信息收集(Information Gathering),信息收集是指通过各种方式获取所需要的信息,在整个渗透测试环节中,信息搜集是整个渗透过程中最为重要的一环,信息搜集可占据整个渗透测试80%左右的工作量,同样的如果尽可能搜集更多的信息,对于后期的渗透工作是非常有帮助的,本章将针对内网(域)环境进行信息的搜集工作,以作为学习笔记收录。
收集本机信息
ipconfig: 获取本地主机的IP地址,与子网。
C:>ipconfig
Windows IP 配置
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fcc0::fbb0:8226:511e:bcc4%19
IPv4 地址 . . . . . . . . . . . . : 192.168.1.2
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 192.168.1.1
net localgroup: 查本机主机组中的管理权限。
C:>net localgroup administrators
别名 administrators
注释 管理员对计算机/域有不受限制的完全访问权
-------------------------------------------------------------------------------
Administrator
LyShark
netstat: 查询本机端口开放情况。
C:>netstat -ano
活动连接
协议 本地地址 外部地址 状态 PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 404
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:902 0.0.0.0:0 LISTENING 4000
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING 4000
TCP 0.0.0.0:5040 0.0.0.0:0 LISTENING 6364
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:8082 0.0.0.0:0 LISTENING 1180
TCP 0.0.0.0:49664 0.0.0.0:0 LISTENING 704
TCP 0.0.0.0:49665 0.0.0.0:0 LISTENING 1432
systeminfo: 查询当前主机的详细信息。
C:>systeminfo
主机名: DELL
OS 名称: Microsoft Windows 10 企业版
OS 版本: 10.0.17763 暂缺 Build 17763
OS 制造商: Microsoft Corporation
OS 配置: 独立工作站
OS 构件类型: Multiprocessor Free
注册的所有人: LyShark
注册的组织: 暂缺
产品 ID: 00425-00000-00002-AA474
初始安装日期: 2019/8/21, 19:53:20
系统启动时间: 2019/8/24, 7:31:16
系统制造商: Dell Inc.
系统型号: Inspiron
系统类型: x64-based PC
处理器: 安装了 1 个处理器。
wmic share: 查看共享
C:>wmic share get name,path,status
Name Path Status
ADMIN$ C:Windows OK
C$ C: OK
D$ D: OK
E$ E: OK
IPC$ OK
whoami: 获取域的SID,把这个作为访问令牌
C:>whoami /all
用户名 SID
============ =============================================
delllyshark S-1-5-21-2451267939-1622466721-1234564-1001
net user: 查询本机的用户信息。
C:>net accounts
强制用户在时间到期之后多久必须注销?: 从不
密码最短使用期限(天): 0
密码最长使用期限(天): 42
密码长度最小值: 0
保持的密码历史记录长度: None
锁定阈值: 从不
锁定持续时间(分): 30
锁定观测窗口(分): 30
计算机角色: WORK
命令成功完成。
C:>net user
-------------------------------------------------------------------------------
Administrator Guest LyShark
命令成功完成。
netsh wlan: 查询本机无线网的连接密码。
C:>netsh wlan show profiles
C:>netsh wlan show profile name="lyshark" key=clear
接口 WLAN 上的配置文件 瑞发百货:
=======================================================================
已应用: 所有用户配置文件
配置文件信息
-------------------
版本 : 1
类型 : 无线局域网
名称 : lyshark
控制选项 :
连接模式 : 手动连接
网络广播 : 只在网络广播时连接
AutoSwitch : 请勿切换到其他网络
MAC 随机化: 禁用
安全设置
-----------------
身份验证 : WPA2 - 个人
密码 : CCMP
身份验证 : WPA2 - 个人
密码 : GCMP
安全密钥 : 存在
关键内容 : 1234567890 # 此处为密码
wmic qfe: 查询本机的补丁情况,并生成patch.html 文件
C:>wmic qfe list full /format:htable>c:patch.html
route: 查询路由记录。
C:>route print
===========================================================================
IPv4 路由表
===========================================================================
活动路由:
网络目标 网络掩码 网关 接口 跃点数
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 35
127.0.0.0 255.0.0.0 在链路上 127.0.0.1 331
127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331
127.255.255.255 255.255.255.255 在链路上 127.0.0.1 331
192.168.1.0 255.255.255.0 在链路上 192.168.1.2 291
192.168.1.2 255.255.255.255 在链路上 192.168.1.2 291
192.168.1.255 255.255.255.255 在链路上 192.168.1.2 291
192.168.81.0 255.255.255.0 在链路上 192.168.81.1 291
192.168.81.1 255.255.255.255 在链路上 192.168.81.1 291
192.168.81.255 255.255.255.255 在链路上 192.168.81.1 291
192.168.222.0 255.255.255.0 在链路上 192.168.222.1 291
arp: 查询arp记录。
C:>arp -a
接口: 192.168.222.1 --- 0xd
Internet 地址 物理地址 类型
192.168.222.254 00-52-56-f3-a5-99 动态
192.168.222.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.2 01-20-5e-00-60-02 静态
224.0.0.22 01-30-5e-04-00-16 静态
提取注册表: 提取注册表中的关键数据。
C:>reg save HKLMSecurity sec.hive
操作成功完成。
C:>reg save HKLMSystem sys.hive
操作成功完成。
C:>reg save HKLMSAM sam.hive
操作成功完成。
net: 命令大合集。
net user /domain 查看域用户
net view /domain 查询域列表
net group /domain 查看域里面的工作组
net group "domain admins" /domain 查询域管理员用户组
net localgroup administrators /domain 查询登录本机的域管理员
net group "domain controllers" /domain 查看域控制器
net time /domain 判断主域,主域服务器都做时间服务器
net config workstation 查询当前登录域
net share 查看共享文件路径
net view 查询同一域内机器列表
net view \ip 查询某IP共享
net view /domain:test.com 查看test域中计算机列表
使用Nmap 探测网络
Nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端,确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统,正如大多数被用于网络安全的工具,Nmap也是不少黑客及骇客爱用的工具,如下是内网中最常用的使用方式,更多Nmap 使用方式参考:https://www.cnblogs.com/LyShark/p/11136300.html
主机发现: 通过使用 -sn 参数发现内网中存活的主机,也可以使用 -sP 选项。
root@kali:~# nmap -sn 192.168.1.0/24 | grep "Nmap scan" | awk '{print $5}'
192.168.1.1
192.168.1.2
192.168.1.4
192.168.1.5
192.168.1.10
192.168.1.40
端口扫描: 扫描主机 192.168.1.10 的前1-1024端口是否开放。
root@kali:~# nmap -sS -p1-1024 192.168.1.10 | grep "open"
80/tcp open http
100/tcp open newacct
135/tcp open msrpc
139/tcp open netbios-ssn
443/tcp open https
902/tcp open iss-realsecure
912/tcp open apex-mesh
系统识别: 检测指定主机安装了什么操作系统,通过指纹识别。
root@kali:~# nmap -O 192.168.1.2 | grep "Running"
Running (JUST GUESSING): FreeBSD 6.X|10.X (89%), AVtech embedded (89%)
root@kali:~# nmap -O 192.168.1.3 | grep "Running"
Running: Google Android 5.X|6.X, Linux 3.X
root@kali:~# nmap -O 192.168.1.10 | grep "Running"
Running: Microsoft Windows XP
服务识别: 识别目标主机常用端口开放服务的具体版本,仅供参考。
root@kali:~# nmap -sV 192.168.1.10 | grep "open"
80/tcp open http Apache httpd 2.4.18 ((Win32) OpenSSL/1.0.2e mod_fcgid/2.3.9)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
443/tcp open ssl/https?
902/tcp open nagios-nsca Nagios NSCA
912/tcp open vmware-auth VMware Authentication Daemon 1.0 (Uses VNC, SOAP)
1433/tcp open ms-sql-s Microsoft SQL Server 2000 8.00.2039; SP4
2869/tcp open http Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP)
3306/tcp open mysql MySQL (unauthorized)
UDP端口扫描: 指定 -sU 扫描UDP,-p指定扫描端口。
root@kali:~# nmap -sU -T5 -sV --max-retries 1 -p 139 192.168.1.10
Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:32 CST
Nmap scan report for 192.168.1.10
Host is up (0.00022s latency).
PORT STATE SERVICE VERSION
139/udp closed netbios-ssn
MAC Address: ZZ:9C:PP:3A:11 (Elitegroup Computer Systems)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.91 seconds
通过NetBios发现主机: 使用script指定一个脚本,-p指定端口。
root@kali:~# nmap -sU --script nbstat.nse -p137 192.168.1.10 -T4
Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:40 CST
Nmap scan report for 192.168.1.10
Host is up (0.00022s latency).
PORT STATE SERVICE
137/udp open netbios-ns
Host script results:
|_nbstat: NetBIOS name: WANG, NetBIOS user: <unknown>, NetBIOS (Elitegroup Computer Systems)
Nmap done: 1 IP address (1 host up) scanned in 0.76 seconds
通过ARP发现主机: ARP 协议发现内网存活主机。
root@kali:~# nmap -sn -PR 192.168.1.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:41 CST
Nmap scan report for 192.168.1.1
Host is up (0.00039s latency).
Nmap scan report for 192.168.1.2
Host is up (0.00020s latency).
Nmap scan report for 192.168.1.10
Host is up (0.00010s latency).
Nmap scan report for 192.168.1.40
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 2.06 seconds
broadcast脚本: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务
root@kali:~# nmap --script=broadcast 192.168.1.10
Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 19:56 CST
Pre-scan script results:
| broadcast-dhcp-discover:
| Response 1 of 1:
| IP Offered: 192.168.1.7
| Server Identifier: 192.168.1.1
| Subnet Mask: 255.255.255.0
| Router: 192.168.1.1
|_ Domain Name Server: 192.168.1.1
...More...
vuln检测漏洞: 用于检测系统常见漏洞,并有相应的解释。
root@kali:~# nmap --script=vuln 192.168.1.10
Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-24 20:00 CST
Host script results:
| smb-vuln-cve2009-3103:
| VULNERABLE:
| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
| State: VULNERABLE
| IDs: CVE:CVE-2009-3103
| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
| aka "SMBv2 Negotiation Vulnerability."
|
| Disclosure date: 2009-09-08
| References:
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
searchsploit: 通过本地漏洞数据库,查询漏洞的详细描述和使用方法。
root@kali:~# searchsploit ms17-010
--------------------------------------------------------------------------------------------- ----------------------------------------
Exploit Title | Path
| (/usr/share/exploitdb/)
--------------------------------------------------------------------------------------------- ----------------------------------------
Microsoft Windows - 'EternalRomance'/'EternalSynergy'/'EternalChampion' SMB Remote Code Exec | exploits/windows/remote/43970.rb
Microsoft Windows - SMB Remote Code Execution Scanner (MS17-010) (Metasploit) | exploits/windows/dos/41891.rb