內網信息收集

 內網信息收集

作者 :  Noth

前言 :

上次寫到橫向滲透的手法，熊熊忘記了寫到信息收集的部份，一開始最重要的並不是直接開打，而是要先仔細查看當前內網的環境(大概佔了時間的 60-70 %)，例如目前機器的權限、內網是否有域等，這時候信息收集就顯得非常重要了，否則你會不知道自己正在做什麼 xD

內文 : 

實作環境 :
攻擊者 :  192.168.220.128 (Kali , 外網)
受害者 :  192.168.220.128、10.10.10.12 (Windows 2008 , 域成員 , 可連網 , 雙網卡)
受害者 :  10.10.10.20 (Windows 2016 , AD , 域名為 test123.tw , 內網) 

當前主機收集信息

查看當前用户、權限 : 
whoami /all  (查看當前域並獲取域 SID)

查看網絡配置情況 :
ipconfig /all (查詢本機IP段，所在域等)

路由信息 :
route print

查看 arp 緩存，内網主機 :
arp -a 

查看操作系統信息 :
systeminfo

執行以下命令直接查看操作系統及版本 :
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"

查看系統體系結構 (x64/x86) : 
echo %PROCESSOR_ARCHITECTURE%

查看本機共享 :
net share
wmic share get name,path,status

查看本機進程 : 
tasklist

wmic process

wmic process list brief

顯示進程的路徑、名稱、pid :
wmic process get processid,executablepath,name

查看本機服務 : 
wmic service list brief

查看端口信息 :
netstat -ano
可以看到當前主機端口開與使用情況、與哪些主機建立了連接

查看主機開機時間 :
net statistics workstation

域内信息收集

判斷是否存在域 : 
net config workstation (查看當前計算機名，全名，用户名，系統版本，工作站域，登入的域等)
net view /domain  (查看域)

域名若為 WORKGROUP，則表示當前不是域環境，登入域為當前登入的域。
systeminfo

查看主域控制器 :
net time /domain  (主域服務器會同時作為時間服務器)

ping 主域控制器(DC IP) :

查看域控制器組 : 
net group "domain controllers" /domain

nltest /DCLIST:test123.tw (查看域控制器主機名，test123.tw 為域名)

定位域控制器 ip :
ping WIN-LF301VFT8RI.test123.tw  (WIN-LF301VFT8RI.test123.tw為域控制器名)

NetBIOS 快速掃描内網存活 : 

將 nbtscan.exe 上傳到目標主機上，然後直接輸入ip段即可運行掃描：
nbtscan.exe 192.168.1.0/24
參數解釋 : 
SHARING：該主機存在正在運行的文件和打印共享服務
DC：該機器可能是域控制器
?：沒有識別處該機器的 NetBIOS 資源

掃描兩個網段：

利用 Ping 探測內網主機存活 (ICMP) :

 for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.10.%I | findstr "TTL="

arp-scan.exe 工具，基於ARP的主機探測。

arp-scan.exe -t 10.10.10.0/24

來匆匆去匆匆，一轉眼就到三月份了，筆者比在學生的時期懂的東西還要再更多一些了，最近筆者偶然間也有看到台電 Bug Bounty 漏洞懸賞計畫，沒意外的話之後應該會去頒獎 xD，在實際滲透 Web 的過程中發現自己挖掘漏洞的思路及利用漏洞這塊經驗還有待加強，看到別人挖到 IDOR 到 RCE 或直接挖到 SQL Injection，自己不由得感到欽佩，畢竟自己沒挖掘到漏洞，之後如果順利去頒獎的話在一邊和那些大神們交流xD 內網玩熟了以後，筆者應該會花點時間去學習代碼審計(挖掘 RCE) 這段以及 AD 的部分(APT手法)，例如用 AD 的 GPO 來進行派送指令或惡意程式之類的，讓自己的能力成為業界的即戰力，而不是嘴上說說而已，筆者還有一段路要走 xD。