假設現在已經擁有一台內網[域]機器,取名X-007.
1-1.內網[域]信息收集
A.本機X-007信息收集.
[+]------用戶列表[Windows用戶列表/郵件用戶/...]
---->分析Windows用戶列表,不要忽略administrator.
---->分析郵件用戶,內網[域]郵件用戶,通常就是內網[域]用戶,例如:owa
[+]------進程列表
---->分析殺毒軟件/安全監控工具等
---->郵件客戶端
---->VPN等
[+]------服務列表
---->與安全防范工具有關服務[判斷是否可以手動開關等]
---->存在問題的服務[權限/漏洞]
[+]------端口列表
---->開放端口對應的常見服務/應用程序[匿名/權限/漏洞等]
---->利用端口進行信息收集,建議大家深入挖掘[NETBIOS,SMB等]
[+]------補丁列表
---->分析Windows補丁
---->第三方軟件[Java/Oracle/Flash等]漏洞
[+]------本機共享[域內共享很多時候相同]
---->本機共享列表/訪問權限
---->本機訪問的域共享/訪問權限
[+]------本地用戶習慣分析
---->歷史記錄
---->收藏夾
---->文檔等
B.擴撒信息收集
[+]------利用本機獲取的信息收集內網[域]其他機器的信息.
----用戶列表/共享/進程/服務等.[參考上面]
[+]------收集Active Directory信息
----最好是獲取AD副本.
------------------------------ 常見信息收集命令----------------------------------
net user ------> 本機用戶列表
net localhroup administrators ------> 本機管理員[通常含有域用戶]
net user /domain ------> 查詢域用戶
net group /domain ------> 查詢域里面的工作組
net group "domain admins" /domain ------> 查詢域管理員用戶組
net localgroup administrators /domain ------> 登錄本機的域管理員
net localgroup administrators workgroup\user001 /add ----->域用戶添加到本機
net group "Domain controllers" -------> 查看域控制器(如果有多台)
----------------------------------------------------------------------------------------
ipconfig /all ------> 查詢本機IP段,所在域等
net view ------> 查詢同一域內機器列表
net view /domain ------> 查詢域列表
net view /domain:domainname -----> 查看workgroup域中計算機列表
-------------------第三方信息收集-----------------
NETBIOS 信息收集工具
SMB信息收集
空會話信息收集
端口信息收集
漏洞信息收集
……
如果可能,建議弄一張內網拓撲圖,這樣方便下面的滲透工作.
1-2.內網[域]滲透
[推薦閱讀]
黑客大曝光-前三章
內網滲透 by 櫻木花道
Microsoft-word-pen-testing-windows-active-directory
Pen-testing-windows-active-directory
Windows Privilege Escalation Part 1
Windows Privilege Escalation Part 2
內網[域]滲透,不外乎獲取內網[域]最高權限.
通常做法就是拿到某個域管理員的口令,然后控制域服務器,獲取更多的信息.
如何獲取域管理員口令,做法可能各不相同.
上次發了一篇文章—【再探內網(域)滲透】,討論的人不少,比較開心.但是,總有一種感覺,那就是大家話到嘴邊就停住了,讓人很心急.
希望在此能夠通過我的破文,引起滲透愛好者的討論.了解域滲透的兄弟姐妹,請不要吝嗇自己的技術,真心希望大家能分享一下自己滲透中的點點滴滴.請指點一下那些一直在努力的花朵們.
如果可能,希望大家續貼發表自己的滲透心得,讓內網滲透能夠成為專題貼…..在此先獻上一朵小紅花
.
歡迎來信指點:hap.ddup[at]gmail.com
============================================================
內網(域)滲透–1.基本命令
————————————————————————————————————
ipconfig /all ------ 查詢本機IP段,所在域等
net user ------ 本機用戶列表
net localhroup administrators ------ 本機管理員[通常含有域用戶]
net user /domain ------ 查詢域用戶
net group /domain ------ 查詢域里面的工作組
net group "domain admins" /domain ------ 查詢域管理員用戶組
net localgroup administrators /domain ------ 登錄本機的域管理員
net localgroup administrators workgroup\user001 /add ------域用戶添加到本機
net group "domain controllers" /domain ------ 查看域控制器(如果有多台)
net time /domain ------ 判斷主域,主域服務器都做時間服務器
net config workstation ------ 當前登錄域
net session ------ 查看當前會話
net use \\ip\ipc$ pawword /user:username ------ 建立IPC會話[空連接-***]
net share ------ 查看SMB指向的路徑[即共享]
net view ------ 查詢同一域內機器列表
net view \\ip ------ 查詢某IP共享
net view /domain ------ 查詢域列表
net view /domain:domainname ------ 查看workgroup域中計算機列表
net start ------ 查看當前運行的服務
net accounts ------ 查看本地密碼策略
net accounts /domain ------ 查看域密碼策略
nbtstat –A ip ------netbios 查詢
netstat –an/ano/anb ------ 網絡連接查詢
route print ------ 路由表
=============================================================
dsquery computer ----- finds computers in the directory.
dsquery contact ----- finds contacts in thedirectory.
dsquery subnet ----- finds subnets in thedirectory.
dsquery group ----- finds groups in thedirectory.
dsquery ou ----- finds organizationalunits in the directory.
dsquery site ----- finds sites in thedirectory.
dsquery server ----- finds domain controllers inthe directory.
dsquery user ----- finds users in thedirectory.
dsquery quota ----- finds quota specificationsin the directory.
dsquery partition ----- finds partitions in thedirectory.
dsquery * ----- finds any object inthe directory by using a generic LDAP query.
dsquery server –domain Yahoo.com | dsget server–dnsname –site ---搜索域內域控制器的DNS主機名和站點名
dsquery computer domainroot –name *-xp –limit 10----- 搜索域內以-xp結尾的機器10台
dsquery user domainroot –name admin* -limit ---- 搜索域內以admin開頭的用戶10個
……
……
[注:dsquery來源於Windows Server 2003 Administration Tools Pack]
=============================================================
tasklist /V ----- 查看進程[顯示對應用戶]
tasklist /S ip /U domain\username /P /V ----- 查看遠程計算機進程列表
qprocess * ----- 類似tasklist
qprocess /SERVER:IP ----- 遠程查看計算機進程列表
nslookup –qt-MX Yahoo.com ----- 查看郵件服務器
whoami /all ----- 查詢當前用戶權限等
set ----- 查看系統環境變量
systeminfo ----- 查看系統信息
qwinsta ----- 查看登錄情況
qwinsta /SERVER:IP ----- 查看遠程登錄情況
fsutil fsinfo drives ----- 查看所有盤符
gpupdate /force ----- 更新域策略
=============================================================
wmic bios ----- 查看bios信息
wmic qfe ----- 查看補丁信息
wmic qfe get hotfixid ----- 查看補丁-Patch號
wmic startup ----- 查看啟動項
wmic service ----- 查看服務
wmic os ----- 查看OS信息
wmic process get caption,executablepath,commandline
wmic process call create “process_name” (executes a program)
wmic process where name=”process_name” call terminate (terminates program)
wmic logicaldisk where drivetype=3 get name, freespace, systemname, filesystem, size,
volumeserialnumber (hard drive information)
wmic useraccount (usernames, sid, and various security related goodies)
wmic useraccount get /ALL
wmic share get /ALL (you can use ? for gets help ! )
wmic startup list full (this can be a huge list!!!)
wmic /node:"hostname" bios get serialnumber (this can be great for finding warranty info about target)
———————————————————————————————————————————-
Password hashes dump tools ————– 抓hash工具列表[大集合]