基本信息收集-toc" style="margin-left:0px;">收集基本信息
收集网络信息
收集用户信息
相关用户收集操作命令
收集凭证信息
探针主机域控架构服务操作
附上一张课堂照片,其中DMZ该地区,也被官方解释为非军事化区域,旨在解决安装防火墙后外部网络访问用户无法访问内部网络服务器的问题,以及非安全系统与安全系统之间的缓冲区。
对于这张图,就是把业务和服务器放在外网上。DMZ区域,而DMZ区域和内网之间还有一堵防火墙,所以当我们打下它的时候,增加了DMZ区域(如图所示web服务器),攻击内网服务器会变得更加困难(文件、数据库、企业和一些财务办公电脑等。
了解以下术语:局域网、工作组、域环境、活动目录AD、域控制器DC
局域网:指某一区域内多台计算机的计算机组,一般在几公里内。局域网可实现文件管理、应用软件共享、打印机共享、工作组日程安排、电子邮件、传真通信服务等功能。
工作组:简单来说就像我们家的网络,学校的网络等。,有很多用户和用户,没有上下级别。
域环境:与工作组不同,域环境比工作组更大,其中有一个经理可以出相关命令等。(以后会介绍如何区分工作组和域环境)
活动目录AD:是微软提供的目录服务(查询、身份验证)。活动目录的核心包括活动目录数据库,活动目录数据库包括域内所有对象(用户、计算机、组…),活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server目录服务。其作用:
- 集中存储用户和密码列表;
- 身份验证服务器提供一组服务器;
- 搜索域中的资源维护索引便于搜索;
- 能更好地进行分层管理;
域控制器DC:域控制器是指在域模式下,至少有一台服务器负责每台连接到网络的计算机和用户的验证,相当于一个单位的门卫,称为域控制器(Domain Controller,简写为DC)”
AD只有域控制器win server系统做吗?LINUX可以吗?
回答:linux还有相应的活动目录,但需要安装LDAP一般企业很少使用环境LDAP管理,因为它不如域强大,而且使用linux在管理方面,技术人员的门槛也相对较高。linux更适合做服务器。
以下是整个过程的解释。
域控制器是一个单域(DC)它的ip地址是192.168.3.21.图中的所有服务器都在一个网段中,即192.168.3.0/24网段,所以我们可以看到文件服务器、数据库服务器、web两个服务器PC(分别是marry和jack)。我们可以看到web服务器有两个地址(192).168.3.32和192.168.230.一个是对外的,另一个是面向内网的。下面有一个攻击机(192).168.230.133)可见他和web服务器在一个网段中获胜,即攻击web服务器的帮助是web攻击下域控制器(因为他可以访问内网)DC.
收集基本信息
主要包括版本、补丁、服务、任务、保护等。
旨在了解当前服务器的计算机基本信息,为后续判断服务器的扮演角色、网络环境做准备
systeminfo 详细信息(操作系统版本、补丁编号)
net start 启动的服务
tasklist 进程列表
schtasks 计划任务
收集网络信息
自由了解当前服务器的网络接口信息,准备判断当前角色、功能和网络架构
ipconfig /all 判断存在域-dns
net view /domain 判断是否存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 跟踪来源地址
其实这里可以判断是工作组还是域环境;
当有域环境时,我们使用这个ipconfig -all 命令,你可以看到主DNS后缀。
这次显示的是DOG说明有域存在。
我们在上面执行net time /domain回显信息后面存在god.org。这就是我们以前看到的主DNS后缀,每台电脑的全名=计算机名 主DNS后缀名。所以我们得到了一台电脑的名字,然后就可以通过了nslookp跟踪计算机ip地址。
也可以使用ping查看计算机的命令ip地址。
收集用户信息
目的是了解当前计算机或域环境下用户和用户组的信息,便于以后使用平局进行测试
默认情况下,系统常见用户身份:
Domain Admins:域管理员(默认完全控制域控制器)
Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain User:域用户
Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)
相关用户收集操作命令
whoami /all 用户权限
net config workstation 登录信息
net user &nsp; 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器
所以在本地组中是查看不到webadmin的。
然而在域中可以看到有webadmin。
查看域用户的详细信息。
凭证信息收集操作
旨在收集各种密文、明文、口令等,为后续横向渗透做好测试准备。
计算机用户HASH,明文获取(mimikatz-win、mimipenguin-linux)两个工具的下载地址已经放在下面:
GitHub - gentilkiwi/mimikatz: A little tool to play with Windows security
GitHub - huntergregal/mimipenguin: A tool to dump the login password from the current linux user
要想使用mimikatz这个工具,就要先获取到权限,先拿到web服务器的权限,之后在通过提权拿到管理员的权限,之后才能去使用该工具。在使用这个工具的时候,要使用下面的两条命令:
privilege::debug
sekurlsa::logonpasswords
计算机各种协议服务口令获取-LaZagne(all)、XenArmor(win)
其中的工具LaZagne是全系统通杀的。下载地址https://github.com/AlessandroZ/LaZagne
用法也是很简单,直接拖进cmd窗口运行就好了。上面的图就可以看到工具寻找到的密码。该工具是免费的,功能比较少,但是支持所有系统。
然而下面的这个工具是收费的,功能也比较好。
主要收集以下信息:
- 站点源码备份文件、数据库备份文件等
- 各类数据库web管理入口,如:PHPMyadmin
- 浏览器保存密码、浏览器Cookie
- 其他用户会话、3389和ips连接记录、回收站内容等
- windows保存的wifi密码
- 网络内部的各种账号、密码。如:email、VPN、FTP、OA等
探针主机域控架构服务操作
为后续横向思路做准备,针对应用、协议等各类攻击手段
探针域控制器名以及地址信息
net time /domain nslookup ping
探针域内存活主机以及地址信息
nbtscan 192.168.1.0/24 第三方工具(老牌工具)
for /L %I in(1,1,254) DO @ping -w 1 -n 1 192.168.3.%I |findst "TTL=" 自带内部命令
(自带内部命令,不用免杀,缺点,显示内容没有那么多,只有目标的地址)
nmap masscan 第三方Powershell脚本nishang empire等
#导入模块nishang
Import-Moddule .\nishang.psml
初始第一次使用,要设置一下执行策略
#设置执行策略
Set-ExecutionPolicy RemoteSinged
#获取模块nishang的命令函数
Get-command -Module nishang
#获取常规计算机信息
Get-Infirmation
#其他功能:删除补丁、反弹shell、凭据获取等
可见第一次使用在导入模块的时候,显示无法加载,那么就要使用 #设置执行策略,Y之后再去导入模块。
这个nishang里面就集成了mimikatz。
#获取常规计算机信息
Get-Information
#端口扫描
Invoke-PortScan -StartAddress 192.168.3.1 -EndAddress 192.168.3.100 -ResolveHost -ScanPort
探针域内主机角色以及服务信息
利用开放端口服务以及计算机名判断
核心业务机器:
- 高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
- 产品管理系统服务器
- 办公系统服务器
- 财务应用系统服务器
- 核心产品源码服务器(自建SVN、GIT)
- 数据库服务器
- 文件或者网盘服务器、共享服务器
- 电子邮件服务器
- 网络监控系统服务器
- 其他服务器(内部技术文档服务器、其他监控服务器等)