内网渗透Windows下的信息收集总结


前言

在渗透测试中信息收集的深度与广度以及对关键信息的提取,直接或间接的决定了渗透测试的质量。这里对内网渗透的一些信息收集方法做一些总结,不定时更新~~

系统信息收集

系统信息

关注操作系统,系统版本,系统类型(64位还是32位),查看补丁。

systeminfo             

查看运行的服务

wmic service list brief
wmic service list brief | findstr Running  

查询杀软

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

获取杀软名和安装路径

WMIC /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

查看本机配置环境

set

查看本机安装的软件以及版本

wmic product get name,version

网络信息

这个不用多说了,查看网络情况,DNS,网卡,是否存在内网

ipconfig /all

查看端口列表

netstat –ano

查看防火墙信息

netsh firewall show config

关闭防火墙

netsh advfirewall set allprofiles state off      //Windows server 2003之后系统版本
netsh firewall set opmode disable              //Windows server 2003系统及以前版本

用户信息

net user    //查看本机用户列表
net localgroup administrators   //查看本地管理员列表
query user //查看当前登录的用户信息,该命令似乎windows10上不能用了。
net user name password /add   //添加用户
net localgroup administrators username /add   //把指定用户添加到管理员组中
net user guest /active:yes               //激活guest用户

远程桌面服务

查看是否开启RDP服务,1表示关闭,0表示开启

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

查看RDP开发端口,注意查询到的值为16进制需要进行进一步的转化。

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

启动远程桌面服务

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭远程桌面服务

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

密码收集

# dir /b /s login*txt             也有一些管理员笔记喜欢用txt记录一些服务配置或者密码信息
# dir /b /s login*            所有带有login字段的文件名
# dir /b /s *.bak            所有以bak为后缀的的文件名
# dir /b /s *.config                所有以config为后缀的文件名
# findstr /si password *.ini *.txt *.asp *.cgi  
# findstr /si password *.ini *.txt *.aspx 
# findstr /si password *.ini *.txt *.php
# findstr /si password *.ini *.txt *.php *.xml

WIFI信息

netsh wlan show profile 查询所有wifi的SSID
netsh wlan show profile wifi的名字 key=clear  查询具体wifi的信息

域内信息收集

域的基本信息收集

net view /domain //查询域列表
net config workstation      查询当前登陆域
net view   //查看域内机器名
wmic computersystem get domain   //获取域的全名,比如demo.com
net group "domain admins" /domain   //看看当前域中的域管都有谁
net group "domain users" /domain    //查看域内所有用户名
nslookup 主机名.域的全名    //查看域控IP
systeminfo      //查看补丁信息,域内大杀器MS14-068,对应的补丁号为3011780
whoami/all //查看 sid 值
net accounts       查看本机的账号密码设置策略,添加用户的时候可能要注意下
net user epoadmin /domain  查看指定用户在当前域中的详细属性信息

内网扫描探测

ICMP探测内网

我们可以使用ICMP协议来探测内网信息,直接使用cmd命令

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.174.%I | findstr "TTL="

nmap命令

nmap ‐sP ‐PI 192.168.1.0/24 ‐T4

ARP探测内网

使用MSF中的模块 use auxiliary/scanner/discovery/arp_sweep

TCP/UDP协议探测内网

使用Nmap进行扫描

  • -sT 使用TCP 连续进行扫描

  • -Pn 不用ping命令预先判断主机是否存活

  • -p 指定扫描端口

nmap -sT -Pn ip -p 21,22,23,25,80,139,445,3389

使用MSF中模块auxiliary/scanner/discovery/udp_sweep进行UDP扫描

MSF提供的多种探测内网方式

使用命令search scanner type:auxiliary 命令查找MSF中内网扫描模块

auxiliary/scanner/discovery/arp_sweep 
auxiliary/scanner/discovery/udp_sweep
auxiliary/scanner/ftp/ftp_version 
auxiliary/scanner/http/http_version
auxiliary/scanner/smb/smb_version
auxiliary/scanner/ssh/ssh_version 
auxiliary/scanner/telnet/telnet_version
auxiliary/scanner/discovery/udp_probe 
auxiliary/scanner/dns/dns_amp
auxiliary/scanner/mysql/mysql_version
auxiliary/scanner/netbios/nbname 
auxiliary/scanner/http/title
auxiliary/scanner/db2/db2_version 
auxiliary/scanner/portscan/ack
auxiliary/scanner/portscan/tcp
auxiliary/scanner/portscan/syn 
auxiliary/scanner/portscan/ftpbounce
auxiliary/scanner/portscan/xmas 
auxiliary/scanner/rdp/rdp_scanner
auxiliary/scanner/smtp/smtp_version
auxiliary/scanner/pop3/pop3_version
auxiliary/scanner/postgres/postgres_version 
auxiliary/scanner/ftp/anonymous
//post下的六个模块
windows/gather/arp_scanner 
windows/gather/enum_ad_computers
windows/gather/enum_computers 
windows/gather/enum_domain
windows/gather/enum_domains 
windows/gather/enum_ad_user_comments

后言

渗透学得越久就会发现信息收集越重要,学习到信息收集的新姿势在继续更新~~


文章作者: EASY
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 EASY !
 上一篇
Java的转型问题 Java的转型问题
前言Java的基础知识掌握还不够透彻,导致到后面学习越发吃力 决心返回对一些重要的基础知识重新理解一下。 向上转型举个例子:有2个类,Father 是父类,Son 类继承自 Father。 当我们可以实例Father和Son实例的时候,通俗
2020-09-23 EASY
下一篇 
中间件安全-jboss篇 中间件安全-jboss篇
前言JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支
2020-08-06 EASY
  目录