致谢
感谢字节脉搏的公开课,关于内网的安全知识学习到了很多,在此整理了一下课程的精华内容和自己的一些理解,方便自己时刻复习了
公开课录播:北京字节脉搏科技有限公司公益公开课
大致流程
这里根据初步了解做一个大概的流程图
进入内网 方式:WEBSHELL、WIFI进入、个人PCshell、其他设备、直接在内网中进行渗透
├─内网穿透frp、cs、msf
├─信息收集
│ ├─本机信息收集
│ │ ├─用户权限
│ │ ├─杀毒软件
│ │ ├─所在IP端
│ │ ├─开放端口
│ │ ├─安装的补丁
│ │ └─ ...
│ ├─域内信息收集
│ │ ├─存活主机探测
│ │ ├─域内主机开启的服务和端口
│ │ ├─堡垒机
│ │ ├─域用户的数据
│ │ ├─域管理员信息
│ │ ├─敏感的服务系统
│ │ └─ ...
│
├─横向渗透
│ ├─存活主机的web端入口
│ ├─数据库、web站点的备份文件
│ ├─主机的系统漏洞
│ └─主机的远程桌面,teamview
|(授权渗透测试到此即可结束)
|
├─权限维持
│ ├─获取密码
│ ├─更改注册表信息
│ ├─ssh后门
│ ├─常用后门程序
│
├─痕迹清理,日志删除
图中每一个小项都是一个比较丰富的知识点,主要是把主要的思路整理出来
信息收集
主机信息收集
这里把常用的命令列举出来,主要是查看本机的端口、序列号、补丁、运行程序等重要信息
查询网络配置信息 ipconfig/all
查询操作系统及安装软件的版本信息
英文:systeminfo | findstr /B /C:"OS Name" /C:"OS Version”
中文:systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
软件查询: wmic product get name,version
Powershell: powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
查询本机服务信息 wmic service list brief
查询进程列表 tasklist -v #显示运行程序的详细信息
查询启动程序信息 wmic startup get command,caption
查询计划任务及开机时间
计划任务: schtasks /query /fo LIST /v
开机时间: net statistics workstation
查询用户列表
用户: Net user
获取本地管理员(含域): net localgroup administrators
查询当前在线用户: query user || qwinsta
读取密码: mimikatz
对于在内网中常见的杀毒程序进程也做一个汇总
域信息收集
获取域用户列表 net user /do
获取域管理员列表 net group ”domain admins" /domain
查看域控制器(如果有多台) net group “domain controllers” /domain
查看域机器 net group "domain computers" /domain
查询域里面的工作组 net group /domain
本机管理员[通常含有域用户] net local group administrators
登录本机的域管理员 net localgroup administrators /domain
查看同一域内机器列表 net view
查看某IP共享 net vi ew \\ip
查看HHH计算机的共享资源列表 net view \\HHH
查看内网存在多少个域 net view /domain
查看ZZZ域中的机器列表。 net view /domain: ZZZ
查询域用户密码过期等信息 net accounts /domain
存活主机探测
使用工具对域内主机进行探测
利用ICMP协议快速探测内网
For /L %i in (1,1,254) Do @ping –w 1 –n 1 10.11.42.%i | findstr “TTL=”
利用cobaltstrike探测内网
portscan 192.168.74.0-192.168.74.255 445 icmp 1024
portscan 192.168.74.0-192.168.74.255 445 arp 1024
利用msf探测内网
auxiliary/scanner/discovery/arp_sweep
auxiliary/scanner/discovery/udp_sweep
auxiliary/scanner/ftp/ftp_version
auxiliary/scanner/http/http_version
auxiliary/scanner/smb/smb_version
敏感系统定位(横向渗透准备)
敏感文件收集
查找C盘下所有的doc文档 Dir c:\*.doc /s
查询password敏感文件名 Dir /b/s password.txt
查询config文件 Dir /b/s config.*
收集当前主机中的明文密码 Dir /s *pass* == *cred* == *vnc* ==*.config*
linux环境下
查询存在敏感信息的web文件 shell find ./ -name “*.php” | xargs egrep –i “user|pass|pwd|uname|login|db_”
敏感服务器定位
重点系统:
| 重点系统 | 存储敏感信息 |
|---|---|
| Oa办公系统服务器 | √ |
| 财务应用系统服务器 | √ |
| 高管及人事系统 | √ |
| 数据库管理系统 | √ |
| 邮件管理服务器 | √ |
| 文件管理服务器 | √ |
| 产品管理系统服务器 | √ |
这里把内网渗透的信息收集的内容整理了一部分,后面会把横向渗透的一些内容再次总结学习一下。