内网安全信息收集（收集内网计算机的所有信息进行攻击.）

内网信息收集

在渗透测试人员进入一个内网后，面对的是一片 “ 未知的区域 ”，所以渗透测试人员首先会对当前所处的网络环境进行判断，通常的判断分为三种.

（1）我是谁？—— 对计算机的角色进行判断.

（2）我在哪？—— 对目前机器所处位置区域的判断。

（3）这是哪？—— 对目前机器所处网络环境的拓扑结构进行分析和判断。

内网信息收集的步骤：

工作组的信息收集:

（1）查看当前主机的网络配置信息.

ipconfig /all

（2）查询用户列表.

net user                        //查看本机用户列表

net localgroup administrators            //本机管理员（通常有域用户）

query user || qwinsta                //可以查看当前在线用户

（3）查询进程列表.

tasklist /v

（4）查询操作系统和安装软件的版本信息.

1.获取 操作系统 和 版本信息.

systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"

2. 查看安装的软件及版本、路径.（ 可以查看这些软件有没有漏洞，然后再进行攻击. ）

（5）查询端口列表.（可以根据端口判断相应的服务.）

netstat -ano

（6）查询补丁列表.

Systeminfo

（7）查询本机共享.

net share

（8）查询防火墙相关配置.

1.查询 防火墙配置.

netsh firewall show config

2.关闭 防火墙.

netsh firewall set opmode disable            //Windows Server 2003 系统及之前版本

netsh advfirewall set allprofiles state off        //Windows Server 2003 之后系统版本

（9）查询并开启远程连接服务.

1.查看 远程连接端口.

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

2.开启 3389 端口.（在 Win 2008 和 Win 2012 中开启 3389 端口）

reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

3.开启 3389 端口.（Win 2003 中开启 3389 端口）

wmic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

（10）查询当前权限.

whoami

（11）获取域 SID.（SID可以理解为域的身份认证.（每一个都是唯一的））

whoami /all

（12）查询指定账户的详细信息.

net user XXX /domain                // “ XXX ” 是写入账号名.

2. 域内的信息收集.

（1）判断是否有域.

net view /domain

（2）查询域内所有计算机.

net view /domain:XXX                //"XXX" 是输入域名.

（3）查询域内所有用户组列表.

net group /domain

（4）查询所有域成员计算机列表.

net group "domain computers" /domain

（5）获取域密码信息.

net accounts /domain

（6）获取域信任信息.

nltest /domain_trusts

（7）查看域内控制器的机器名.

nltest /DCLIST:XXX        //"XXX"是输入域名.

（8）查看域控制器的主机名和 IP地址.

Nslookup -type=SRV _ldap._tcp

（9）查看域控制器组.

net group "Domain Controllers" /domain

（10）查询域内的用户.

net user /domain

（11）获取域内用户详细信息.

（12）查询域内置本地管理员组用户.

net localgroup administrators /domain

（13）查询域管理员用户.

net group "domain admins" /domain

（14）查询管理员用户组.

net group "Enterprise Admins" /domain

（15）探测域内存活主机.

1.利用 Nbtscan 探测内网 存活主机.

nbtscan.exe IP

2.利用 icmp 协议探测内网 存活主机.

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="

（16）扫描域内端口.（通过端口推测出服务，然后找出漏洞.）

1.单个 主机扫描.

telnet.exe DC 端口号

2. S 扫描器.

S.exe TCP 192.168.1.1 192.168.1.254 445,3389,1433,7001,1099,8080,80,22,23,21,25,110,3306,5432,1521,6379,2049,111 256 /Banner /save

3. Metasploit 端口扫描.

use auxiliary/scanner/portscan/tcp

set ports 1-99999

set rhosts 192.168.1.104

set THREADS 15

run

也可以使用 Bloodhound 工具也收集.

内网信息收集的总结：

收集到这些信息后就可以利用起来，比如：查询网络配置信息，用户列表，操作系统和安装软件的版本信息，端口列表，补丁列表，防火墙配置，查询并开启远程连接服务。关闭防火墙，开启 3389 端口，当前权限查询指定账户的详细信息，获取域密码信息，域内置本地管理员组用户等等信息。收集到这些内网信息之后进行下一步渗透，可以帮助我们拿下整个内网计算机.

学习链接：Ms08067安全实验室 - Powered By EduSoho