22

1617690165_606bfe35b3c4e853481ad.png!small?1617690166483

（2） S扫描器

S扫描是2007年古老的扫描器，不建议使用了。

（3） Metasploit 端口扫描

1617690187_606bfe4b7a9ee6d4edf67.png!small?1617690188569

（4） powerSploit的invoke – portscan.ps1

（5） NIshang 的Invoke-POrtScan 模块

（6）端口banner信息

如果通过扫描发现了端口，可以使用客户端连接工具或者nc，获取服务端的Banner信息。获取Banner信息后，可以在漏洞库中查找对应cve编号的POc、exp、在exploitDB、seebug等平台上查看相关的漏洞利用工具，然后到目标系统中验证漏洞是否存在，从而有针对性地进行安全加固。

nc -nv 127.0.0.1 22

1617690205_606bfe5da618fb388ebd7.png!small?1617690206221

文件共享服务端口（21、22、69、2049、139、389）

远程连接服务端口（22、23、3389、5900、5632）

Web应用服务端口（80、443、8080、7001、7002、8089、9090、4848、1352）

数据库服务端口（3306、1433、1521、5432、6379、5000、9200）

邮件服务端口（25、110、143）

网络常见协议端口（53、67、68、161）