零基礎(chǔ)學(xué)黑客群嗤，搜索公眾號：白帽子左一

另，免費(fèi)領(lǐng)取黑客入門學(xué)習(xí)資料包及練手靶場肿男！

進(jìn)入內(nèi)網(wǎng)之后幸逆，是一種由點(diǎn)到線再到面的測試，先弄清楚當(dāng)前機(jī)器的情況闰渔，如在域中角色席函，提供的服務(wù)等信息；再以此為跳板收集其它機(jī)器的信息冈涧，當(dāng)收集的信息足夠多茂附，拿下域控的可能型也就越高。

本機(jī)信息收集

為了后續(xù)的提權(quán)等操作督弓，首先要盡可能拿下當(dāng)前機(jī)器的權(quán)限营曼，所以對當(dāng)前機(jī)器的信息收集也是必要的。

查看系統(tǒng)配置信息

ssysteminfo?查看系統(tǒng)信息愚隧，但是內(nèi)容太多在某些時(shí)刻無法通過菜刀等工具看到返回的結(jié)果溶推，可以將內(nèi)容輸出到某個(gè)文件，也可以結(jié)合findstr?查詢指定內(nèi)容奸攻，如查詢操作系統(tǒng)即軟件的信息?systeminfo | findstr /B /C:"OS"

該指令輸入的內(nèi)容是比較多的，除了使用finder選擇輸出外虱痕，部分信息可以使用其它指令單獨(dú)顯示睹耐，比如echo %processor_architecture%查看系統(tǒng)架構(gòu)，net statistics workstation查看系統(tǒng)啟動(dòng)時(shí)間

其中的補(bǔ)丁信息可以使用wmic qfe get caption,description,hotfixid,installedon獲取

WMIC擴(kuò)展WMI（Windows Management Instrumentation部翘，Windows管理工具） 硝训，提供了從命令行接口和批命令腳本執(zhí)行系統(tǒng)管理的支持。在cmd中有些時(shí)候查到的數(shù)據(jù)不全新思，如某些進(jìn)程的pid窖梁，這時(shí)可以使用wmic進(jìn)行操作，WMIC提供了大量的全局開關(guān)夹囚、別名纵刘、動(dòng)詞、命令和豐富的命令行幫助增強(qiáng)用戶接口荸哟。

wmic product get name,version,查看系統(tǒng)安裝的軟件版本等內(nèi)容假哎。

wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list查殺軟

初次之外瞬捕，還可以使用netsh firewall show config和netsh advfirewall firewall show config查看防火墻配置信息

查看系統(tǒng)服務(wù)信息

wmic startup get command,caption,查看啟動(dòng)程序信息

wmic service list brief,查詢本機(jī)服務(wù)信息

還可以使用tasklist?查詢進(jìn)程信息

schtasks /query /fo LIST /V,查看計(jì)劃任務(wù)

netstat -ano查看端口列表

注意，一般查看進(jìn)程端口舵抹，先查進(jìn)程pid肪虎，在根據(jù)pid查端口

查看系統(tǒng)登錄信息

query user,登錄到系統(tǒng)的用戶信息

net session,列出連接會(huì)話信息，但是一般需要高權(quán)限才能執(zhí)行

自動(dòng)信息收集

很多后滲透模塊都可以進(jìn)行信息收集惧蛹，這里不談扇救，分享個(gè)嫖到的腳本

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"

wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html

wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html

wmic USERACCOUNT list full /format:"%var%" >> out.html

wmic group list full /format:"%var%" >> out.html

wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html

wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html

wmic netuse list full /format:"%var%" >> out.html

wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html

wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html

wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html

wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html

wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html

復(fù)制為bat文件,結(jié)果為out.html保存在c盤根目錄,名稱路徑可自行修改。

域內(nèi)信息收集

判斷是否存在域

whoami,如果當(dāng)前賬戶為域用戶香嗓，則返回結(jié)果通常為域名\用戶名

ipconfig,如果是雙網(wǎng)卡迅腔，一般存在內(nèi)網(wǎng)

systeminfo,如果在域中，則如圖陶缺，否則為workgroup

net config workstation,在域中钾挟，通常計(jì)算機(jī)全名為計(jì)算機(jī)名.域名

不在域中如下圖

net time /domain,查看時(shí)間服務(wù)器，域中機(jī)器的dns服務(wù)器和時(shí)間服務(wù)器通常為域控機(jī)饱岸。如下圖則是存在域且當(dāng)前登錄用戶為域用戶

如下圖則表示不在域中

如下圖則表示在域中掺出，但當(dāng)前用戶非域用戶

除此之外，收集其它內(nèi)容的時(shí)候都能看到苫费，比如系統(tǒng)信息汤锨，用戶信息等

探測域內(nèi)存主機(jī)&端口

探測存活主機(jī)和端口平時(shí)最容易想到的工具是nmap,但這個(gè)工具太大，直接安裝存在風(fēng)險(xiǎn)百框，端口轉(zhuǎn)發(fā)受限于網(wǎng)絡(luò)環(huán)境闲礼，這里聊聊其它方法

powershell

powershell可以在滲透中提供強(qiáng)大的助力，下面這些腳本使用的時(shí)候記得修改?ip地址

掃描存活ip铐维，最前面的1..255是ip地址的d段柬泽，最后范圍是192.168.0.1-255，判斷和修改方式下同

1..255 | % {echo "192.168.0.$_"; ping -n 1 -w 100 192.168.0.$_} | Select-String ttl

判斷主機(jī)類型嫁蛇，根據(jù)ttl值判斷锨并，范圍192.168.0.1-255

1..255 | % {echo "192.168.0.$_"; ping -n 1 -w 100 192.168.0.$_} | Select-String ttl |% { if ($_ -match "ms") { $ttl = $_.line.split('=')[2] -as [int]; if ($ttl -lt 65) { $os = "linux"} elseif ($ttl -gt 64 -And $ttl -lt 129) { $os = "windows"} else {$os = "cisco"}; write-host "192.168.0.$_ OS:$os" ; echo "192.168.0.$_" >> scan_results.txt }}

掃描端口

24..25 | % {echo ((new-object Net.Sockets.TcpClient).Connect("192.168.1.119",$_)) "Port $_ is open!"} 2>$null

24..25 |% {echo "$_ is "; Test-NetConnection -Port $_ -InformationLevel "Quiet" 192.168.1.119}2>null

掃描指定端口的ip

foreach ($ip in 1..20) {Test-NetConnection -Port 80 -InformationLevel "Detailed" 192.168.0.$ip}

arp掃描

在內(nèi)網(wǎng)里通常使用mac地址進(jìn)行機(jī)器尋找，其可以通過arp協(xié)議實(shí)現(xiàn)

小工具

由很多免安裝的小工具也可以進(jìn)行掃描睬棚，比如nbtscan,直接傳到目標(biāo)服務(wù)器上運(yùn)行即可,工具下載地址：http://www.unixwiz.net/tools/nbtscan.html?第煮，用法：nbtscan.exe 網(wǎng)段?，更多用法參考:nbgtscam.exe /?

含義如下：

|Token|含義|

|——|——|

SHARING|機(jī)器正在運(yùn)行的文件和打印共享服務(wù)抑党，但這并不一定有內(nèi)容共享

DC|機(jī)器可能是Windows NT域控制器包警，無論是主域還是輔助域。

U=user |機(jī)器可能有一個(gè)具有指定名稱的登錄用戶

IIS |機(jī)器可能安裝了Microsoft的Internet信息服務(wù)器（IIS）

EXCHANGE |機(jī)器可能安裝Microsoft Exchange

NOTES |單機(jī)器可能安裝Lotus Notes電子郵件客戶端

? |沒有識別出NETBIOS資源

telnet

telnet常規(guī)使用是和服務(wù)器建立連接底靠，也開業(yè)用來探測端口是否開放

用法：telnet 主機(jī) 端口害晦，如：telnet dc 3389。注意：不是所有機(jī)器都安裝了此服務(wù)暑中。

查看用戶&機(jī)器&會(huì)話相關(guān)信息

查看機(jī)器相關(guān)信息

net view /domain,查詢域信息篱瞎，判斷當(dāng)前機(jī)器加入的域

net view /domain:域名,查詢域內(nèi)所有主機(jī)

在域中苟呐，有一類至關(guān)重要的機(jī)器叫域控制器，簡稱域控俐筋，機(jī)器名通常為DC牵素，在實(shí)際環(huán)境中，域控為一主一備用兩臺(tái)澄者。

netdom query pdc,查看域控名稱

查看用戶相關(guān)信息

net user查詢當(dāng)前機(jī)器所有用戶笆呆，net user /domain查看域用戶

net user 用戶名查看當(dāng)前機(jī)器內(nèi)的用戶信息

net user 用戶名 /domain查看當(dāng)前機(jī)器內(nèi)的域用戶信息

注意對比上述結(jié)果的區(qū)別，此外net user localgroup,net user localgroup /domain和net group /domain也是有區(qū)別的

wmic useraccount get /all,獲取域內(nèi)用戶的詳細(xì)信息