内网安全攻防(二)

内网信息收集

2.1 概述

  • 我是谁?——对当前机器角色的判断
  • 这是哪?——对当前机器所处网络环境的拓扑结构进行分析和判断
  • 我再哪?——对当前所处区域的判断

2.2 收集本机信息

  • 手动收集信息
    1. 查询网络配置信息:ipconfig /all
    2. 查询操作系统及软件的信息
    - 查询操作系统和版本信息:systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
    - 查看系统体系结构:echo %PROCESSOR_ARCHITECTURE%
    - 查看安装的软件及版本、路径等:wmic product get name,version
    3. 查询本机服务信息:wmic service list brief
    4. 查询进程列表:tasklist,wmic process list brief
    5. 查询启动程序信息:wmic startup get command,caption
    6. 查看计划任务:schtasks /query /fo LIST /V
    7. 查看主机开机时间:net statistics workstation
    8. 查询用户列表:net user,net localgroup administrators,query user || qwinsta
    9. 列出或断开本地计算机与所连接的客户端之间的会话:net session
    10. 查询端口列表:netstat -ano
    11. 查询补丁列表:systeminfo,wmic qfe get Captioin,Description,HotFixID,InstalledOn
    12. 查询本机共享列表:net share,wmic share get name,path,status
    13. 查询路由表及所有可用接口的ARP缓存表:route print,arp -a
    14. 查询防火墙相关配置
    - 关闭防火墙:netsh advfirewall set allprofiles state off
    - 查看防火墙配置:netsh firewall show config
    - 修改防火墙配置
    - 允许指定程序进入:netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe
    - 允许指定程序出:netsh advfirewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"
    - 允许3389端口放行:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
    - 自定义防火墙存储位置:netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log

    1. 查看代理配置情况:reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    2. 查询并开启远程连接服务 :REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /V PortNumber
  • 自动收集信息
    - wmic
    - Empire

2.3 查询当前权限

  • whoami
  • net user XXX /domain

2.4 判断是否存在域

  • ipconfig
  • systeminfo
  • net config workstation
  • net time /domain

2.5 探测域内存活主机

  • 利用NetBIOS快速探测内网——nbtscan
  • 利用ICMP协议快速探测内网——ping
  • 通过ARP扫描探测内网——arpscan
  • 通过常规TCP/IP端口扫描内网——ScanLine

2.6 扫描域内端口

  • 利用telnet命令扫描
  • S扫描器
  • metasploit端口扫描
  • PowerSploit的Invoke-portscan.ps1脚本
  • Nishang的Invoke-PortScan模块
  • 端口banner信息

2.7 收集域内基础信息

  • 查询域:net view /domain
  • 查询域内所有计算机:net view /domain:HACKE
  • 查询域内所有用户组列表:net group /domain
  • 查询所有域成员计算机列表:net group "domain computers" /domain
  • 获取域密码信息:net accounts /domain
  • 获取域信任信息:nltest /domain_trusts

2.8 查找域控制器

  • 查看域控制器的机器名:nltest /DCLIST:hacke
  • 查看域控制器的主机名:Nslookup -type=SRV_ldap_tcp
  • 查看当前时间:net time /domain
  • 查看域控制器组:net group "Domain Controllers" /domain

2.9 获取域内的用户和管理员信息

  • 查询所有域用户列表
    • net user /domain
    • wmic useraccount get /all
    • dsquery user
    • net localgroup administrators
  • 查询域管理员用户组
    • net group"domain admins" /domain
    • net group "Enterprise Admins" /domain

2.10 定位域管理员

在一个域中,当计算机加入域后,会默认给域管理员赋予本地系统管理员权限。即系统会自动将域管理员组添加到本地系统管理员组中
定位域管理员的常规渠道,一是日志,二是会话。

常用工具:

  1. psloggedon.exe
  2. PVEFindADUser.exe
  3. netview.exe
  4. Nmap的NSE脚本——smb-enum-sessions.nse
  5. PowerView脚本
  6. Empire的user_hunter模块reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

2.11 查找域管理进程

一、本机检查

  1. 获取域管理员列表:net group "Domain Admins" /domain
  2. 列出本机的所有进程及进程用户:tasklist /v
  3. 寻找进程所有者为域管理员的进程

二、查询域控制器的域用户会话

  1. 查询域控制器列表:net group "Domain Controllers" /domain
  2. 收集域管理员列表:net group "Domain Admins" /domain,LDAP查询
  3. 收集所有活动域的会话列表:NetSess -h
  4. 交叉引用域管理员列表与活动会话列表

三、查询远程系统中运行的任务

  1. 收集域管理员列表:net group "Domain Admins" /domain
  2. 交叉引用IP进程列表与域管理员列表

四、扫描远程系统的NetBIOS信息

  1. 某些版本的Windows操作系统允许用户通过NetBIOS查询已登录用户
  2. 收集域管理员列表
  3. 交叉引用域管理员列表和查询结果获得活动会话

2.12 域管理员模拟方法简介

  • 如果已获得meterpreter会话,则可以通过Incognito来模拟域管理员或者添加一个域管理员,通过尝试遍历系统中所有可用的授权令牌来添加新的管理员

2.13 利用PowserShell收集域信息

2.14 域分析工具BloodHound

2.15 敏感数据的防护

一、资料、数据、文件的定位流程

  • 定位内部人事组织结构
  • 在内部人事组织结构中寻找需要监视的人员
  • 定位相关人员的机器
  • 监视相关人员存放文档的位置
  • 列出存放文档的服务器的目录

二、重点核心业务机器及敏感信息防护

  • 核心业务机器
  • 敏感信息和敏感文件

三、应用与文件形式信息的防护

2.16 分析域内网段划分情况及拓扑结构

  • 基本架构
  • 域内网段划分
  • 多层域结构
  • 绘制内网拓扑图
上一篇:.net core DbFirst 结合Mysql


下一篇:chrome浏览器出现您的链接不是私密链接的解决办法