内网信息收集
- 2.1 概述
- 2.2 收集本机信息
- 2.3 查询当前权限
- 2.4 判断是否存在域
- 2.5 探测域内存活主机
- 2.6 扫描域内端口
- 2.7 收集域内基础信息
- 2.8 查找域控制器
- 2.9 获取域内的用户和管理员信息
- 2.10 定位域管理员
- 2.11 查找域管理进程
- 2.12 域管理员模拟方法简介
- 2.13 利用PowserShell收集域信息
- 2.14 域分析工具BloodHound
- 2.15 敏感数据的防护
- 2.16 分析域内网段划分情况及拓扑结构
2.1 概述
- 我是谁?——对当前机器角色的判断
- 这是哪?——对当前机器所处网络环境的拓扑结构进行分析和判断
- 我再哪?——对当前所处区域的判断
2.2 收集本机信息
-
手动收集信息
1. 查询网络配置信息:ipconfig /all
2. 查询操作系统及软件的信息
- 查询操作系统和版本信息:systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
- 查看系统体系结构:echo %PROCESSOR_ARCHITECTURE%
- 查看安装的软件及版本、路径等:wmic product get name,version
3. 查询本机服务信息:wmic service list brief
4. 查询进程列表:tasklist,wmic process list brief
5. 查询启动程序信息:wmic startup get command,caption
6. 查看计划任务:schtasks /query /fo LIST /V
7. 查看主机开机时间:net statistics workstation
8. 查询用户列表:net user,net localgroup administrators,query user || qwinsta
9. 列出或断开本地计算机与所连接的客户端之间的会话:net session
10. 查询端口列表:netstat -ano
11. 查询补丁列表:systeminfo,wmic qfe get Captioin,Description,HotFixID,InstalledOn
12. 查询本机共享列表:net share,wmic share get name,path,status
13. 查询路由表及所有可用接口的ARP缓存表:route print,arp -a
14. 查询防火墙相关配置
- 关闭防火墙:netsh advfirewall set allprofiles state off
- 查看防火墙配置:netsh firewall show config
- 修改防火墙配置
- 允许指定程序进入:netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe
- 允许指定程序出:netsh advfirewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"
- 允许3389端口放行:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
- 自定义防火墙存储位置:netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log- 查看代理配置情况:
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings - 查询并开启远程连接服务 :
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /V PortNumber
- 查看代理配置情况:
-
自动收集信息
- wmic
- Empire
2.3 查询当前权限
whoaminet user XXX /domain
2.4 判断是否存在域
ipconfigsysteminfonet config workstationnet time /domain
2.5 探测域内存活主机
- 利用NetBIOS快速探测内网——nbtscan
- 利用ICMP协议快速探测内网——
ping - 通过ARP扫描探测内网——arpscan
- 通过常规TCP/IP端口扫描内网——ScanLine
2.6 扫描域内端口
- 利用telnet命令扫描
- S扫描器
- metasploit端口扫描
- PowerSploit的Invoke-portscan.ps1脚本
- Nishang的Invoke-PortScan模块
- 端口banner信息
2.7 收集域内基础信息
- 查询域:
net view /domain - 查询域内所有计算机:
net view /domain:HACKE - 查询域内所有用户组列表:
net group /domain - 查询所有域成员计算机列表:
net group "domain computers" /domain - 获取域密码信息:
net accounts /domain - 获取域信任信息:
nltest /domain_trusts
2.8 查找域控制器
- 查看域控制器的机器名:
nltest /DCLIST:hacke - 查看域控制器的主机名:
Nslookup -type=SRV_ldap_tcp - 查看当前时间:
net time /domain - 查看域控制器组:
net group "Domain Controllers" /domain
2.9 获取域内的用户和管理员信息
- 查询所有域用户列表
net user /domainwmic useraccount get /alldsquery usernet localgroup administrators
- 查询域管理员用户组
net group"domain admins" /domainnet group "Enterprise Admins" /domain
2.10 定位域管理员
在一个域中,当计算机加入域后,会默认给域管理员赋予本地系统管理员权限。即系统会自动将域管理员组添加到本地系统管理员组中
定位域管理员的常规渠道,一是日志,二是会话。
常用工具:
- psloggedon.exe
- PVEFindADUser.exe
- netview.exe
- Nmap的NSE脚本——smb-enum-sessions.nse
- PowerView脚本
- Empire的user_hunter模块reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
2.11 查找域管理进程
一、本机检查
- 获取域管理员列表:
net group "Domain Admins" /domain - 列出本机的所有进程及进程用户:
tasklist /v - 寻找进程所有者为域管理员的进程
二、查询域控制器的域用户会话
- 查询域控制器列表:
net group "Domain Controllers" /domain - 收集域管理员列表:
net group "Domain Admins" /domain,LDAP查询 - 收集所有活动域的会话列表:
NetSess -h - 交叉引用域管理员列表与活动会话列表
三、查询远程系统中运行的任务
- 收集域管理员列表:
net group "Domain Admins" /domain - 交叉引用IP进程列表与域管理员列表
四、扫描远程系统的NetBIOS信息
- 某些版本的Windows操作系统允许用户通过NetBIOS查询已登录用户
- 收集域管理员列表
- 交叉引用域管理员列表和查询结果获得活动会话
2.12 域管理员模拟方法简介
- 如果已获得meterpreter会话,则可以通过Incognito来模拟域管理员或者添加一个域管理员,通过尝试遍历系统中所有可用的授权令牌来添加新的管理员
2.13 利用PowserShell收集域信息
2.14 域分析工具BloodHound
2.15 敏感数据的防护
一、资料、数据、文件的定位流程
- 定位内部人事组织结构
- 在内部人事组织结构中寻找需要监视的人员
- 定位相关人员的机器
- 监视相关人员存放文档的位置
- 列出存放文档的服务器的目录
二、重点核心业务机器及敏感信息防护
- 核心业务机器
- 敏感信息和敏感文件
三、应用与文件形式信息的防护
2.16 分析域内网段划分情况及拓扑结构
- 基本架构
- 域内网段划分
- 多层域结构
- 绘制内网拓扑图