红队在突破后可以采集的信息(攻击视角)
在获得初始立足点(例如一台普通用户电脑的权限)后,红队的目标是横向移动和权限提升,最终达成攻击目标(如获取核心数据)。在这个过程中,他们会系统性地采集以下信息:
-
网络环境信息
网络拓扑:* 通过ipconfig /all,route print等命令查看IP地址、网关、DNS服务器。
内部网段:* 使用扫描工具(如nmap, masscan)探测相邻IP和其他网段,发现存活主机和开放端口。
流量监听:* 检查是否有明文传输的密码或敏感信息(如ARP欺骗、嗅探)。 -
用户与权限信息
当前用户权限:*whoami,net user [username],判断当前账户是普通用户、本地管理员还是域用户。
登录会话信息:*query user,net session,查看哪些用户登录了当前机器。
本地用户和组:*net user,net localgroup administrators,寻找可用的本地管理员账户。
域内信息(如果存在AD):*
域名称:*net view /domain
域用户/计算机/组:* 使用net user /domain,net group "domain computers" /domain,net group "domain admins" /domain等命令枚举。
更深入的信息收集:* 使用BloodHound等工具或PowerView等脚本,自动化分析域内的权限关系(如哪些用户对哪些计算机有管理员权限、哪些用户是敏感组的成员等),找出攻击路径。 -
主机信息
系统信息:*systeminfo,查看操作系统版本、补丁情况,寻找可用于提权的漏洞。
进程和服务:*tasklist,net start,寻找以高权限运行的可利用服务或安全软件进程。
计划任务:*schtasks,寻找可以修改或触发的任务。
安装的软件/补丁:*wmic product get name,version,寻找带有漏洞的旧版软件。 -
凭证信息 - 这是红队的“金矿”
密码哈希:* 使用Mimikatz等工具从内存的LSASS进程中抓取明文密码或密码哈希。这是最常见的横向移动手段(Pass-the-Hash攻击)。
保存的凭证:* 查找浏览器、FTP客户端、远程桌面连接等保存的密码。
配置文件:* 搜索包含密码、API密钥的配置文件(如web.config, .env文件)。
Kerberos票据:* 抓取Kerberos TGT或服务票据,用于黄金票据/白银票据攻击。 -
共享与数据
网络共享:*net view \\[computername],net share,枚举可访问的共享文件夹。
访问共享:* 尝试访问这些共享,寻找敏感数据、配置文件或可写目录(用于投放恶意软件)。 -
应用
数据库:* 发现内网的数据库服务(如MySQL, MSSQL, Oracle),并尝试使用收集到的凭证进行连接。MSSQL的xp_cmdshell是经典的提权点。
内部应用系统:* 访问内部的OA、CRM、代码仓库(GitLab)、CI/CD平台(Jenkins)等,这些系统往往权限较高或存有敏感信息。
内网扫描案例
TCP方式扫描一个C段下的存活主机
nmap -sn -PE -T4 192.168.0.0/24
速度更快的方式
sudo nmap -sP --min-hostgroup 1024 --min-parallelism 1024 -iL ip_input.txt -oN ip_output.txt
# 参数解释
--min-hostgroup
--min-parallelism
https://nmap.org/man/zh/man-performance.html
-sP Ping扫描方式 # 如果有防护,建议修改扫描方式
https://nmap.org/man/zh/man-bypass-firewalls-ids.html
-iL 从列表中输入
ip_input.txt 在里面输入你想扫描的网段;
-oN Grep输出
https://nmap.org/man/zh/man-output.html
ip_output.txt 扫描结果将记录在这个文体;
蓝队
如上也指明了内网安全建设的重点:保护AD、实施严格的分段、强制使用MFA、部署EDR和监控、贯彻最小权限原则。
参考
https://www.jianshu.com/p/7a6b3a61678c?appinstall=0
https://www.cnblogs.com/-mo-/p/11908260.html
浙公网安备 33010602011771号