内网渗透之域内信息收集
渗透测试之域内信息收集 Information collection in the domain of intranet pentest来自 :我超怕的 https://www.cnblogs.com/iAmSoScArEd/p/13835618.html
1、查看当前权限
whoami
2、查询域SID
whoami -all
3、查询指定用户的详细信息
net user 需要查询的用户名 /domain
4、查询是否存在域
(1)使用ipconfig
ipconfig -all
执行命令后将会得到网关IP地址、DNS的IP地址、域名、本机是否与DNS服务器处于同一网段等信息
如果存在主DNS后缀,则可以尝试对该域名进行反向解析出IP地址,判断DNS服务器是否与域控制器在同一台服务器上,反向解析命令:
nslookup 域名
#如 nslookup company.com
(2)查询系统详细信息
使用命令:
systeminfo
如果结果中 参数 “域” 有具体的值,且登录服务器为“DC”等域控制器标识,则表示在这个域内。
如果参数“域”为“WORKGROUP”则表示当前服务器不在域内。
(3)查询当前登录域及登录用户信息
net config workstation
"工作站域"或“工作站域DNS名称”为“WORKGROUP”则表示当前服务器不在域内。(截图显示我不在域中)
"工作站域"表示当前域,“工作站域DNS名称”显示域控制器域名。
“登录域”表示当前登录的用户是域用户还是本地用户。(截图显示我当前为微软账号登录)
(4)判断主域
net time /domain
通常域服务器也会同时作为时间服务器使用。
若存在域,当前用户不在域中会提示:发生系统错误,拒绝访问
若存在域,当前用户在域中会提示:XX域 的当前时间是 xxx
若当前网络环境不存在域则提示:找不到WORKGROUP的域控制器,请键入XXXX
5、探测域内存活主机
(1)利用NetBIOS快速探测内网
NetBIOS是局域网程序使用的一种应用程序编程接口,为程序提供了请求低级别服务的统一命令集,为局域网提供了网络及其他特殊功能。几乎所有的局域网都是在NetBIOS协议的基础上工作的。
nbtscan是一个命令行工具,用于扫描本地或远程TCP/IP网络上的开放NetBIOS名称服务器。
使用方式:将该工具上传至目标主机中,使用命令运行即可。
下载地址:http://unixwiz.net/tools/nbtscan.html
nbt.exe 192.168.0.1/24 nbt.exe 192.168.0.1-100 nbt.exe 192.168.0.50
运行结果解释:第一列为存活IP地址,第二列为机器名和所在域的名称,最后一列为该集齐开启的服务列表。
常见服务说明:
参数 | 含义 |
SHARING | 该机器存在正在运行的文件和打印共享服务,不一定有内容共享 |
DC | 该机器可能为域控制器 |
U=USER | 该机器中有登录名为User的用户(不一定准确) |
IIS | 该机器中可能安装了IIS服务器 |
EXCHANGE | 该机器中可能安装了EXCHANGE |
NOTES | 该机器中可能安装了Lotus Notes电子邮件客户端 |
? | 没有是被出该机器的NetBIOS资源 |
(2)利用ICMP协议快速探测内网
可以在内网依次对每个IP进行Ping操作,可以快速找出内网存活的所有主机。可以使用如下命令进行探测。
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="
存活主机将会被显示出来。
或使用VBScript探测(比较慢),结果在C:\Windows\Temp\Results.txt中,需要手动编辑所属C段
脚本如下,保存为xxx.vbs:
strSubNet = "192.168.0." Set objFSO= CreateObject("Scripting.FileSystemObject") Set objTS = objfso.CreateTextFile("C:\Windows\Temp\Results.txt") For i = 1 To 254 strComputer = strSubNet & i blnResult = Ping(strComputer) If blnResult = True Then objTS.WriteLine strComputer End If Next objTS.Close WScript.Echo "All Done !" Function Ping(strComputer) Set objWMIService = GetObject("winmgmts:\\.\root\cimv2") Set colItems = objWMIService.ExecQuery("Select * From Win32_PingStatus Where Address='" & strComputer & "'") For Each objItem In colItems Select case objItem.StatusCode Case 0 Ping = True Case Else Ping = False End select Exit For Next End Function
运行方式为
cscript 文件名
如:cscript ping.vbs
6、通过ARP探测内网
(1)arp-scan工具
windows获取 地址:https://github.com/QbsuranAlang/arp-scan-windows-
其他系统获取 地址:https://github.com/royhills/arp-scan
命令如下:
arp.exe -t 192.168.0.1/24 arp.exe -t 192.168.0.5
(2)Empire的arpscan模块
Empire中内置了arpscan模块。
在Empire中使用方法如下:
(Empire: xx) > usemodule situational_awareness/network/arpscan (Empire: situational_awareness/network/arpscan) > info (Empire: situational_awareness/network/arpscan) > set Range 192.168.0.1-192.168.0.254 (Empire: situational_awareness/network/arpscan) > info (Empire: situational_awareness/network/arpscan) > execute
(3)Nishang中的Invoke-ARPScan.ps1脚本
7、通过TCP/UDP端口扫描探测内网
ScanLine是一个经典的端口扫描工具,可以在所有版本的windows操作系统中使用,体积小的单个文件。同时支持TCP/UDP扫描。
命令如下:
scanline -h -t 21,22,80,443,445,1433-3306 -u 53,137,139,161 -O c:\windows\temp\results.txt -p 192.168.0.1-254 /b
-t 为TCP扫描端口
-u 为UDP扫描端口