内网边界信息收集
0x01 Windows(工作组和域)
0x01-1 检查当前shell权限
whoami /user && whoami /priv
0x01-2 查看系统信息
systeminfo
主机名->扮演的角色
主机名: AHCJ-WIN2003-2
OS 名称: Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS 版本: 5.2.3790 Service Pack 2 Build 3790
OS 制造商: Microsoft Corporation
OS 配置: 独立服务器
OS 构件类型: Uniprocessor Free
注册的所有人: AHCJ
注册的组织:
产品 ID: 69813-651-6082552-45965
初始安装日期: 2015-6-25, 14:42:37
系统启动时间: 暂缺
系统制造商: Red Hat
系统型号: KVM
系统类型: X86-based PC
处理器: 安装了 1 个处理器。
[01]: x86 Family 6 Model 13 Stepping 3 GenuineIntel ~1994 Mhz
BIOS 版本: BOCHS - 1
Windows 目录: C:\WINDOWS
系统目录: C:\WINDOWS\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 2,048 MB
可用的物理内存: 1,416 MB
页面文件: 最大值: 2,474 MB
页面文件: 可用: 2,150 MB
页面文件: 使用中: 324 MB
页面文件位置: C:\pagefile.sys
域: WORKGROUP
登录服务器: \\AHCJ-WIN2003-2
修补程序: 安装了 6 个修补程序。
[01]: File 1
[02]: File 1
[03]: Q147222
[04]: KB968930 - Update
[05]: KB942288-v4 - Update
[06]: KB954550-v5
网卡: 安装了 1 个 NIC。
[01]: Realtek RTL8139 Family PCI Fast Ethernet NIC
连接名: 本地连接 4
启用 DHCP: 否
IP 地址
[01]: 192.168.87.550x01-2 tcp/udp 网络连接状态信息
netstat -ano
可以获取内网IP分布状态-服务(redis)
C:\Documents and Settings\test\桌面>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING 440
TCP 0.0.0.0:1723 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 2492
TCP 0.0.0.0:47001 0.0.0.0:0 LISTENING 4
TCP 192.168.87.55:139 0.0.0.0:0 LISTENING 4
TCP 192.168.87.55:3389 192.168.87.1:25512 ESTABLISHED 2492
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 440
UDP 0.0.0.0:1025 *:* 764
UDP 0.0.0.0:1029 *:* 816
UDP 0.0.0.0:1701 *:* 4
UDP 0.0.0.0:4500 *:* 440
UDP 127.0.0.1:123 *:* 800
UDP 127.0.0.1:1027 *:* 816
UDP 127.0.0.1:1028 *:* 816
UDP 192.168.87.55:123 *:* 800
UDP 192.168.87.55:137 *:* 4
UDP 192.168.87.55:138 *:* 40x01-3 机器名
hostname
C:\Documents and Settings\test\桌面>hostname
ahcj-win2003-2
0x01-4 查看当前操作系统
wmic OS get Caption,CSDVersion,OSArchitecture,Version
ver
Operating System Version PlatformID
Windows 8 6.2 VER_PLATFORM_WIN32_NT (=2)
Windows 7 6.1 VER_PLATFORM_WIN32_NT
Windows Server 2008 R2 6.1 VER_PLATFORM_WIN32_NT
Windows Server 2008 6.0 VER_PLATFORM_WIN32_NT
Windows Vista 6.0 VER_PLATFORM_WIN32_NT
Windows Server 2003 R2 5.2 VER_PLATFORM_WIN32_NT
Windows Server 2003 5.2 VER_PLATFORM_WIN32_NT
Windows XP 64-Bit Edition 5.2 VER_PLATFORM_WIN32_NT
Windows XP 5.1 VER_PLATFORM_WIN32_NT
Windows 2000 5.0 VER_PLATFORM_WIN32_NT
Windows NT 4.0 4.0 VER_PLATFORM_WIN32_NT
Windows NT 3.51 3.51 ? VER_PLATFORM_WIN32_NT
Windows Millennium Edition 4.90 VER_PLATFORM_WIN32_WINDOWS (=1)
Windows 98 4.10 VER_PLATFORM_WIN32_WINDOWS
Windows 95 4.0 VER_PLATFORM_WIN32_WINDOWS
Windows 3.1 3.1 ? VER_PLATFORM_WIN32s (=0)
0x01-5 查杀软
WMIC /Node:localhost /Namespace:\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
0x01-6 查看当前安装的程序
wmic product get name,version
0x01-7 查看在线用户
quser
C:\Documents and Settings\test\桌面>quser
用户名 会话名 ID 状态 空闲时间 登录时间
>test rdp-tcp#1 1 运行中 . 2019-10-9 19:280x01-8 查看网络配置
有Primary Dns Suffix 就说明是域内. 空的则当前机器应该在工作组
ipconfig /all
ipconfig /displaydns
C:\Users\Administrator\Desktop>ipconfig /all
Windows IP 配置
主机名 . . . . . . . . . . . . . : win08-web
主 DNS 后缀 . . . . . . . . . . . : hack.local
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
DNS 后缀搜索列表 . . . . . . . . : hack.local
localdomain
以太网适配器 hack:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #3
物理地址. . . . . . . . . . . . . : 00-0C-29-B5-02-C8
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
本地链接 IPv6 地址. . . . . . . . : fe80::d4b7:2ac1:d23:3163%14(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.52.28(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 192.168.52.254
DHCPv6 IAID . . . . . . . . . . . : 352324649
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-24-D9-7B-1D-00-0C-29-B5-02-B4
DNS 服务器 . . . . . . . . . . . : 192.168.52.2
TCPIP 上的 NetBIOS . . . . . . . : 已启用
0x01-9 查看进程
tasklist /v
有些进程可能是域用户启的->通过管理员权限 凭证窃取 -> 窃取域用户的凭证
C:\Documents and Settings\test\桌面>tasklist /v
映像名称 PID 会话名 会话# 内存使用 状态 用户名
========================= ======== ================ =========== ============ =============== =========================================
System Idle Process 0 0 28 K Unknown NT AUTHORITY\SYSTEM
System 4 0 296 K Unknown 暂缺
smss.exe 284 0 500 K Unknown 暂缺
csrss.exe 332 0 5,836 K Unknown 暂缺
winlogon.exe 356 0 9,288 K Unknown 暂缺
services.exe 404 0 18,344 K Unknown 暂缺
lsass.exe 440 0 8,348 K Unknown 暂缺
vmacthlp.exe 612 0 2,720 K Unknown 暂缺
svchost.exe 632 0 3,312 K Unknown 暂缺
svchost.exe 700 0 4,076 K Unknown 暂缺
svchost.exe 764 0 4,436 K Unknown 暂缺
svchost.exe 800 0 3,560 K Unknown 暂缺
svchost.exe 816 0 25,532 K Unknown 暂缺
spoolsv.exe 932 0 5,224 K Unknown 暂缺
msdtc.exe 964 0 4,588 K Unknown 暂缺
cisvc.exe 1080 0 8,524 K Unknown 暂缺
svchost.exe 1140 0 2,260 K Unknown 暂缺
inetinfo.exe 1228 0 8,708 K Unknown 暂缺
rhsrvany.exe 1344 0 1,980 K Unknown 暂缺
powershell.exe 1388 0 38,752 K Unknown 暂缺
svchost.exe 1444 0 1,324 K Unknown 暂缺
RetinaEngine.exe 1472 0 61,244 K Unknown 暂缺
sqlwriter.exe 1532 0 3,924 K Unknown 暂缺
VGAuthService.exe 1588 0 9,292 K Unknown 暂缺
webtool.exe 1656 0 6,196 K Unknown 暂缺
eeyeevnt.exe 1756 0 9,808 K Unknown 暂缺
svchost.exe 1844 0 6,556 K Unknown 暂缺
svchost.exe 1872 0 5,752 K Unknown 暂缺
svchost.exe 2104 0 4,076 K Unknown 暂缺
dllhost.exe 2216 0 7,528 K Unknown 暂缺
svchost.exe 2492 0 4,744 K Unknown 暂缺
csrss.exe 2768 RDP-Tcp#1 1 7,876 K Running 暂缺
winlogon.exe 2796 RDP-Tcp#1 1 2,536 K Unknown 暂缺
rdpclip.exe 2944 RDP-Tcp#1 1 3,752 K Running AHCJ-WIN2003-2\test
explorer.exe 3020 RDP-Tcp#1 1 14,416 K Running AHCJ-WIN2003-2\test
supersrh.exe 3172 RDP-Tcp#1 1 6,928 K Running AHCJ-WIN2003-2\test
ctfmon.exe 3200 RDP-Tcp#1 1 3,396 K Running AHCJ-WIN2003-2\test
cmd.exe 3256 RDP-Tcp#1 1 3,576 K Running AHCJ-WIN2003-2\test
conime.exe 3272 RDP-Tcp#1 1 2,476 K Running AHCJ-WIN2003-2\test
wmiprvse.exe 3380 0 5,144 K Unknown 暂缺
cidaemon.exe 3636 0 2,268 K Unknown 暂缺
cidaemon.exe 3684 0 916 K Unknown 暂缺
logon.scr 328 0 1,852 K Unknown 暂缺
wmiprvse.exe 4040 0 8,096 K Unknown 暂缺
wmiprvse.exe 4088 0 4,400 K Unknown 暂缺
notepad.exe 216 RDP-Tcp#1 1 440 K Running AHCJ-WIN2003-2\test
tasklist.exe 1584 RDP-Tcp#1 1 4,008 K Unknown AHCJ-WIN2003-2\test0x01-10 查看当前登录域
net config workstation
C:\Users\Administrator\Desktop>net config workstation
计算机名 \\WIN08-WEB
计算机全名 win08-web.hack.local
用户名 Administrator
工作站正运行于
NetBT_Tcpip_{8BF769C5-CA65-4810-907F-038B7869DB89} (000C29B502C8)
NetBT_Tcpip_{ADFDD8BB-7022-41D8-9F42-0407E9C8D417} (000C29B502BE)
NetBT_Tcpip_{E707AA31-65E2-4165-AB18-4F54A186BBBA} (000C29B502B4)
软件版本 Windows Server 2008 R2 Standard
工作站域 HACK
工作站域 DNS 名称 hack.local
登录域 WIN08-WEB
COM 打开超时 (秒) 0
COM 发送计数 (字节) 16
COM 发送超时 (毫秒) 250
命令成功完成。
0x01-11 远程桌面连接历史记录
cmdkey /l
把凭证取下来->本地解密
cmdkey /l 获得Windows系统的远程桌面连接历史记录
0x01-12 查看本机上的用户帐号列表
net user
C:\Users\Administrator\Desktop>net user
\\WIN08-WEB 的用户帐户
-------------------------------------------------------------------------------
Administrator Guest
命令成功完成。0x01-13 查看本机用户XXX的信息
net user XXX
C:\Users\Administrator\Desktop>net user administrator
用户名 Administrator
全名
注释 管理计算机(域)的内置帐户
用户的注释
国家/地区代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2019/8/5 13:56:26
密码到期 2019/9/16 13:56:26
密码可更改 2019/8/6 13:56:26
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 2019/10/10 19:35:21
可允许的登录小时数 All
本地组成员 *Administrators
全局组成员 *None
命令成功完成。0x01-13 查看本机用户XXX的信息
net user /domain 显示所在域的用户名单
net user 域用户 /domain 获取某个域用户的详细信息
net user /domain XXX 12345678 修改域用户密码,需要域管理员权限
0x02 Windows(域)
nltest /domain_trusts /all_trusts /v /server:192.168.52.2 返回所有信任192.168.52.2的域。
nltest /dsgetdc:hack /server:192.168.52.2 返回域控和其相应的IP地址,hack是上步骤结果中的一个域
C:\Windows\System32>nltest /domain_trusts /all_trusts /v /server:192.168.52.2
域信任的列表:
0: HACK hack.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)
Dom Guid: 50fbcf3b-a8b3-4205-b903-f1bef54dde44
Dom Sid: S-1-5-21-675002476-827761145-2127888524
此命令成功完成
C:\Windows\System32>nltest /dsgetdc:hack /server:192.168.52.2
DC: \\WINDOWS_SERVER_
地址: \\192.168.52.2
Dom Guid: 50fbcf3b-a8b3-4205-b903-f1bef54dde44
Dom 名称: HACK
林名称: hack.local
DC 站点名称: Default-First-Site-Name
我们的站点名称: Default-First-Site-Name
标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS 0x1C000
此命令成功完成
net user /do 获取域用户列表
net group "domain admins" /domain 获取域管理员列表
net group "domain controllers" /domain 查看域控制器(如果有多台)
net group "domain computers" /domain 查看域机器
net group /domain 查询域里面的工作组
net localgroup administrators 本机管理员[通常含有域用户]
net localgroup administrators /domain 登录本机的域管理员
net localgroup administrators workgroup\user001 /add 域用户添加到本机
Net view 查看同一域内机器列表
net view \\ip 查看某IP共享
Net view \\GHQ 查看GHQ计算机的共享资源列表。
net view /domain 查看内网存在多少个域
Net view /domain:XYZ 查看XYZ域中的机器列表。
net accounts /domain # 查询域用户密码过期等信息
爆破域用户弱口令
0x03 Linux
0x03-1 查看当前权限
whoami
0x03-2 查看网卡配置
ifconfig
0x03-3 查看端口状态(开启了哪些服务,内网IP连接等)
netstat -anpt
0x03-4 查看进程状态(开启了哪些服务等)
ps -ef
0x03-5 查看管理员的历史输入命令(获取密码,网站目录,内网资产等信息)
cat /root/.bash_history
0x03-6 查找某个文件(寻找配置文件等)
find / -name *.cfg
