【安全技術(shù)】紅隊之windows信息收集思路

前言

很久沒做內(nèi)網(wǎng)了,溫習(xí)一下军援。希望正在學(xué)習(xí)安全的小伙伴不要踏入我初學(xué)內(nèi)網(wǎng)的誤區(qū)仅淑。

先來談?wù)勎覍?nèi)網(wǎng)的理解吧,不是技術(shù)的方向胸哥。

內(nèi)網(wǎng)學(xué)的東西很多涯竟,很雜。當(dāng)時我問了我的大哥空厌,他給我的一句話確實影響我至今庐船。我說內(nèi)網(wǎng)就說信息收集,cmd命令能收集嘲更,powershell收集也很多筐钟,還有類似wmic,或者一些腳本語言寫的信息收集工具哮内,太多了盗棵,這些都要學(xué)真的太浪費時間了。他是這么跟我說的北发,很多東西你要學(xué)一輩子都學(xué)不完,但是你把一個東西學(xué)好了喷屋,結(jié)果都是一樣的琳拨。確實是這么個道理,學(xué)習(xí)需要廣度屯曹,能讓你碰到不同的情況乃至極限情況你有解決問題的思路狱庇。學(xué)習(xí)需要深度,你能在正常情況下創(chuàng)造乃至開辟一條新的道路恶耽。所以說完全沒有必要什么命令都背什么命令都記得清清楚楚密任,最重要的是要有自己的一套滲透手法,能夠達(dá)到效果偷俭,就是好的浪讳。沒人在乎你的過程,除非你真的很6涌萤。好了淹遵。開始今天的主題口猜。

內(nèi)網(wǎng)這一塊不是我的擅長,但是也有幸參加過一些護(hù)網(wǎng)透揣,做過一點內(nèi)網(wǎng)滲透济炎。總結(jié)性的來說說我的思路辐真。

一般來說须尚,我們拿了權(quán)限做的第一件事是維權(quán),維權(quán)這一塊以后再說侍咱。因為現(xiàn)在很多時候涉及免殺耐床,免殺這一塊我研究的不是很多。然后就會對當(dāng)前主機(jī)進(jìn)行信息收集放坏。我就獻(xiàn)丑說一下自己的信息收集思路咙咽。可能命令不是很多淤年,都是靠平時自己收集的钧敞,主要是提供一個思路,如何實現(xiàn)自動化并且不觸發(fā)告警麸粮,才是應(yīng)該操心的溉苛。

文件類

1)配置文件

如果是從web打進(jìn)去的堵第,配置文件是一定要找到贿堰,找到了數(shù)據(jù)庫的賬號密碼,如果是站庫分離可能會拿下第二臺氯檐,如果不是也能獲取數(shù)據(jù)庫的數(shù)據(jù)齐遵,或者說用來做密碼復(fù)用寂玲。配置文件一般就在web目錄找config等標(biāo)志性文件。其中如果密碼存在加密的大眾系統(tǒng)可以試試去github找找有沒有解密腳本梗摇。自定義的加密可以嘗試找源碼進(jìn)行破解拓哟。

(2)敏感文件

桌面是一定要看的,很多人有保存文件在桌面的習(xí)慣伶授,特別是個人機(jī)断序。很有可能記錄了一些密碼信息或者其他網(wǎng)站的登錄賬號密碼信息,以及一些敏感文件糜烹。

(3)其他目錄

這種就是比較隨緣了违诗,因為個人習(xí)慣不同,稍微有點安全的人可能不會放在桌面疮蹦,放在D盤啊等地方诸迟。這種可能就不是很好找,但是也可以全局搜索文件名,文件內(nèi)容包含passwd亮蒋,user扣典,password等字段的文件∩骶粒回收站也可以看看贮尖。

下面放一些我常用的命令,來源于之前記錄的別人發(fā)的趁怔,但是原文找不到了湿硝。自己根據(jù)實際情況改。


第一階段:計算機(jī)信息類

畢竟域環(huán)境多了一些拿域控润努,或者kerberos認(rèn)證等等的東西关斜,就還是分開吧。很多時候盲目的去找一些命令是徒勞無功的铺浇,最主要是你要清楚自己要做什么痢畜,針對性的作信息收集。這里都是說的手動的鳍侣,工具類的會放到最后面丁稀。

工作組

(1)ip信息(主要判斷自己的位置已經(jīng)確定能橫向的方向)


還有其他的可以自行去做去找,正常情況下這幾個命令也夠了倚聚,wmic ps那些也可以做到线衫,但是沒必要,集成的現(xiàn)在太容易被殺了惑折,其他工具也還是靠著平時自己積累授账。

(2)端口收集(主要是判斷開放了哪些端口,和哪些機(jī)器連通惨驶,有沒有后續(xù)利用的可能)

netstat-ano //一條就夠了白热,不需要太多的花里胡哨 也可以自己去根據(jù)習(xí)慣找一些其他的方式。還有一些簡化的比如查看特定狀態(tài)端口根據(jù)自己的需要去篩選粗卜。findstr命令等實現(xiàn)棘捣。

(3)進(jìn)程收集(主要是看看開啟了哪些進(jìn)程,管理員進(jìn)程可能涉及提權(quán)休建,殺軟進(jìn)程可能涉及免殺,還有一些第三方的進(jìn)程可能涉及可以做權(quán)限維持评疗,這種都是根據(jù)需要去確定的)


對于防火墻配置一類的测砂,我這里沒有涉及,是因為特殊情況下才會做百匆。

(4)服務(wù)收集(主要是可能涉及一些提權(quán)砌些,已經(jīng)從服務(wù)中提取敏感信息比如說抓取密碼等,可以通過產(chǎn)品和進(jìn)程去判斷)


(5)計劃任務(wù)?(涉及提權(quán),權(quán)限維持等存璃,也可能通過計劃任務(wù)發(fā)現(xiàn)腳本文件中可能存在敏感內(nèi)容)


(6)用戶收集(主要是對提權(quán)或者橫向移動做鋪墊)


(7)憑證收集

這一塊最常用的還是抓hash仑荐,肯定首推是mimikatz。不過要做好免殺纵东,免殺的方式就不說了粘招,之前測試一些腳本加載過某0還是沒有問題的,現(xiàn)在很久沒弄過了不知道了偎球。關(guān)于其他的一些比如xshell洒扎,瀏覽器密碼抓取的工具,就需要自己平時多收集了衰絮,當(dāng)前有條件的自己寫也還是沒問題的袍冷。還要個人機(jī)上一些wifi密碼可能也有用,這個就看自己習(xí)慣了猫牡。

(8)其他收集(主要是一些共享啊之類的)


域環(huán)境

工作組的環(huán)境比較單一胡诗,且鑒權(quán)都是在本地做,所以沒有太多的花里胡哨淌友。域環(huán)境可能會麻煩一點煌恢,接下來我會從思路上去簡述信息收集,爭取能夠給大家一個比較清晰的腦圖亩进,現(xiàn)在我們暫定我們的目標(biāo)是域控症虑。

(1)當(dāng)我們拿到一個機(jī)器之后,肯定是先判斷域環(huán)境

(2)確實是域環(huán)境以后归薛,要對本機(jī)做信息收集

(3)需要判斷域控

(4)鑒于有委派或者約束委派這些攻擊方式谍憔,可能會需要查找一些服務(wù)用戶,也就是spn相關(guān)主籍。

(5)域環(huán)境中exchange的權(quán)限很高的习贫,有經(jīng)驗的老師傅可能會進(jìn)來就找郵服,這一塊我沒有做過千元,就說一下我自己收集的苫昌。

(6)面試的時候會必問的問題,如果尋找域控幸海,如何拿下域控祟身,對于這些方法需要的前提,都是我們必須要進(jìn)行收集的物独。

對于本機(jī)的收集上面重復(fù)的我就不多說了袜硫,注意一下下面的點就行了。

(1)ip收集

此時的ip收集我們需要關(guān)注一下dns挡篓,因為通常情況下婉陷,域控可能就是dns服務(wù)器帚称。

(2)端口搜集

本機(jī)端口收集還是正常的和工作組一樣

(3)進(jìn)程收集

此時的進(jìn)程收集我們需要留意一下域管啟用的進(jìn)程,如果能夠竊取hash秽澳,或者直接導(dǎo)出域管hash闯睹,基本已經(jīng)意味著我們有域控權(quán)限了。

(4)服務(wù)收集

(5)用戶與機(jī)器收集



(6)憑證收集

和上面一樣担神,只不過這里可以針對權(quán)限去分出來從目前的用戶看我們有什么權(quán)限

(7)其他收集

也是屬于撿垃圾了楼吃,雜七雜八的收集,沒想到杏瞻,想到了再說所刀。

第二階段:橫向信息收集

經(jīng)過我們上面各個模塊的收集完成后,我們對我們當(dāng)前計算機(jī)的情況已經(jīng)有所了解了捞挥。該提權(quán)提權(quán)浮创,改拿小本本記錄就記錄。現(xiàn)在進(jìn)入第二階段了砌函,橫向移動的收集斩披。橫向我分為兩種,一種是定向橫向讹俊,比如我專門打郵服垦沉,或者專門打弱口令,只掃描特定端口仍劈。還有一種是全方位橫向厕倍,就是我對所有可達(dá)的ip端都進(jìn)行探測,這種動靜就會比較大贩疙,但是橫向最主要其實也是收集ip和端口了讹弯。有web業(yè)務(wù)打web,有弱口令能ssh或者rdp就試試这溅,ftp能匿名訪問也是分组民,redis未授權(quán)可能還能彈回來個shell。這里就八仙過海各顯神通了悲靴。我這里分為ip和端口進(jìn)行收集來討論臭胜。

ip類

集成的工具最后再說,先說手動的癞尚。

常見的可能是利用腳本或者cmd命令進(jìn)行收集耸三。這里列舉幾個



端口類

按照這種思路下來,我們只需要針對我們某個步驟浇揩,選擇我們理想的方式或者工具去實現(xiàn)吕晌,就能收集到很多的信息。而且思路清晰临燃,明確自己下一步需要做什么。



工具

用戶

用戶爆破

https://github.com/ropnop/kerbrute

用戶枚舉

https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

https://github.com/mubix/netview/

獲取服務(wù)用戶

kerberoast

GetUserSPNs.ps1

ip

(1)nbtscan.exe

(2)arpscan.exe

(3)ServerScan?https://github.com/Adminisme/ServerScan

(4)msf模塊

auxiliary/scanner/discovery/arp_sweep

auxiliary/scanner/discovery/udp_sweep

auxiliary/scanner/discovery/udp_probe

auxiliary/scanner/netbios/nbname

端口

端口爆破

PortBrute?https://github.com/awake1t/PortBrute

服務(wù)

MSF

auxiliary/scanner/smb/smb_version

auxiliary/scanner/ftp/ftp_version 發(fā)現(xiàn)ftp

auxiliary/scanner/ssh/ssh_version 發(fā)現(xiàn)ssh

auxiliary/scanner/telnet/telnet_version 發(fā)現(xiàn)telnet

auxiliary/scanner/mysql/mysql_version 發(fā)現(xiàn)mysql

密碼爆破

https://github.com/fireeye/gocrack

https://github.com/dafthack/DomainPasswordSpray

web掃描

https://github.com/broken5/bscan

https://github.com/phantom0301/PTscan

域與非域集合工具

(1)Seatbelt.exe

Seatbelt.exe -group=user -full 運行普通用戶權(quán)限檢查的模塊 -full返回輸出

Seatbelt.exe -group=all 運行所有模塊(需要管理員權(quán)限)

Seatbelt.exe -group=system #運行檢查系統(tǒng)相關(guān)的信息

Seatbelt.exe -group=misc #運行所有其他檢查(包括瀏覽器記錄)

Seatbelt.exe -group=chrome 運行瀏覽器歷史等模塊

(2)BloodHound

https://github.com/BloodHoundAD/BloodHound/releases

(3)WinPwn

https://github.com/S3cur3Th1sSh1t/WinPwn/

(4)domainTools

https://github.com/SkewwG/domainTools

(5)Rubeus.exe

https://github.com/GhostPack/Rubeus

(6)powerview && powersploit

(7)fscan

https://github.com/shadow1ng/fscan

集合腳本



?最后

自動化方便是一回事,必然會帶來弊端膜廊。動靜大乏沸,易查殺等。腳本小子終究只是一時爽爪瓜。最后還是要自己走安全開發(fā)自己寫工具蹬跃,在特定的環(huán)境下能實現(xiàn)功能才行。就難得總結(jié)工具了铆铆,多培養(yǎng)培養(yǎng)思維多學(xué)習(xí)學(xué)習(xí)底層還是長久之道蝶缀。

這篇文章只是拋磚引玉給大家提供一個思路,還有很多東西沒用收到薄货。但是信息收集和漏洞利用總是相依相存的翁都。比如委派,郵服這些谅猾”浚或者是需要一些漏洞利用鏈的時候。擴(kuò)大自己的攻擊技術(shù)和攻擊面税娜,了解新的攻擊方式應(yīng)該是最重要的坐搔,可能一條路不同我換了一種攻擊方式,搜集一下需要實現(xiàn)的前置條件都滿足敬矩,自然也就打下來了概行。隨機(jī)應(yīng)變。有些工具是之前收集的說實話都沒有用上過弧岳,所以工具在精在順手不在多凳忙。選擇合適自己的才最重要。參考文獻(xiàn)

福利

關(guān)注私我獲取更多【網(wǎng)絡(luò)安全學(xué)習(xí)攻略·資料

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末缩筛,一起剝皮案震驚了整個濱河市消略,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌瞎抛,老刑警劉巖艺演,帶你破解...
    沈念sama閱讀 217,406評論 6 503
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異桐臊,居然都是意外死亡胎撤,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,732評論 3 393
  • 文/潘曉璐 我一進(jìn)店門断凶,熙熙樓的掌柜王于貴愁眉苦臉地迎上來伤提,“玉大人,你說我怎么就攤上這事认烁≈啄校” “怎么了介汹?”我有些...
    開封第一講書人閱讀 163,711評論 0 353
  • 文/不壞的土叔 我叫張陵,是天一觀的道長舶沛。 經(jīng)常有香客問我嘹承,道長,這世上最難降的妖魔是什么如庭? 我笑而不...
    開封第一講書人閱讀 58,380評論 1 293
  • 正文 為了忘掉前任叹卷,我火速辦了婚禮,結(jié)果婚禮上坪它,老公的妹妹穿的比我還像新娘骤竹。我一直安慰自己,他們只是感情好往毡,可當(dāng)我...
    茶點故事閱讀 67,432評論 6 392
  • 文/花漫 我一把揭開白布蒙揣。 她就那樣靜靜地躺著,像睡著了一般卖擅。 火紅的嫁衣襯著肌膚如雪鸣奔。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,301評論 1 301
  • 那天惩阶,我揣著相機(jī)與錄音挎狸,去河邊找鬼。 笑死断楷,一個胖子當(dāng)著我的面吹牛锨匆,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播冬筒,決...
    沈念sama閱讀 40,145評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼恐锣,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了舞痰?” 一聲冷哼從身側(cè)響起土榴,我...
    開封第一講書人閱讀 39,008評論 0 276
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎响牛,沒想到半個月后玷禽,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,443評論 1 314
  • 正文 獨居荒郊野嶺守林人離奇死亡呀打,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,649評論 3 334
  • 正文 我和宋清朗相戀三年矢赁,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片贬丛。...
    茶點故事閱讀 39,795評論 1 347
  • 序言:一個原本活蹦亂跳的男人離奇死亡撩银,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出豺憔,到底是詐尸還是另有隱情额获,我是刑警寧澤够庙,帶...
    沈念sama閱讀 35,501評論 5 345
  • 正文 年R本政府宣布,位于F島的核電站咪啡,受9級特大地震影響首启,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜撤摸,卻給世界環(huán)境...
    茶點故事閱讀 41,119評論 3 328
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望褒纲。 院中可真熱鬧准夷,春花似錦、人聲如沸莺掠。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,731評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽彻秆。三九已至楔绞,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間唇兑,已是汗流浹背酒朵。 一陣腳步聲響...
    開封第一講書人閱讀 32,865評論 1 269
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留扎附,地道東北人蔫耽。 一個月前我還...
    沈念sama閱讀 47,899評論 2 370
  • 正文 我出身青樓,卻偏偏與公主長得像留夜,于是被迫代替她去往敵國和親匙铡。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 44,724評論 2 354

推薦閱讀更多精彩內(nèi)容