无论是通过外网打点,还是水坑钓鱼,进入内网后的第一步,也是最重要的一步就是信息收集,而且信息收集往往是一直穿插在整个内网渗透过程中。
工作组和域的区分1.ipconfig/all有PrimaryDnsSuffix(主DNS后缀)就说明是域内,空的则当前机器应该在工作组。2.netconfigworkstation=工作组特征=------------------------------------------------软件版本Windows10HomeChina工作站域WORKGROUP登录域MicrosoftAccount------------------------------------------------=域特征=------------------------------------------------工作站域HACK7工作站域DNS名称hack7.local登录域HACK7------------------------------------------------3.systeminfo这里注意字体大小写,工作组一般都是全大写,但是遇到的也有小写的情况,暂时不明白怎么设置的=工作组特征=------------------------------------------------域:WORKGROUP------------------------------------------------=域特征=------------------------------------------------域:hack7.local------------------------------------------------4.nettime/domain=工作组特征=------------------------------------------------找不到域WORKGROUP的域控制器。请键入NETHELPMSG以获得更多的帮助。------------------------------------------------=域特征=[需要域用户才能成功查询]------------------------------------------------\\DC.hack7.local的当前时间是/7/:21:32------------------------------------------------工作组内信息收集
工作组采取的一般都是常规渗透方法,因为工作组一般都是个人和少数服务器。
通常使用的方法有:扫描网段中的web服务,常用的有phpstudy,wampserver等,来寻找搭建的服务漏洞扫描开放端口信息,以及对应的服务,判断是否存在漏洞。扫描主机由于没有更新到最新版本导致的系统漏洞,比如MS17-,补丁号为KBhash抓取,hash注入,hash碰撞,口令爆破,IPC登陆,WMI,未授权访问,文件共享系统。ARP嗅探/欺骗攻击(Cain和Ettercap)DNS劫持,会话劫持。社会工程学...本机信息收集用户系统信息收集
1.查看当前用户权限whoami/all2.查看系统信息systeminfosysteminfo/S..1./Utestlab\test/P"test"查看远程机器的系统配置3.查当前机器的机器名,知道当前机器是干什么的hostname4.查看在线用户,注意管理员此时在不在quser/queryuser5.查当前机器中所有的用户名,开始搜集准备用户名字典netuser6.查当前机器中所有的组名,了解不同组的职能,如:IT,HR,admin,filenetlocalgroup7.查指定组中的成员列表netlocalgroup"Administrators"8.查询本机所有的盘符wmiclogicaldiskgetdescription,name,size,freespace/valuefsutilfsinfodrivesfsutilfsinfovolumeinfoC:
findstr"卷名"查看卷名称,需要管理员权限9.防火墙相关netshfirewallshowstate查看防火墙状态netshfirewallshowconfig查看防火墙配置设置防火墙日志存储位置:netshadvfirewallsetcurrentprofileloggingfilename"C:\Windows\temp\FirewallLOG.log"关闭防火墙:netshfirewallgetopmodedisable(WIN之前)netshadvfirewallsetallprofilesstateoff(WIN之后)允许某个程序的全连接:netshfirewalladdallowdprogramC:\nc.exe"allownc"enable(WIN之前)允许某个程序连入:netshadvfirewallfirewalladdrulename="passnc"dir=inaction=allowprogram="C:\nc.exe"允许某个程序外连:netshadvfirewallfirewalladdrulename="passnc"dir=inaction=allowprogram="C:\nc.exe"10.其他set查看当前机器的环境变量配置,看有没有我们可以直接利用到的语言环境ver查看当前机器的NT内核版本,不弹窗winver查看当前机器的NT内核版本,弹窗,在非图形界面不执行这个命令fsutilfsinfodrives列出当前机器上的所有盘符netshare查看当前机器开启的共享driverquery查看当前机器安装的驱动列表netsharepublic_dir="c:\public"/grant:Everyone,Full设置共享dir/a-r-d/s/b找当前用户可读写目录,可能会很多网络连接信息收集
1.查看tcp/udp网络连接状态信息netstat-ano查看本机所有的tcp,udp端口连接及其对应的pidnetstat-anob查看本机所有的tcp,udp端口连接,pid及其对应的发起程序netstat-ano
findstr"ESTABLISHED"查看当前正处于连接状态的端口及ipnetstat-ano
findstr"LISTENING"查看当前正处于监听状态的端口及ipnetstat-ano
findstr"TIME_WAIT"查看当前正处于等待状态的端口及ip2.查看网络配置ipconfig/all3.查看本地DNS缓存ipconfig/displaydns4.查看路由表routeprint5.查找有价值的内网arp通信记录arp-a6.跟踪本机出口iptracert8.8.8.8软件进程信息收集
1.查看杀*软件wmic/namespace:\\root\securitycenter2pathantivirusproductGETdisplayName,productState,pathToSignedProductExe2.查看本机安装程序wmicproductgetname/valuewmicproductgetname,version3.查看当前机器的进程信息tasklist/svc显示当前机器所有的进程所对应的服务[只限于当前用户有权限看到的进程]tasklist/m显示本地所有进程所调用的dll[同样只限于当前用户有权限看到的进程]tasklist/v寻找进程中有无域管启用的进程,或者杀软进程taskkill/imiexplore.exe/f用指定进程名的方式强行结束指定进程历史凭证信息收集
引用自: