内网边界信息收集

内网边界信息收集

0x01 Windows(工作组和域)

0x01-1 检查当前shell权限

whoami /user && whoami /priv

img

0x01-2 查看系统信息

systeminfo

主机名->扮演的角色

主机名:           AHCJ-WIN2003-2
OS 名称:          Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS 版本:          5.2.3790 Service Pack 2 Build 3790
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Uniprocessor Free
注册的所有人:     AHCJ
注册的组织:       
产品 ID:          69813-651-6082552-45965
初始安装日期:     2015-6-25, 14:42:37
系统启动时间:     暂缺
系统制造商:       Red Hat
系统型号:         KVM
系统类型:         X86-based PC
处理器:           安装了 1 个处理器。
                  [01]: x86 Family 6 Model 13 Stepping 3 GenuineIntel ~1994 Mhz
BIOS 版本:        BOCHS  - 1
Windows 目录:     C:\WINDOWS
系统目录:         C:\WINDOWS\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     2,048 MB
可用的物理内存:   1,416 MB
页面文件: 最大值: 2,474 MB
页面文件: 可用:   2,150 MB
页面文件: 使用中: 324 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       \\AHCJ-WIN2003-2
修补程序:         安装了 6 个修补程序。
                  [01]: File 1
                  [02]: File 1
                  [03]: Q147222
                  [04]: KB968930 - Update
                  [05]: KB942288-v4 - Update
                  [06]: KB954550-v5
网卡:             安装了 1 个 NIC。
                  [01]: Realtek RTL8139 Family PCI Fast Ethernet NIC
                      连接名:      本地连接 4
                      启用 DHCP:   否
                      IP 地址
                      [01]: 192.168.87.55

0x01-2 tcp/udp 网络连接状态信息

netstat -ano

可以获取内网IP分布状态-服务(redis)

C:\Documents and Settings\test\桌面>netstat -ano
Active Connections
  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1030           0.0.0.0:0              LISTENING       440
  TCP    0.0.0.0:1723           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       2492
  TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING       4
  TCP    192.168.87.55:139      0.0.0.0:0              LISTENING       4
  TCP    192.168.87.55:3389     192.168.87.1:25512     ESTABLISHED     2492
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    440
  UDP    0.0.0.0:1025           *:*                                    764
  UDP    0.0.0.0:1029           *:*                                    816
  UDP    0.0.0.0:1701           *:*                                    4
  UDP    0.0.0.0:4500           *:*                                    440
  UDP    127.0.0.1:123          *:*                                    800
  UDP    127.0.0.1:1027         *:*                                    816
  UDP    127.0.0.1:1028         *:*                                    816
  UDP    192.168.87.55:123      *:*                                    800
  UDP    192.168.87.55:137      *:*                                    4
  UDP    192.168.87.55:138      *:*                                    4

0x01-3 机器名

hostname

C:\Documents and Settings\test\桌面>hostname
ahcj-win2003-2

img

0x01-4 查看当前操作系统

wmic OS get Caption,CSDVersion,OSArchitecture,Version

ver

Operating System Version PlatformID
Windows 8 6.2 VER_PLATFORM_WIN32_NT (=2)
Windows 7 6.1 VER_PLATFORM_WIN32_NT
Windows Server 2008 R2 6.1 VER_PLATFORM_WIN32_NT
Windows Server 2008 6.0 VER_PLATFORM_WIN32_NT
Windows Vista 6.0 VER_PLATFORM_WIN32_NT
Windows Server 2003 R2 5.2 VER_PLATFORM_WIN32_NT
Windows Server 2003 5.2 VER_PLATFORM_WIN32_NT
Windows XP 64-Bit Edition 5.2 VER_PLATFORM_WIN32_NT
Windows XP 5.1 VER_PLATFORM_WIN32_NT
Windows 2000 5.0 VER_PLATFORM_WIN32_NT
Windows NT 4.0 4.0 VER_PLATFORM_WIN32_NT
Windows NT 3.51 3.51 ? VER_PLATFORM_WIN32_NT
Windows Millennium Edition 4.90 VER_PLATFORM_WIN32_WINDOWS (=1)
Windows 98 4.10 VER_PLATFORM_WIN32_WINDOWS
Windows 95 4.0 VER_PLATFORM_WIN32_WINDOWS
Windows 3.1 3.1 ? VER_PLATFORM_WIN32s (=0)

img

0x01-5 查杀软

WMIC /Node:localhost /Namespace:\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

img

0x01-6 查看当前安装的程序

wmic product get name,version

img

0x01-7 查看在线用户

quser

C:\Documents and Settings\test\桌面>quser
 用户名                会话名             ID  状态    空闲时间   登录时间
>test                  rdp-tcp#1           1  运行中          .  2019-10-9 19:28

0x01-8 查看网络配置

有Primary Dns Suffix 就说明是域内. 空的则当前机器应该在工作组

ipconfig /all

ipconfig /displaydns

C:\Users\Administrator\Desktop>ipconfig /all
Windows IP 配置
   主机名  . . . . . . . . . . . . . : win08-web
   主 DNS 后缀 . . . . . . . . . . . : hack.local
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : hack.local
                                       localdomain
以太网适配器 hack:
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #3
   物理地址. . . . . . . . . . . . . : 00-0C-29-B5-02-C8
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::d4b7:2ac1:d23:3163%14(首选)
   IPv4 地址 . . . . . . . . . . . . : 192.168.52.28(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 192.168.52.254
   DHCPv6 IAID . . . . . . . . . . . : 352324649
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-24-D9-7B-1D-00-0C-29-B5-02-B4
   DNS 服务器  . . . . . . . . . . . : 192.168.52.2
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

img

0x01-9 查看进程

tasklist /v

有些进程可能是域用户启的->通过管理员权限 凭证窃取 -> 窃取域用户的凭证

C:\Documents and Settings\test\桌面>tasklist /v
映像名称                       PID 会话名              会话#       内存使用  状态            用户名
========================= ======== ================ =========== ============ =============== =========================================
System Idle Process              0                            0         28 K Unknown         NT AUTHORITY\SYSTEM
System                           4                            0        296 K Unknown         暂缺
smss.exe                       284                            0        500 K Unknown         暂缺
csrss.exe                      332                            0      5,836 K Unknown         暂缺
winlogon.exe                   356                            0      9,288 K Unknown         暂缺
services.exe                   404                            0     18,344 K Unknown         暂缺
lsass.exe                      440                            0      8,348 K Unknown         暂缺
vmacthlp.exe                   612                            0      2,720 K Unknown         暂缺
svchost.exe                    632                            0      3,312 K Unknown         暂缺
svchost.exe                    700                            0      4,076 K Unknown         暂缺
svchost.exe                    764                            0      4,436 K Unknown         暂缺
svchost.exe                    800                            0      3,560 K Unknown         暂缺
svchost.exe                    816                            0     25,532 K Unknown         暂缺
spoolsv.exe                    932                            0      5,224 K Unknown         暂缺
msdtc.exe                      964                            0      4,588 K Unknown         暂缺
cisvc.exe                     1080                            0      8,524 K Unknown         暂缺
svchost.exe                   1140                            0      2,260 K Unknown         暂缺
inetinfo.exe                  1228                            0      8,708 K Unknown         暂缺
rhsrvany.exe                  1344                            0      1,980 K Unknown         暂缺
powershell.exe                1388                            0     38,752 K Unknown         暂缺
svchost.exe                   1444                            0      1,324 K Unknown         暂缺
RetinaEngine.exe              1472                            0     61,244 K Unknown         暂缺
sqlwriter.exe                 1532                            0      3,924 K Unknown         暂缺
VGAuthService.exe             1588                            0      9,292 K Unknown         暂缺
webtool.exe                   1656                            0      6,196 K Unknown         暂缺
eeyeevnt.exe                  1756                            0      9,808 K Unknown         暂缺
svchost.exe                   1844                            0      6,556 K Unknown         暂缺
svchost.exe                   1872                            0      5,752 K Unknown         暂缺
svchost.exe                   2104                            0      4,076 K Unknown         暂缺
dllhost.exe                   2216                            0      7,528 K Unknown         暂缺
svchost.exe                   2492                            0      4,744 K Unknown         暂缺
csrss.exe                     2768 RDP-Tcp#1                  1      7,876 K Running         暂缺
winlogon.exe                  2796 RDP-Tcp#1                  1      2,536 K Unknown         暂缺
rdpclip.exe                   2944 RDP-Tcp#1                  1      3,752 K Running         AHCJ-WIN2003-2\test
explorer.exe                  3020 RDP-Tcp#1                  1     14,416 K Running         AHCJ-WIN2003-2\test
supersrh.exe                  3172 RDP-Tcp#1                  1      6,928 K Running         AHCJ-WIN2003-2\test
ctfmon.exe                    3200 RDP-Tcp#1                  1      3,396 K Running         AHCJ-WIN2003-2\test
cmd.exe                       3256 RDP-Tcp#1                  1      3,576 K Running         AHCJ-WIN2003-2\test
conime.exe                    3272 RDP-Tcp#1                  1      2,476 K Running         AHCJ-WIN2003-2\test
wmiprvse.exe                  3380                            0      5,144 K Unknown         暂缺
cidaemon.exe                  3636                            0      2,268 K Unknown         暂缺
cidaemon.exe                  3684                            0        916 K Unknown         暂缺
logon.scr                      328                            0      1,852 K Unknown         暂缺
wmiprvse.exe                  4040                            0      8,096 K Unknown         暂缺
wmiprvse.exe                  4088                            0      4,400 K Unknown         暂缺
notepad.exe                    216 RDP-Tcp#1                  1        440 K Running         AHCJ-WIN2003-2\test
tasklist.exe                  1584 RDP-Tcp#1                  1      4,008 K Unknown         AHCJ-WIN2003-2\test

0x01-10 查看当前登录域

net config workstation

C:\Users\Administrator\Desktop>net config workstation
计算机名                     \\WIN08-WEB
计算机全名                   win08-web.hack.local
用户名                       Administrator
工作站正运行于
        NetBT_Tcpip_{8BF769C5-CA65-4810-907F-038B7869DB89} (000C29B502C8)
        NetBT_Tcpip_{ADFDD8BB-7022-41D8-9F42-0407E9C8D417} (000C29B502BE)
        NetBT_Tcpip_{E707AA31-65E2-4165-AB18-4F54A186BBBA} (000C29B502B4)
软件版本                     Windows Server 2008 R2 Standard
工作站域                     HACK
工作站域 DNS 名称            hack.local
登录域                       WIN08-WEB
COM 打开超时 (秒)            0
COM 发送计数 (字节)          16
COM 发送超时 (毫秒)          250
命令成功完成。

img

0x01-11 远程桌面连接历史记录

cmdkey /l

把凭证取下来->本地解密

cmdkey /l            获得Windows系统的远程桌面连接历史记录

img

0x01-12 查看本机上的用户帐号列表

net user

C:\Users\Administrator\Desktop>net user
\\WIN08-WEB 的用户帐户
-------------------------------------------------------------------------------
Administrator            Guest
命令成功完成。

0x01-13 查看本机用户XXX的信息

net user XXX

C:\Users\Administrator\Desktop>net user administrator
用户名                 Administrator
全名
注释                   管理计算机(域)的内置帐户
用户的注释
国家/地区代码          000 (系统默认值)
帐户启用               Yes
帐户到期               从不
上次设置密码           2019/8/5 13:56:26
密码到期               2019/9/16 13:56:26
密码可更改             2019/8/6 13:56:26
需要密码               Yes
用户可以更改密码       Yes
允许的工作站           All
登录脚本
用户配置文件
主目录
上次登录               2019/10/10 19:35:21
可允许的登录小时数     All
本地组成员             *Administrators
全局组成员             *None
命令成功完成。

0x01-13 查看本机用户XXX的信息

net user /domain        显示所在域的用户名单
net user 域用户 /domain  获取某个域用户的详细信息
net user /domain XXX 12345678 修改域用户密码,需要域管理员权限

img

img

0x02 Windows(域)

nltest /domain_trusts /all_trusts /v /server:192.168.52.2       返回所有信任192.168.52.2的域。
nltest /dsgetdc:hack /server:192.168.52.2                   返回域控和其相应的IP地址,hack是上步骤结果中的一个域


C:\Windows\System32>nltest /domain_trusts /all_trusts /v /server:192.168.52.2
域信任的列表:
    0: HACK hack.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)
       Dom Guid: 50fbcf3b-a8b3-4205-b903-f1bef54dde44
       Dom Sid: S-1-5-21-675002476-827761145-2127888524
此命令成功完成
C:\Windows\System32>nltest /dsgetdc:hack /server:192.168.52.2
           DC: \\WINDOWS_SERVER_
      地址: \\192.168.52.2
     Dom Guid: 50fbcf3b-a8b3-4205-b903-f1bef54dde44
     Dom 名称: HACK
  林名称: hack.local
 DC 站点名称: Default-First-Site-Name
我们的站点名称: Default-First-Site-Name
        标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS 0x1C000
此命令成功完成

img

net user /do            获取域用户列表

img

net group "domain admins" /domain       获取域管理员列表
net group "domain controllers" /domain  查看域控制器(如果有多台)
net group "domain computers" /domain    查看域机器
net group /domain                       查询域里面的工作组

img

img

img

img

net localgroup administrators 本机管理员[通常含有域用户]
net localgroup administrators /domain       登录本机的域管理员
net localgroup administrators workgroup\user001 /add        域用户添加到本机

img

img

Net view                查看同一域内机器列表
net view \\ip           查看某IP共享
Net view \\GHQ          查看GHQ计算机的共享资源列表。
net view /domain        查看内网存在多少个域
Net view /domain:XYZ    查看XYZ域中的机器列表。

img

net accounts /domain    # 查询域用户密码过期等信息
爆破域用户弱口令

img

0x03 Linux

0x03-1 查看当前权限

whoami

img

0x03-2 查看网卡配置

ifconfig

img

0x03-3 查看端口状态(开启了哪些服务,内网IP连接等)

netstat -anpt

img

0x03-4 查看进程状态(开启了哪些服务等)

ps -ef

img

0x03-5 查看管理员的历史输入命令(获取密码,网站目录,内网资产等信息)

cat /root/.bash_history

img

0x03-6 查找某个文件(寻找配置文件等)

find / -name *.cfg

img


   转载规则


《内网边界信息收集》 ske 采用 知识共享署名 4.0 国际许可协议 进行许可。