内网渗透 - 内网信息收集
本机信息搜集
主机信息
标识服务器的类型,确认攻击拿到权限的主机是普通Web服务器、开发测试服务器、公共服务器、文件服务器、代理服务器、DNS服务器、存储服务器等,通过主机的计算机名称和主机内的文件来判断。
用户列表
获取目标主机的用户信息,分析邮件用户,内网[域]邮件用户,通常就是内网[域]用户。
Windows
net user # 工作组环境
net user/domain # 域内环境
Linux
cat /etc/passwd
进程列表
获知目标主机上面运行着什么软件和服务(如安全防护软件、邮件客户端、VPN、FTP等)。
系统命令
Windows:tasklist
Linux:top
第三方工具
D盾等
服务列表
获知目标主机与安全防范工具有关服务[判断是否可以手动开关等],存在问题的服务[权限/漏洞]。
端口列表
获知目标主机开放端口对应的常见服务/应用程序[匿名/权限/漏洞等],利用端口进行信息收集。
Windows
netstat -ano
Linux
netstat -ntulp
补丁列表
获取目标主机系统和其它第三方应用[Java/Oracle/Flash 等]打了哪些补丁,针对补丁进行定向攻击。
Windows
systeminfo # 查看补丁列表
wmic qfe list full # 查看全部补丁
本机共享
本机共享列表/访问权限;
本机访问的域共享/访问权限。
用户习惯分析
通过计划任务、最近打开的文件文档、收藏夹、文档或浏览器历史记录等获取信息,如通过历史记录获取用户最近访问什么系统,通过文档找到内网Web系统的账号密码等。
获取当前用户密码工具
Windows
Linux
浏览器
其他
扩散信息收集
敏感信息收集
摄像头/LED 大屏信息收集
摄像头
利用:
获得人员照片、区域结构、人员流量等
摄像头常见漏洞点:
管理登录弱口令
系统后门
远程代码可执行漏洞
LED大屏
利用:
获得姓名编号部门等员工个人信息,生成暴力破解字典、内部组织架构信息等
LED大屏常见漏洞点:
管理登录弱口令
LED同步控制系统人为拔串行总线插入攻击者电脑
共享目录信息收集
可看作为一个小资料库,可能包含内部通告、要打印的工资表和IT资产等。
- Nmap遍历远程主机共享目录的脚本为 smb-enum-shares.nse
net view # 查看计算机共享目录
数据库信息收集
收集Web系统的后台账号密码,查看身份证信息、员工数据和组织架构等。
高价值文档信息收集
寻找内网攻击中需要的VPN认证凭据、运维的密码本等,能找到企业检查的漏洞报告或服务器安全加固的文档等是最好的。
- 内网员工机器
- 共享文件目录
NFS 信息收集
网络文件系统(Network File System,NFS),表示层协议,能使使用者访问网络上别处的文件,本地NFS客户端应用可透明地读写位于远端NFS服务器上的文件。
NFS服务共享目录配置漏洞,往往因为NFS服务的权限配置不当,可以读取目标主机的任意文件,对根目录也有远程可写的权限,这样就可以远程修改 "/root/.ssh/authorized_keys" 实现远程SSH无密码登录。
showmount -e 目标IP # kali 中查看是否存在此漏洞
Wiki 信息收集
大部分的企业 Wiki 里包含了项目管理、软件研发与测试、硬件研发与测试、生产、人事和IT部门等资料,甚至还可能存在项目文档相关信息等。
- 查找企业子域名,可使用 Wiki 作为二级站点尝试访问
- 使用工具对网段内的 Web 系统进行 Title 探测
SVN 信息收集
SVN,可以让多个员工协同工作、多人共同开发同一个项目、实现共享资源、实现最终集中式的管理。若获得SVN权限,就可以把里面的内容(项目源代码)下载下来,里面存在着大量敏感信息,如配置账号。
备份信息收集
像本地备份的文件、中央备份服务器和远程备份方案等,可能会存在老数据、旧版的系统源码等敏感信息。
- 备份一体机管理平台 弱口令
- 内部私有云盘
- 管理员PC端
端口扫描
常用端口扫描工具
内网拓扑架构分析
- DMZ
- 管理网
- 生产网
- 测试网
netstat 收集网络信息
查看正在建立连接的机器,从而进行内网机器的探测。
路由表收集网络信息
获取路由表内的地址后就可对C段、B段进行探测。
Windows
route print -4
Linux
route -n
MSF
run get_local_subnets
ICMP 收集网络信息
Windows
CMD
for /l %i in (1,1,255) do @ ping 192.168.0.%i -w 1 -n 1 | find /i "ttl="
PowerShell(需下载 Invoke-TSPingSweep.ps1)
powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSweep.ps1;Invoke-TSPingSweep -StartAddress 192.168.0.1 -EndAddress 192.168.0.254 -ResolveHost -ScanPort -Port 80,445,135"
Linux
for i in 192.168.0.{1..254};do if ping -c 3 -w 3 $i &>/dev/null; then echo $i is alived; fi; done
Nbtscan 收集网络信息
一款用于扫描Windows网络的NetBIOS名字信息的程序,可获取PC的真实IP地址和MAC地址。
Windows
nbtscan.exe -m 192.168.0.1/24
Kali
nbtscan -r 192.168.0.1/24
hosts 文件收集网络信息
hosts文件绑定IP对应域名。
Windows
C:\Windows\System32\drivers\etc\hosts
Linux
/etc/hosts
登录日志收集网络信息
查看登录日志获取更多的IP信息。
Windows
管理工具 -> 实践查看器 -> Windows日志 -> 安全
Linux
last
数据库配置文件收集网络信息
通常内网中业务系统的数据库不在同一个机器或不在一个网段内。可以通过攻击任意一个业务系统查看其配置文件,得到数据库服务器的IP,得到IP后进行C段探测获得一些信息资产。
代理服务器收集网络信息
内网中通常都会有代理服务器,大部分机器都会经过其上外网;代理服务器很有可能和目标内网的机器不在同一个网段,可能会通过代理服务器发现一个新C段
Windows
Internet - 连接 - 局域网设置 - 代理服务器
Linux
/etc/profile
常见信息收集命令
ipconfig
ipconfig /all # 查询本机 IP 段,所在域等
net
net user # 本机用户列表
net localgroup administrators # 本机管理员[通常含有域用户]
net user /domain # 查询域用户
net group /domain # 查询域里面的工作组
net group "domain admins" /domain # 查询域管理员用户组
net localgroup administrators /domain # 登录本机的域管理员
net localgroup administrators workgroup\user001 /add # 域用户添加到本机
net group "Domain controllers" # 查看域控制器(如果有多台)
net view # 查询同一域内机器列表
net view /domain # 查询所有域或工作组名
net view /domain:domainname # 指定查询其可用计算机的域或工作组
dsquery
dsquery computer domainroot -limit 65535 && net group "domain computers" /domain # 列出该域内所有机器名
dsquery user domainroot -limit 65535 && net user /domain # 列出该域内所有用户名
dsquery subnet # 列出该域内网段划分
dsquery group && net group /domain # 列出该域内分组
dsquery ou # 列出该域内组织单位
dsquery server && net time /domain # 列出该域内域控制器
第三方信息收集
- NETBIOS 信息收集
- SMB 信息收集
- 空会话信息收集
- 漏洞信息收集等
浙公网安备 33010602011771号