手工 - 内网信息收集

当我们进入内网后，我们首先要判断我们所在的网络环境，

我们可以从3方面来对内网进行信息收集。

判断自己拿下主机的角色(收集本机信息)

对拿下的主机所处的网络环境进行分析判断。

对所处的网络区域进行判断。

判断自己拿下主机的角色(收集本机信息)

本机信息收集包含：

操作系统

权限

内网ip地址段

杀毒软件/补丁情况

开放端口

运行的服务

网络连接情况

共享文件/目录

会话

如果是域内主机的话，操作系统，补丁，杀毒软件等等都是批量安装的。

我们通过收集本机信息可以进一步了解到整个域的操作系统，软件，补丁安装，用户命名规范等等，方便进一步渗透测试。

1. 网络配置信息

ipconfig /all

2. 查询操作系统和版本信息

systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

3. 查看安装软件以及版本/路径等

wmic product get name,version 
powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name, version"

4. 查看本机服务信息

wmic service list brief

5. 查询进程信息

tasklist /v
wmic process list brief

常见的杀毒软件进程

"avcenter.exe": "Avira(小红伞)",

"avguard.exe": "Avira(小红伞)",

"avgnt.exe": "Avira(小红伞)",

"sched.exe": "Avira(小红伞)",

"ashDisp.exe": "Avast网络安全",

"rtvscan.exe": "诺顿杀毒",

"ccapp.exe": "Symantec Norton",

"NPFMntor.exe": "Norton杀毒软件相关进程",

"ccSetMgr.exe": "赛门铁克",

"ccRegVfy.exe": "Norton杀毒软件自身完整性检查程序",

"vptray.exe": "Norton病毒防火墙-盾牌图标程序",

"ksafe.exe": "金山卫士",

"QQPCRTP.exe": "QQ电脑管家",

"Miner.exe": "流量矿石",

"AYAgent.exe": "韩国胶囊",

"patray.exe": "安博士",

"V3Svc.exe": "安博士V3",

"avgwdsvc.exe": "AVG杀毒",

"QUHLPSVC.exe": "QUICK HEAL杀毒",

"mssecess.exe": "微软杀毒",

"KSWebShield.exe": "金山网盾",

"rfwmain.exe": "瑞星防火墙",

"kpfwtray.exe": "金山网镖",

"BaiduSdSvc.exe": "百度杀毒-服务进程",

"BaiduSdTray.exe": "百度杀毒-托盘进程",

"BaiduSd.exe": "百度杀毒-主程序",

"SafeDogGuardCenter.exe": "安全狗",

"safedogupdatecenter.exe": "安全狗",

"safedogguardcenter.exe": "安全狗",

"SafeDogSiteIIS.exe": "安全狗",

"SafeDogTray.exe": "安全狗",

"SafeDogServerUI.exe": "安全狗",

"D_Safe_Manage.exe": "D盾",

"d_manage.exe": "D盾",

"yunsuo_agent_service.exe": "云锁",

"yunsuo_agent_daemon.exe": "云锁",

"hipstray.exe": "火绒",

"wsctrl.exe": "火绒",

"usysdiag.exe": "火绒",

"SPHINX.EXE": "SPHINX防火墙",

"bddownloader.exe": "百度卫士",

"baiduansvx.exe": "百度卫士-主进程",

"AvastUI.exe": "Avast!5主程序"

6. 查看启动程序信息

wmic startup get command,caption

7. 查看计划任务信息

schtasks /query /fo LIST /v

Tips: 可能会遇到 “错误: 无法加载列资源。” 原因是cmd 编码导致执行 chcp 437 即可，但是无法打印出非ascii字符。（非ascii字符都变问号"?"）

8. 查看主机开机时间

net statistics workstation

9. 查询用户列表

net user
net localgroup administrators
query user||qwinsta

10. 列出或断开本地计算机与所连接的客户端之间的会话

net session

11. 查看端口列表

netstat -anp
netstat -ano
-a 显示所有 -n 不用别名显示，只用数字显示 -p 显示进程号和进程名 -o 显示拥有的与每个连接关联的进程 ID。

tips: 根据开放的端口，来判断本机器在内网中充当的角色。

12. 查看补丁列表

systeminfo
wmic qfe get Caption,Description,HotFixID,InstalledOn

Tips: 注意系统版本，补丁信息及更新频率，域内主机通常为批量打补丁。

13. 查询本机共享列表

net share
wmic share get name,path,status

14. 查询路由表及所有可用接口的路由表

arp -a
route print

15. 查看防火墙相关配置

关闭防火墙：

netsh firewall show config

1. Windows Server 2003 之前系统。

netsh firewall set opmode disable

1. Windows Server 2003 之后系统。

netsh advfirewall set allprofiles state off

修改防火墙配置：

Windows Server 2003系统及以前的版本，允许指定应用程序全部连接。

netsh firewall add allowedprogram c:\nc.exe "allow nc" ennable

Windows Server 2003 以后的系统版本。

// 允许指定应用程序连入

netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"

// 允许指定应用程序连出

netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"

允许3389端口放行。

 netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=alow

16. 查看并开启远程连接服务

reg query "hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\RDP-Tcp" /v portnumber

Tips: 输出为16进制解码即可。

Windows Server 2003开启3389方法。

wmic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

Windows Server 2008 和Windows Server 2012开启3389方法运行下面三条命令。

wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1
wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

Tips: 需要在管理员权限下运行。

17. 查看当前权限

 whoami
hostname

Windows 7下获取System权限。

sc create syscmd binPath= "cmd /K start" type= own type=interact // 创建任务
net start syscmd // 运行 syscmd 任务
sc delete syscmd // 删除 syscmd 任务

18. 查看域SID

whoami /all

19. 判断是否存在域

1. 通过网络配置信息来查询是否存在域。

ipconfig /all

Tips: 如果存在多网卡（内网卡和外网卡）可能是边界服务器。

2. 通过查询系统详细信息来判断是否存在域。

systeminfo|findstr "Domain"
systeminfo|findstr "域"

3. 查看域当前的时间

net time /domain

4. 查看当前登陆域

net config workstation

20. 查看域或工作组中的计算机列表

net view /domain

http://www.secbook.info/index.php/archives/56.html（文章部分参考）

kevin博客：http://akevin.cn