前言 本文记录一些内网渗透的注意点,信息比较散乱,后续更新完善
本机信息查询 常用信息 1 2 3 4 5 6 7 8 9 10 11 12 13 14 本机服务列表 wmic service list brief 本机进程列表 Tasklist /v 浏览器代理信息 reg query "HKEY_CURRENT_USER\S oftware\M icrosoft\W indows\C urrentVersion\I nternet Settings" RDP端口号(16进制) reg query "HKEY_LOCAL_MACHINE\S YSTEM\C urrentControlSet\C ontrol\T erminal Server\W inStations\R DP-TCP" /V portNumber 用户列表 net user 本地管理员 net localgroup administrators 在线用户 query user || qwinsta
提权相关补丁信息查询和流程 http://uuzdaisuki.com/2021/04/12/windows%E6%8F%90%E6%9D%83%E9%80%9F%E6%9F%A5%E6%B5%81%E7%A8%8B/
本机3389开启 1.通用开3389:
1 wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
2.Win2003:
1 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" " Server /v fDenyTSConnections / t REG_DWORD /d 00000000 / f
3.Win2008:
1 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" " Server /v fDenyTSConnections / t REG_DWORD /d 00000000 / f
4.win08 win2003 win7 win2012 winxp
win08,win2012三条命令皆可,win7前两条:
1 2 3 4 5 wmic /namespace:\root\cimv2 erminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1 wmic /namespace:\root\cimv2 erminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp' ) call setuserauthenticationrequired 1 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
杀毒软件进程名 1 2 3 4 5 6 7 8 9 10 360s d.exe 360 杀毒360 tray.exe 360 实时保护 ZhuDongFangYu.exe 360 主动防御 KSafeTray.exe 金山卫士 SafeDogUpdateCenter.exe 服务器安全狗 McAfee McShield.exe McAfee egui.exe NOD32 AVP.EXE 卡巴斯基 avguard.exe 小红伞 bdagent.exe BitDefender
敏感信息获取 1 2 3 4 5 6 7 源码 数据库备份文件 浏览器密码、cookie3389 、ipc连接记录 vpn 哈希提取http: //uuzdaisuki.com/2021 /04 /22 /windows%E5 %93 %88 %E5 %B8 %8 C%E6 %8 F%90 %E5 %8 F%96 %E6 %96 %B9 %E5 %BC %8 F%E6 %80 %BB %E7 %BB %93 /
域信息或内网信息收集 在拿到一个shell之后,需要先判断此机器有无域环境、是否出网、是否多网卡、内网网段分别是哪些。
1 2 3 4 5 查看网络配置信息ipconfig /all ifconfig 判断主域net time /domain
根据是否出网选择不同的代理方式,如目标出网,可采用frp等方式搭建代理,不出网有webshell等情况,可采用reGeorg等方式搭建代理。
查看当前机器的网络配置信息,根据ip地址和子网掩码推测其可能存在的内网网段。以此来确认我们有没有搭建代理的必要。
域内信息收集 1 2 3 4 5 6 7 8 9 10 11 net view 查看域内机器列表 net view /domain : ZZZ 查看ZZZ域中所有的机器列表。 net group /domain 查询域里面所有的用户组列表 net group "domain computers" /domain 查看所有域成员计算机列表 net accounts /domain 查询域用户密码过期等信息 net user /domain 获取域用户列表 net group "domain admins" /domain 获取域管理员列表 net group "domain controllers" /domain 查看域控制器 net local group administrators 查看本地管理员组用户[通常含有域用户] net localgroup administrators /domain 登录域管理员用户 net view /domain 查看内网存在多少个域
域内命令执行 http://uuzdaisuki.com/2021/04/29/%E5%9F%9F%E6%B8%97%E9%80%8F%E4%B8%AD%E5%88%A9%E7%94%A8ipc%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%80%BB%E7%BB%93/
票据传递
http://uuzdaisuki.com/2021/04/21/%E7%A5%A8%E6%8D%AE%E4%BC%A0%E9%80%92%E6%94%BB%E5%87%BB/
敏感系统收集 1 2 3 4 5 6 7 8 域控 OA系统 财务系统 数据库系统 邮件服务器 文件服务器 官网服务器 人事系统
内网信息收集 对目标内网进行扫描有两种方式,一种是通过代理进行扫描,一种是在shell中上传安装扫描工具。
上传扫描工具要考虑对方的系统、环境等情况
ping探测存活 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1 、如果IP连续,例如(192 .168 .1 .1 -192 .168 .1 .10 ): @echo off&setlocal ENABLEDELAYEDEXPANSIONif exist onlist.txtif exist offlist.txt for /l %%i in (1 ,1 ,10 ) do ( ping -n 1 192 .168 .1 .%%i >nul 2 >nul if !errorlevel! ==0 (echo 192 .168 .1 .%%i >>c:\bat\onlist.txt) else (echo 192 .168 .1 .%%i >>c:\bat\offlist.txt) ) 2 、如果IP不连续,那使用一个文件plist写入要测试的地址列表,然后批处理: @echo off&setlocal ENABLEDELAYEDEXPANSIONif exist c:\bat\onlist.txt del c:\bat\onlist.txtif exist c:\bat\offlist.txt del c:\bat\offlist.txt for /f %%i in (c:\bat\pclist.txt) do ( ping -n 1 %%i >nul 2 >nul if !errorlevel! ==0 (echo %%i >>c:\bat\onlist.txt) else (echo %%i >>c:\bat\offlist.txt) )
自写python脚本探测端口 由于linux系统和程序员使用的windows环境一般都存在python环境,使用自写python脚本portscan扫描内网端口也很方便
常用的扫描端口列表 21,22,80,443,445,1433,1521,3306,3389,5900,6379,7001,8000,8080,8443
内网常见端口对应服务攻击 针对各类服务爆破 使用爆破工具获得口令,重点攻击:
FTP( 21 / TCP)
SSH( 22 / TCP)
Telnet( 23 / TCP)
NetBIOS / SMB / Samba( 139 / TCP 和 445 / TCP)
LDAP( 389 / TCP)
Kerberos( 88 / TCP)
RDP /终端服务( 3389 / TCP)
HTTP(S) / HTTP 管理服务( 80 / TCP 和 443 / TCP)
MSSQL( 1433 / TCP)
Oracle( 1521 / TCP)
MySQL( 3306 / TCP)
VNC( 5900 / TCP)
其他未授权访问端口
Redis(6379)
MongoDB(27017)
Elasticsearch(9200)
ZooKeeper(2181,2182)
docker(2375)
Memcached(11211)
nfs(2049)
CouchDB(5984)
hadoop(50070)
其他
Weblogic(7001/weblogic反序列化)
Zabbix (8069/命令执行)
Jenkins(8080-8089/控制台命令执行)
JBoss(8080-8089/反序列化)