介绍

临时打算写个关于内网渗透中信息收集的文章,便于自己忘记的时候可以直接打开阅读,多数知识都来源于网络,然后加上自己的看法等。脑袋里暂时想到的不多,就先把想到的写出来记录下。

感觉没啥实际用处,大多都是理论性,看个乐就行。

通用的信息收集

很多情况下获取到权限,需要收集的信息可以包括但不限于一下内容:

1. 杀软情况,是否有杀软;判断你是否可以大干一场还是要畏手畏脚。
   tasklist /v

2. 运行了那些服务,如Web+数据库等,可根据开放端口以及连接情况判断
   netstat -ano|findstr LISTEN
   netstat -ano|findstr EST

3. 管理员上线时间,判断管理员是否是个好管理员。
   net user administrator|findstr 上次登录

4. 系统补丁,我基本没看,直接梭哈;能提是运,不能提是命。
   systeminfo

5. 系统版本,位数;上传某些文件时根据这个来。
   wmic os get caption,OSArchitecture

6. 用户在线情况(仅高权限可查);判断是否有人正在用机器。
   quser

7. 密码更改时间;大致判断目前获取到的密码复用性如何。
   net user administrator|findstr 上次设置密码

工作组信息收集

定位目标

收集工作组的信息,可以使用如下命令进行收集。由于没有实际环境,且务必要浪费时间去搭建环境,所以就直接将对应的命令记录下了。

该命令我搜索出来的时候说是查询有多少个域的,但是实际上这压根就不是用来测试是否存在域的,看别人的文章可能是被/domain这个误导了,并不是关于域的。

net view /domain	// 查询所有工作组的名称

使用上述命令后,可能查询出来很多个结果或者就只有一个**WORKGROUP**,比如查询出来后有如下结果:

C:\Windows\System32>net view /domain
WORKGROUP	// 工作组名称叫WORKGROUP
SERVER		// 工作组名称叫SERVER
USERPC		// 工作组名称叫USERPC

获取到各工作组的名称后有什么用呢?在获取到工作组名称后,可以查询每个工作组下面的机器名称,然后可以根据自己的经验判断机器名称运行的业务,从而能够帮助自己更快的定位目标。

查询工作组中所有机器的名称使用如下命令进行查询

net view /domain:SERVER		//查询SERVER这个工作组中所有的机器

使用上述命令后,一般情况下会返回出指定工作组中所有的机器名称,一般以如下格式返回:

C:\Windows\System32>net view /domain:SERVER
\\BACKUP
\\WEB
\\DB1

获取到机器名称后,根据需求定位好自己的目标,定位后可以使用ping命令获取到对应机器的IP,从而开展下一步工作。

目标信息收集

在工作组中定位了目标之后,就是尽可能的收集目前有用的信息,一般都是收集密码信息。还有就是定位了目标后我们也要明确自己的动作,如果定位了目标的DB机器是我们的目标,要考虑清楚我们是需要获取到DB的服务器权限还是DB的数据库权限,以及我们能获取到什么权限,当然两个都有最好。

  • 获取DB的服务器权限

1.想一想自己获取到DB的服务器权限能干什么

2.目前我们需要什么

3.不建议用DB开代理

4.如果只有DB服务器权限,没有数据库权限,那么最终只能尝试登录远程桌面采用本地用户认证方式登录数据库(Windows+mssql)。

  • 获取DB的数据库权限

1.想一想我们获取到DB的权限后能干什么

2.我们的最终目的是什么

3.判断数据库用户权限,高权限下想办法获取服务器权限。

  • 需要收集的信息从什么地方来

1.各种配置文件

2.抓取服务器密码

3.凭运气

域内信息收集

判断是否存在域

判断是否存在域比较简单,直接net time /domian命令即可,如果返回出如下,则一般表明没有域:

D:\MyCodeData\Go\Program\GoTools\Scan\PortScan>net time /domain
找不到域 WORKGROUP 的域控制器。
请键入 NET HELPMSG 3913 以获得更多的帮助。
D:\MyCodeData\Go\Program\GoTools\Scan\PortScan>

如果存在域会返回如 xx.xx.xx 的时间是 xxxx

收集信息

确定当前机器在域内后,可以使用下述命令暂时收集有用信息:

1. 查看域用户;如果大域不太建议查,因为返回结果可能会巨多。
   net user /domain

2. 查看域内的组;其中有很多组,包括了用户组,管理员组,域控制器组等。
   net group /domain

3. 查看域内的机器;获取域内所有机器的名字,若要定位ip,直接ping即可。
   net group "domain computer" /domain

4. 查看域管理员;看看哪些用户是域管理员权限,拿到一个基本就结束了。
   net group "domain admins" /domain

5. 定位域控制器;没啥好说的,最终目标就是要去这。
   net group "domain controllers" /domain

上述几条命令基本就能大致确定域内的一些信息,然后可以根据手里面有的密码,去尝试能否登录域管机器。如果目前机器是在域内的,那么就可以看一看是否运行了域管用户的进程。

结束

困,睡觉,此文毫无技术含量!