Bu1'Blog

如果能控制粗鄙的狂喜,就不会有深入骨髓的悲伤。

0%

内网渗透基础之信息收集

本篇主要是记录一些收集内网信息的方法以及常用的命令

本机信息收集

  • net view 获取当前组的计算机名,查看同一域/工作组的计算机列表

  • ipconfig /all 查询网络配置信息,判断是否有域的话可以根据DNS的后缀

  • nslookup 通过反向解析查询命令nslookup来解析域名的ip地址。 (nslookup 主机名)

  • systeminfo 查询本机的系统信息

  • tasklist 查询进程信息

  • net localgroup administrators 查询本地管理组信息(如果是域内机器会存在域内的信息)

  • query user || qwiinsta 查询当前在线用户

  • netstat -ano 查看当前的端口信息

  • 关闭防火墙

    • 03之前:netsh firewall set opmode disable
    • 03之后(管理员):netsh advfirewall set allprofiles state off
  • netsh firewall show config 查看防火墙的配置

  • net user hack hack /add /domain 添加普通域用户

  • net group “Domain Admins” hack /add /domain 将普通域用户 提升为域管理员。

  • 常见的杀软进程名:

    进程 软件名称
    360SD.EXE 360杀毒
    360TRAY.EXE 360实时保护
    ZHUDONGFANGYU.EXE 360主动防御
    KSAFETRAY.EXE 金山卫士
    SAFEDOGUPDATECENTER.EXE 服务器安全狗
    AVGUARD.EXE 小红伞

域信息收集

  • whoami /all 查询域SID
  • net user XXX /domain 查询当前指定账号的详细信息
  • net config workstation 查询当前登录域以及登录用户的信息
  • 判断主域 net time domain
    • 存在域,但是当前用户不是域用户则提示权限不够
    • 存在域,并且当前用户是域用户则打印出当前时间
    • 不存在域则直接打印出不存在域
  • net group “Domain Controllers” /domain 查找域控

探测域内存活主机

NetBIOS

NetBIOS 是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是给局域网提供网络及其他特殊功能。几乎所有的局域网都是在NetBIOS 协议的基础上工作的, NetBIOS 的工作流程是正常的机器名解析查询应答过程,推荐优先使用。
直接上传使用即可

1
nbtscan-1.0.35.exe 192.168.226.0/24

image-20200117141746310

icmp协议探活

ICMP就是一个“错误侦测与回报机制”,其目的就是让我们能够检测网路的连线状况﹐也能确保连线的准确性。当路由器在处理一个数据包的过程中发生了意外,可以通过ICMP向数据包的源端报告有关事件。

1
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.226.%I | findstr "TTL="

image-20200117142203578

Arp扫描

1
"arp-scan(x64).exe" -t 192.168.226.0/24

image-20200117142433638

常规TCP/UDP端口扫描

scanline, Windows 全版本通用,体积小,仅使用单个文件,同时支持对TCP/UDP
的端口扫描。有点久,就不等了,直接中断了。

1
2
scanline.exe -h -t 22,80-89 -u 53,161,137,139 -O c:\windows\temp\log.txt -p
192.168.226.1-254 /b

image-20200117143316113

探测端口信息

我们关注三点:

  • 端口的Banner信息
  • 端口上运行的服务
  • 常见应用的默认端口

Telnet

但现在大多数多关闭这个服务了,需要重新开启,如果只是想快速地探测某主机的某个常规高危端口是否开放, Telnet 命令是最方便的。

1
telnet 127.0.0.1 80

S扫描器

S 扫描器是早期的一种比较快速的端口扫描工具,特别适合运行在Windows Sever2003 以下的平台上,支持大网段扫描。 S 扫描器的扫描结果默认保存在其目录下的result.txt 文件中。

1
2
S.exe TCP 192.168.1.1 192.168.1.254
445,3389,1433,7001,1099,8080,80,22,23,21,25,110,3306,5432,1521,6379,2049,111256 /Banner /save

msf扫描模块

还没用到过…待续

nmap扫描

nmap扫描器线程比较大,一般有授权才使用

1
2
3
4
5
6
7
nmap -T4 -A -V ip

-A选项用于使用攻击性方式扫描

-T4指定扫描过程使用的时序,总共有6个级别(0-5)级别越高扫描速度越快,但是也容易被防火墙检测并屏蔽掉,在网络情况较好的是可以使用T4

-v 表示显示冗余信息,在扫描的过程中显示扫描的细节

常见端口服务及攻击方式

端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破\嗅探\溢出\后门
22 ssh:远程连接 爆破OpenSSH;28个退格
23 telnet:远程连接 爆破\嗅探
25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68 dhcp 劫持\欺骗
110 pop3 爆破
139 samba 爆破\未授权访问\远程代码执行
143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击\未授权访问
512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令\信息泄漏:源代码
1433 mssql 爆破:使用系统用户登录\注入攻击
1521 oracle 爆破:TNS\注入攻击
2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破\拒绝服务\注入
3389 rdp 爆破\Shift后门
4848 glassfish 爆破:控制台弱口令\认证绕过
5000 sybase/DB2 爆破\注入
5432 postgresql 缓冲区溢出\注入攻击\爆破:弱口令
5632 pcanywhere 拒绝服务\代码执行
5900 vnc 爆破:弱口令\认证绕过
6379 redis 未授权访问\爆破:弱口令
7001 weblogic Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见web攻击\控制台爆破\对应服务器版本漏洞
8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令\Java反序列
9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破\未授权访问

①28次退格键:

这个bug位于Grub2的bootloader中,并且允许你绕过用户名/密码提示。你所需要做的,就是敲击退格键(←backspace)28次以调出Grub‘救援界面’(rescue shell),用户可在这里访问系统上的所有文件。(CVE编号:CVE-2015-8370;版本:2009年12月发行的1.98版到2015年12月的2.02版)