【內網滲透】— 內網信息收集(4)

內網信息收集

滲透測試人員進入內網后，面對的是一片"黑暗森林"，所以，滲透測試人員首先要對當前所處的網絡環境進行判斷，判斷主要涉及以下三方面：

• 我是誰？—— 對當前機器角色的判斷。
• 這是哪？—— 對當前機器所處的網絡環境的拓撲結構進行分析和判斷。
• 我在哪？—— 對當前機器所處區域的判斷。
  本文主要介紹內網滲透測試中的一些常用的指令，實際中大家根據自己的實際情況，選擇自己需要的指令，完成工作或者學習的任務。

本機信息收集

本機信息收集包括操作系統、權限、內網IP地址段、殺毒軟件、端口、服務、補丁更新頻率、網絡連接、共享、會話等。如果是域內主機，那么操作系統、應用軟件、補丁、服務、殺毒軟件一般都是批量安裝的。

手動信息收集

• 查詢網絡配置信息

  • inconfig /all

• 查詢操作系統及軟件信息

  • systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 查詢操作系統和版本信息 英文系統
  • systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本" 查詢操作系統和版本信息 中文系統
  • echo %PROCESSOR_ARCHITECTURE% 查看系統體系結構
  • wmic prouct get name, version 查看安裝的軟件的版本、路徑等
  • powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name, version" PowerShell收集軟件的版本信息

• 查詢本機的服務信息

  • wmic service list brief 查詢本機服務信息

• 查詢進程列表

  • tasklist 查看當前進程列表和進程用戶
  • wmic process list brief 查詢進程信息

• 查看啟動程序信息

  • wmic startup get command, caption

• 查看計划任務

  • schtasks /query /fo LIST /v

• 查看主機開機時間

  • net statistics workstation

• 查詢用戶列表

  • net user 查看本機用戶列表
  • net localgroup administrators 獲取本地管理員信息
  • query user || qwinsta 查看在線用戶

• 列出或斷開本地計算機與所連接的客戶端的對話

  • net session

• 查詢端口列表

  • netstat -ano

• 查看補丁列表

  • systeminfo 查看系統詳情
  • wmic qfe get Caption,Description,HotFixID,InstalledOn 查看補丁的名稱、描述、ID、安裝時間等

• 查詢本機共享列表

  • net share 查看本機共享列表和可訪問的域共享列表
  • wmic share get name,path,status 查找共享列表

• 查詢路由表以及所有可用接口的ARP緩存表

  • route print
  • arp -a

• 查詢防火牆相關配置

  • netsh firewall set opmode disable 關閉防火牆(Windows Server 2003 以前的版本)
  • netsh advfirewall set allprofiles state off 關閉防火牆(Windows Server 2003 以后的版本)
  • netsh firewall show config 查看防火牆配置

自動信息收集

為了簡化手動信息收集的繁瑣步驟，我們可用使用自動化腳本 —— WMIC(Windows Management InstrumentationCommand Line,Windows管理工具命令行)腳本，腳本下載地址，執行該腳本以后，會將信息收集的結果寫入HTML文檔。

域信息收集

查看當前全權限

• whoami 查看當前權限
• whoami /all 獲取SID
• net user xxx /domain 查詢指定用戶的詳情信息

判斷是否存在域

• ipcondig /all 可查看網關IP地址、DNS的IP地址、域名、本機是否和DNS服務器處在同一網段等... 然后，通過反向解析查詢命令nslookup來解析域名的IP地址，用解析到的IP地址進行對比，判斷域控服務器和DNS服務器是否在同一台機器上。
• systeminfo 對比查看"域(域名)"和"登錄服務器(域控制器)"的信息是否互相匹配。
• net config workstation 對比查看"工作站域DNS名稱(域名)"和"登錄域()域控制器"的信息是否相匹配。
• net time /domain 判斷主域。

探測域內存活主機

• 使用nbtscan掃描本地或遠程TCP/IP網絡上開放的NetBIOS名稱服務器，使用方法：nbt.exe 192.168.1.1/20, 輸出的結果第一列為IP地址，第二列為機器名和所在域的名稱，第三列即最后一列為及其所開啟的服務的列表。
• 使用ICMP協議快速探測內網
• arp-scan工具 使用方法：arp.exe -t 192.168.1.1/20
• Empire的arpscan模塊
• Nishang中的Invoke-ARPScan.ps1腳本
• ScanLine腳本

掃描域內端口信息

• telnet命令進行掃描
• S掃描器
• Metatsploit框架，"msfconsole"下的"serach portscan"命令
• PowerSploit的Invoke-ARPScan.ps1腳本
• Nishang中的Invoke-PortScan模塊
• 端口banner信息的利用

收集域內基礎信息

• net view /domain 查詢域
• net view /domain:HACHE 查詢域內的所有計算機
• net group /domain 查詢域內的所有計算機
• net group "domain computers" /domain 查詢所有域成員計算機列表
• net accounts /domain 獲取域密碼信息
• nltest /domain_trusts 獲取域信任信息

查找域控制器

• nltest /DCLIST:hacke 查看域控制器的機器名
• Nslookup -type=SRV_ldap._tcp 查看域控制器的主機名
• net time /domain 查看當前時間
• net group "Domain Controllers" /domain 查看域控制器組
• netdom query pdc 查看域控制器的機器名

獲取域內的用戶和管理員信息

• 查詢域內用戶列表
  • net user /domain 向域控制器進行查詢
  • wmic useraccount get /all 獲取域內用戶的詳細信息
  • dsquery user 查看存在的用戶
  • net localgroup administrators 查詢本地管理員用戶
• 查詢域管理員用戶組
  • net group "domain admins" /domain 查詢域管理員用戶
  • net group "Enterprise admins" /domain 查詢管理員用戶組

定位域管理員

在域網絡攻擊測試中，獲取域內的一個支點后，需要獲取域管理員權限；定位域內管理員的常規渠道，一是日志，二是會話。
常見域管理員定位工具：

• psloggedon.exe
• PVEFindADUser.exe
• netview.exe
• Nmap的NSE腳本
• PowerView腳本
• Empire的user_hunter模塊

查找域管理進程

• net group "Domain Admins" /domain 獲取域管理員列表
• tasklist /v 列出本機的所有進程及進程用戶
• net group "Domain Controllers" /domain 查詢域控制器列表
• NetSess -h 收集所有活動域的會話列表

分析域內網段划分情況及拓撲結構

在掌握了內網的相關信息后， 滲透測試人員可以分析目標網絡的結構和安全防御策略，獲取網絡信息、各部門的IP地址段，繪制內網的拓撲結構圖。

域分析工具BloodHound

BloodHound是一款免費的工具。一方面，BloodHound通過圖與線的形式，將域內用戶、計算機、組、會話、ACL以及域內所有的相關用戶、組、計算機、登陸信息、訪問控制策略之間的關系，直觀地展現在Red Team成員面前，為他們更便捷地分析域內情況、更快速地在域內提升權限提供條件；另一方面，BloodHound幫助Blue Team成員更好地對己方網絡系統進行安全檢查，以保證域的安全性。BloodHound使用圖形理論，在環境目錄中自動理清大部分人員之間的關系和細節。使用BloodHound，可以快速、深入地了解活動目錄中用戶之間的關系，獲取哪些用戶具有管理員權限、哪些用戶對所有的計算機都具有管理員權限、哪些用戶是最有效的用戶組成員等信息。

BloodHound可以在域內導出相關的信息，將采集的手數據導入本地Neo4j數據庫，並進行展示和分析。
此外，由於BloodHound相關知識較多，有興趣的朋友可以自行網上查閱相關資料，在此不做過多介紹。

敏感信息的防護

核心業務機器的類型

• 核心業務機器
  • 高級管理人員、系統管理員、財務/人事/業務人員的計算機
  • 產品管理系統服務器
  • 辦公系統服務器
  • 財務應用系統服務器
  • 核心產品原碼服務器
  • 數據庫服務器
  • 文件服務器、共享服務器
  • 電子郵件服務器
  • 網絡監控系統服務器
  • 其他服務器
• 敏感信息和敏感文件
  • 站點源碼備份文件、數據庫備份文件
  • 各類數據庫的Web管理入口
  • 瀏覽器密碼和瀏覽器Cookie
  • 其他用戶會話、3389和ipc$連接記錄，"回收站"中的信息
  • Windows無線密碼
  • 網絡內部的各種賬號及密碼

敏感信息的防護

在內網找中，攻擊者經常會進行基於應用和文件的信息收集，從總體上來看，攻擊者一是想進一步了解已攻陷機器所屬人員的職位，二是想在機器中使用一些命令來尋找自己想要的資料。
針對攻擊者的行為，建議用戶在內網中工作時，不要將特別重要的資料存儲在公開的計算機中，在必要時應對Office文檔進行加密且密碼不能太簡單。