内网渗透攻防技术-课件【ch04】内网信息收集

第4章内网信息收集内网渗透攻防技术01本机信息收集PARTONE手动收集信息执行如下命令，查看网络配置信息，执行结果如图4-1所示。1查看网络配置信息手动收集信息21）查看操作系统和版本信息

在Windows操作系统中，使用systeminfo命令可以获取计算机的硬件和软件配置信息。执行systeminfo命令后，输出的信息可能超过一个屏幕，可以使用findstr参数来过滤相关信息。执行如下命令，查看操作系统和版本信息，执行结果如图4-2所示。如果是中文版操作系统，则执行如下命令。查看操作系统及软件信息手动收集信息2）查看系统体系结构

在执行如下命令，查看系统体系结构，执行结果如图4-3所示。2查看操作系统及软件信息手动收集信息3）查看安装的软件及版本信息

可以使用wmic命令查看安装的软件及版本信息，结果将被输出到文本文件中。具体命令如下，执行结果如图4-4所示。2查看操作系统及软件信息手动收集信息3）查看安装的软件及版本信息

还可以使用powershell命令查看安装的软件及版本信息。具体命令如下，执行结果如图4-5所示。2查看操作系统及软件信息手动收集信息3查看服务信息执行如下命令，查看服务信息，执行结果如图4-6所示。手动收集信息4查看进程列表执行如下命令，查看进程列表，分析软件、邮件客户端、VPN、杀毒软件等的进程，执行结果如图4-7所示。手动收集信息4查看进程列表执行如下命令，查看进程信息，执行结果如图4-8所示。手动收集信息4查看进程列表常见杀毒软件的进程列表如表4-1所示。表4-1常见杀毒软件的进程列表软件名称进程360杀毒360sd.exe360实时保护360tray.exe360主动防御ZhuDongFangYu.exe金山卫士KSafeTray.exe服务器安全狗SafeDogUpdateCenter.exeMcAfeeMcAfeeMcShield.exeNOD32egui.exe卡巴斯基avp.exe小红伞avguard.exeBitDefenderbdagent.exe手动收集信息执行如下命令，查看启动程序信息，执行结果如图4-9所示。5查看启动程序信息手动收集信息执行如下命令，查看计划任务，执行结果如图4-10所示。6查看计划任务7查看本机开机时间手动收集信息执行如下命令，查看本机开机时间，执行结果如图4-11所示。手动收集信息执行如下命令，查看用户列表，执行结果如图4-12所示。8查看用户列表手动收集信息通过分析用户列表，可以找出内网机器的命名规则。特别需要注意的是个人机器的名称，可以由此推测整个域的用户命名方式。执行如下命令，查看本地管理员（通常包含域用户）信息，执行结果如图4-13所示。8查看用户列表从图4-13中可以看到，本地管理员有两个用户和一个组。默认DomainAdmins组中的用户为域内机器的本地管理员用户。在真实的网络环境中，为了方便管理，会有域用户被添加为域内机器的本地管理员用户。手动收集信息8查看用户列表手动收集信息执行如下命令，查看当前在线用户，执行结果如图4-14所示。8查看用户列表手动收集信息执行如下命令，列出或断开本地计算机与所连接的客户端之间的会话，执行结果如图4-15所示。9列出或断开本地计算机与所连接的客户端之间的会话手动收集信息10查看端口列表执行如下命令，查看端口列表，执行结果如图4-16所示。从图4-16中可以看到当前机器和哪些主机建立了连接，以及TCP、UDP等端口的使用和监听情况。可以先根据网络连接进行初步判断（在代理服务器中可能会有很多机器开放了代理端口，例如，更新服务器可能开放了更新端口8530，DNS服务器可能开放了53端口等），再根据其他信息进行综合判断。手动收集信息11查看补丁列表执行如下命令，查看系统详细信息。需要注意系统的版本、位数、域、补丁及更新频率等信息。域内主机的补丁通常是批量安装的，通过查看补丁列表，就可以找到未打补丁的漏洞。从图4-17中可以看到，当前系统更新了30个补丁。手动收集信息11查看补丁列表使用wmic命令查看系统中安装的补丁，具体命令如下，执行结果如图4-18所示。从图4-18中可以看到补丁的名称、描述、ID、安装时间等信息。手动收集信息12查看共享列表执行如下命令，查看共享列表和可访问的域共享列表（域共享在很多时候是相同的），执行结果如图4-19所示。手动收集信息12查看共享列表使用wmic命令查看共享列表的详细信息，具体命令如下，执行结果如图4-20所示。手动收集信息执行如下命令，查看路由表及所有可用接口的ARP（AddressResolutionProtocol，地址解析协议）缓存表，执行结果如图4-21所示。13查看路由表及所有可用接口的ARP缓存表手动收集信息（1）关闭防火墙。在WindowsServer2003及以前版本的操作系统中，关闭防火墙的具体命令如下。在WindowsServer2003以后版本的操作系统中，关闭防火墙的具体命令如下。（2）查看防火墙配置，具体命令如下。14查看和修改防火墙配置手动收集信息（3）修改防火墙配置。在WindowsServer2003及以前版本的操作系统中，允许指定程序全部连接，具体命令如下。在WindowsServer2003以后版本的操作系统中，具体情况如下。允许指定程序进入，具体命令如下。允许指定程序退出，具体命令如下。14查看和修改防火墙配置手动收集信息（3）修改防火墙配置。允许3389端口放行，具体命令如下。（4）自定义防火墙日志的存储位置，具体命令如下。14查看和修改防火墙配置手动收集信息执行如下命令，查看代理配置情况，执行结果如图4-22所示。15查看代理配置情况手动收集信息（1）查看远程连接端口。在命令行环境中执行注册表查询语句，具体命令如下，执行结果如图4-23所示。16查看并开启远程连接服务从图4-23中可以看到，连接的端口为0xd3d，转换后为3389。手动收集信息（2）分别在WindowsServer2008和WindowsServer2012操作系统中开启3389端口，具体命令如下。16查看并开启远程连接服务手动收集信息（3）在WindowsServer2016操作系统中开启3389端口，具体命令如下。16查看并开启远程连接服务（4）分别在WindowsServer2019和WindowsServer2022操作系统中开启3389端口。以管理员身份打开PowerShell，输入如下命令。自动收集信息为了简化操作，我们可以创建一个脚本，在目标主机上完成流程、服务、用户账户、用户组、网络接口、硬盘信息、网络共享信息、操作系统、安装的补丁、安装的软件、启动时运行的程序、时区等信息的查询工作。例如，可以利用WMIC脚本收集目标主机信息。WMIC（WindowsManagementInstrumentationCommand-Line，Windows管理工具命令行）是一个十分有用的Windows命令行工具。在默认情况下，任何版本的WindowsXP的低权限用户都不能访问WMIC，Windows7以上版本的低权限用户允许访问WMIC并执行相关查询操作。16查看并开启远程连接服务自动收集信息执行WMIC脚本后，会将所有结果写入一个HTML文件中，如图4-24所示。16查看并开启远程连接服务02域内信息收集PARTTWO判断是否存在域首先执行如下命令，查看本机IP地址信息，包括网关、DNS服务器的IP地址、域名、本机是否和DNS服务器处于同一网段等，执行结果如图4-25所示。1使用ipconfig命令判断是否存在域然后使用反向解析查询命令nslookup解析域名，得到对应的IP地址，执行结果如图4-26所示。将解析得到的IP地址进行对比，即可判断域控制器和DNS服务器是否在同一台服务器上。1使用ipconfig命令判断是否存在域执行如下命令，查看系统详细信息，执行结果如图4-27所示。在图4-27中，“域”表示当前域名（当前域名为test.testgxlab），“登录服务器”表示域控制器。如果当前域名为WORKGROUP，则表示当前服务器不在域内。2查看系统详细信息判断是否存在域执行如下命令，查看当前登录域及登录用户信息，执行结果如图4-28所示。在图4-28中，“工作站域DNS名称”表示当前域名（如果当前域名为WORKGROUP，则表示当前为非域环境）；“登录域”表示当前登录的用户是域用户还是本地用户，此处表示当前登录的用户是域用户。3查看当前登录域及登录用户信息判断是否存在域执行如下命令，判断主域（域服务器通常会同时作为时间服务器使用）。4判断主域执行上述命令后，通常会遇到以下3种情况。（1）存在域，但当前登录的用户不是域用户，执行结果如图4-29所示判断是否存在域4判断主域（2）存在域，且当前登录的用户是域用户，执行结果如图4-30所示。（3）当前网络环境为工作组，不存在域，执行结果如图4-31所示。收集域内相关信息1查询域执行如下命令，查询域，执行结果如图4-32所示。收集域内相关信息2执行如下命令，查询域内所有主机，执行结果如图4-33所示。可以通过主机名对主机角色进行初步判断，例如，“dev”可能是开发服务器，“web”“app”可能是Web服务器，“NAS”可能是存储服务器，“fileserver”可能是文件服务器，等等。查询域内所有主机收集域内相关信息3执行如下命令，查询域内所有组，执行结果如图4-34所示。查询域内所有组收集域内相关信息4查询所有域成员计算机执行如下命令，查询所有域成员计算机，执行结果如图4-35所示。收集域内相关信息5获取域密码信息执行如下命令，获取域密码信息，包括密码策略、密码长度、错误锁定等，执行结果如图4-36所示。收集域内相关信息6获取域信任信息执行如下命令，获取域信任信息，执行结果如图4-37所示。域管理员定位1PsLoggedon.exe在Windows操作系统中，可以通过执行netsession命令查看哪些用户使用了本机资源，但是没有命令可以用来查看哪些用户使用了目标主机资源、哪些用户登录了本机或目标主机。使用PsLoggedon.exe可以查看本地登录的用户和通过本机或目标主机资源登录的用户。如果指定的是用户名而不是主机名，那么PsLoggedon.exe会搜索局域网中的主机，并显示该用户当前是否已经登录。其原理是通过检查注册表中HKEY_USERS项的key值来查看哪些用户登录过（需要调用NetSessionEnumAPI），但某些功能需要管理员权限才能使用。域管理员定位2PVEFindADUser.exePVEFindADUser.exe可以用于查找活动目录用户登录的位置、枚举域用户，以及查找在特定主机上登录的用户，包括本地用户、通过RDP（RemoteDesktopProtocol，远程桌面协议）登录的用户、用于运行服务和计划任务的用户。运行该工具的主机需要配置.NETFramework2.0环境，并且需要拥有管理员权限。域管理员定位3netview.exenetview.exe是一个枚举工具，使用WinAPI枚举系统，利用NetSessionEnum寻找登录会话，利用NetShareEnum寻找共享，利用NetWkstaUserEnum枚举登录的用户。同时，netview.exe能够查询共享入口和有价值的用户。netview.exe的绝大部分功能不需要管理员权限就可以使用，其命令格式如下，具体使用如图4-40所示。域管理员定位4Nmap中的NSE脚本如果存在域用户或本地用户，就可以使用Nmap中的smb-enum-sessions.nse脚本获取目标主机的登录会话（不需要管理员权限），具体使用如图4-41所示。域管理员定位5PowerView（1）Invoke-StealthUserHunter：只需要进行一次查询，就可以获取域内所有用户。使用方法为从user.HomeDirectories中提取所有用户，并对每台主机进行Get-NetSessions获取。因为不需要使用Invoke-UserHunter模块对每台主机进行操作，所以这种方法的隐蔽性相对较高（但涉及的机器不一定全面）。PowerView默认使用Invoke-StealthUserHunter模块，如果找不到需要的信息，就使用Invoke-UserHunter模块。（2）Invoke-UserHunter：找到域内特定的用户群，接收用户名、用户列表和域组查询，接收一个主机名列表或查询可用的主机名。它可以使用Get-NetSessions和Get-NetLoggedon（调用NetSessionEnum和NetWkstaUserEnumAPI）扫描每台主机，并对扫描结果进行比较，从而找出目标用户集，在使用时不需要管理员权限。Invoke-UserHunter模块的具体使用如图4-42所示。域管理员定位5PowerView（2）Invoke-UserHunter：域管理员