前言

很久沒(méi)做內(nèi)網(wǎng)了，溫習(xí)一下。希望正在學(xué)習(xí)安全的小伙伴不要踏入我初學(xué)內(nèi)網(wǎng)的誤區(qū)。

先來(lái)談?wù)勎覍?duì)內(nèi)網(wǎng)的理解吧，不是技術(shù)的方向。

內(nèi)網(wǎng)學(xué)的東西很多，很雜。當(dāng)時(shí)我問(wèn)了我的大哥，他給我的一句話確實(shí)影響我至今。我說(shuō)內(nèi)網(wǎng)就說(shuō)信息收集，cmd命令能收集，powershell收集也很多，還有類似wmic，或者一些腳本語(yǔ)言寫的信息收集工具，太多了，這些都要學(xué)真的太浪費(fèi)時(shí)間了。他是這么跟我說(shuō)的，很多東西你要學(xué)一輩子都學(xué)不完，但是你把一個(gè)東西學(xué)好了，結(jié)果都是一樣的。確實(shí)是這么個(gè)道理，學(xué)習(xí)需要廣度，能讓你碰到不同的情況乃至極限情況你有解決問(wèn)題的思路。學(xué)習(xí)需要深度，你能在正常情況下創(chuàng)造乃至開辟一條新的道路。所以說(shuō)完全沒(méi)有必要什么命令都背什么命令都記得清清楚楚，最重要的是要有自己的一套滲透手法，能夠達(dá)到效果，就是好的。沒(méi)人在乎你的過(guò)程，除非你真的很6。好了。開始今天的主題。

內(nèi)網(wǎng)這一塊不是我的擅長(zhǎng)，但是也有幸參加過(guò)一些護(hù)網(wǎng)，做過(guò)一點(diǎn)內(nèi)網(wǎng)滲透。總結(jié)性的來(lái)說(shuō)說(shuō)我的思路。

一般來(lái)說(shuō)，我們拿了權(quán)限做的第一件事是維權(quán)，維權(quán)這一塊以后再說(shuō)。因?yàn)楝F(xiàn)在很多時(shí)候涉及免殺，免殺這一塊我研究的不是很多。然后就會(huì)對(duì)當(dāng)前主機(jī)進(jìn)行信息收集。我就獻(xiàn)丑說(shuō)一下自己的信息收集思路?？赡苊畈皇呛芏?，都是靠平時(shí)自己收集的，主要是提供一個(gè)思路，如何實(shí)現(xiàn)自動(dòng)化并且不觸發(fā)告警，才是應(yīng)該操心的。

文件類

（1）配置文件

如果是從web打進(jìn)去的，配置文件是一定要找到，找到了數(shù)據(jù)庫(kù)的賬號(hào)密碼，如果是站庫(kù)分離可能會(huì)拿下第二臺(tái)，如果不是也能獲取數(shù)據(jù)庫(kù)的數(shù)據(jù)，或者說(shuō)用來(lái)做密碼復(fù)用。配置文件一般就在web目錄找config等標(biāo)志性文件。其中如果密碼存在加密的大眾系統(tǒng)可以試試去github找找有沒(méi)有解密腳本。自定義的加密可以嘗試找源碼進(jìn)行破解。

（2）敏感文件

桌面是一定要看的，很多人有保存文件在桌面的習(xí)慣，特別是個(gè)人機(jī)。很有可能記錄了一些密碼信息或者其他網(wǎng)站的登錄賬號(hào)密碼信息，以及一些敏感文件。

（3）其他目錄

這種就是比較隨緣了，因?yàn)閭€(gè)人習(xí)慣不同，稍微有點(diǎn)安全的人可能不會(huì)放在桌面，放在D盤啊等地方。這種可能就不是很好找，但是也可以全局搜索文件名，文件內(nèi)容包含passwd，user，password等字段的文件?；厥照疽部梢钥纯础?/p>

下面放一些我常用的命令，來(lái)源于之前記錄的別人發(fā)的，但是原文找不到了。自己根據(jù)實(shí)際情況改。

第一階段：計(jì)算機(jī)信息類

畢竟域環(huán)境多了一些拿域控，或者kerberos認(rèn)證等等的東西，就還是分開吧。很多時(shí)候盲目的去找一些命令是徒勞無(wú)功的，最主要是你要清楚自己要做什么，針對(duì)性的作信息收集。這里都是說(shuō)的手動(dòng)的，工具類的會(huì)放到最后面。

工作組

（1）ip信息（主要判斷自己的位置已經(jīng)確定能橫向的方向）

還有其他的可以自行去做去找，正常情況下這幾個(gè)命令也夠了，wmic ps那些也可以做到，但是沒(méi)必要，集成的現(xiàn)在太容易被殺了，其他工具也還是靠著平時(shí)自己積累。

（2）端口收集（主要是判斷開放了哪些端口，和哪些機(jī)器連通，有沒(méi)有后續(xù)利用的可能）

netstat-ano //一條就夠了，不需要太多的花里胡哨 也可以自己去根據(jù)習(xí)慣找一些其他的方式。還有一些簡(jiǎn)化的比如查看特定狀態(tài)端口根據(jù)自己的需要去篩選。findstr命令等實(shí)現(xiàn)。

（3）進(jìn)程收集（主要是看看開啟了哪些進(jìn)程，管理員進(jìn)程可能涉及提權(quán)，殺軟進(jìn)程可能涉及免殺，還有一些第三方的進(jìn)程可能涉及可以做權(quán)限維持，這種都是根據(jù)需要去確定的）

對(duì)于防火墻配置一類的，我這里沒(méi)有涉及，是因?yàn)樘厥馇闆r下才會(huì)做。

（4）服務(wù)收集（主要是可能涉及一些提權(quán)，已經(jīng)從服務(wù)中提取敏感信息比如說(shuō)抓取密碼等，可以通過(guò)產(chǎn)品和進(jìn)程去判斷）

（5）計(jì)劃任務(wù)?（涉及提權(quán)，權(quán)限維持等，也可能通過(guò)計(jì)劃任務(wù)發(fā)現(xiàn)腳本文件中可能存在敏感內(nèi)容）

（6）用戶收集（主要是對(duì)提權(quán)或者橫向移動(dòng)做鋪墊）

（7）憑證收集

這一塊最常用的還是抓hash，肯定首推是mimikatz。不過(guò)要做好免殺，免殺的方式就不說(shuō)了，之前測(cè)試一些腳本加載過(guò)某0還是沒(méi)有問(wèn)題的，現(xiàn)在很久沒(méi)弄過(guò)了不知道了。關(guān)于其他的一些比如xshell，瀏覽器密碼抓取的工具，就需要自己平時(shí)多收集了，當(dāng)前有條件的自己寫也還是沒(méi)問(wèn)題的。還要個(gè)人機(jī)上一些wifi密碼可能也有用，這個(gè)就看自己習(xí)慣了。

（8）其他收集（主要是一些共享啊之類的）

域環(huán)境

工作組的環(huán)境比較單一，且鑒權(quán)都是在本地做，所以沒(méi)有太多的花里胡哨。域環(huán)境可能會(huì)麻煩一點(diǎn)，接下來(lái)我會(huì)從思路上去簡(jiǎn)述信息收集，爭(zhēng)取能夠給大家一個(gè)比較清晰的腦圖，現(xiàn)在我們暫定我們的目標(biāo)是域控。

（1）當(dāng)我們拿到一個(gè)機(jī)器之后，肯定是先判斷域環(huán)境

（2）確實(shí)是域環(huán)境以后，要對(duì)本機(jī)做信息收集

（3）需要判斷域控

（4）鑒于有委派或者約束委派這些攻擊方式，可能會(huì)需要查找一些服務(wù)用戶，也就是spn相關(guān)。

（5）域環(huán)境中exchange的權(quán)限很高的，有經(jīng)驗(yàn)的老師傅可能會(huì)進(jìn)來(lái)就找郵服，這一塊我沒(méi)有做過(guò)，就說(shuō)一下我自己收集的。

（6）面試的時(shí)候會(huì)必問(wèn)的問(wèn)題，如果尋找域控，如何拿下域控，對(duì)于這些方法需要的前提，都是我們必須要進(jìn)行收集的。

對(duì)于本機(jī)的收集上面重復(fù)的我就不多說(shuō)了，注意一下下面的點(diǎn)就行了。

（1）ip收集

此時(shí)的ip收集我們需要關(guān)注一下dns，因?yàn)橥ǔＧ闆r下，域控可能就是dns服務(wù)器。

（2）端口搜集

本機(jī)端口收集還是正常的和工作組一樣

（3）進(jìn)程收集

此時(shí)的進(jìn)程收集我們需要留意一下域管啟用的進(jìn)程，如果能夠竊取hash，或者直接導(dǎo)出域管hash，基本已經(jīng)意味著我們有域控權(quán)限了。

（4）服務(wù)收集

（5）用戶與機(jī)器收集

（6）憑證收集

和上面一樣，只不過(guò)這里可以針對(duì)權(quán)限去分出來(lái)從目前的用戶看我們有什么權(quán)限

（7）其他收集

也是屬于撿垃圾了，雜七雜八的收集，沒(méi)想到，想到了再說(shuō)。

第二階段：橫向信息收集

經(jīng)過(guò)我們上面各個(gè)模塊的收集完成后，我們對(duì)我們當(dāng)前計(jì)算機(jī)的情況已經(jīng)有所了解了。該提權(quán)提權(quán)，改拿小本本記錄就記錄?，F(xiàn)在進(jìn)入第二階段了，橫向移動(dòng)的收集。橫向我分為兩種，一種是定向橫向，比如我專門打郵服，或者專門打弱口令，只掃描特定端口。還有一種是全方位橫向，就是我對(duì)所有可達(dá)的ip端都進(jìn)行探測(cè)，這種動(dòng)靜就會(huì)比較大，但是橫向最主要其實(shí)也是收集ip和端口了。有web業(yè)務(wù)打web，有弱口令能ssh或者rdp就試試，ftp能匿名訪問(wèn)也是分，redis未授權(quán)可能還能彈回來(lái)個(gè)shell。這里就八仙過(guò)海各顯神通了。我這里分為ip和端口進(jìn)行收集來(lái)討論。

ip類

集成的工具最后再說(shuō)，先說(shuō)手動(dòng)的。

常見(jiàn)的可能是利用腳本或者cmd命令進(jìn)行收集。這里列舉幾個(gè)

端口類

按照這種思路下來(lái)，我們只需要針對(duì)我們某個(gè)步驟，選擇我們理想的方式或者工具去實(shí)現(xiàn)，就能收集到很多的信息。而且思路清晰，明確自己下一步需要做什么。

工具

用戶

用戶爆破

https://github.com/ropnop/kerbrute

用戶枚舉

https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

https://github.com/mubix/netview/

獲取服務(wù)用戶

kerberoast

GetUserSPNs.ps1

ip

（1）nbtscan.exe

（2）arpscan.exe

（3）ServerScan?https://github.com/Adminisme/ServerScan

（4）msf模塊

auxiliary/scanner/discovery/arp_sweep

auxiliary/scanner/discovery/udp_sweep

auxiliary/scanner/discovery/udp_probe

auxiliary/scanner/netbios/nbname

端口

端口爆破

PortBrute?https://github.com/awake1t/PortBrute

服務(wù)

MSF

auxiliary/scanner/smb/smb_version

auxiliary/scanner/ftp/ftp_version 發(fā)現(xiàn)ftp

auxiliary/scanner/ssh/ssh_version 發(fā)現(xiàn)ssh

auxiliary/scanner/telnet/telnet_version 發(fā)現(xiàn)telnet

auxiliary/scanner/mysql/mysql_version 發(fā)現(xiàn)mysql

密碼爆破

https://github.com/fireeye/gocrack

https://github.com/dafthack/DomainPasswordSpray

web掃描

https://github.com/broken5/bscan

https://github.com/phantom0301/PTscan

域與非域集合工具

（1）Seatbelt.exe

Seatbelt.exe -group=user -full 運(yùn)行普通用戶權(quán)限檢查的模塊 -full返回輸出

Seatbelt.exe -group=all 運(yùn)行所有模塊（需要管理員權(quán)限）

Seatbelt.exe -group=system #運(yùn)行檢查系統(tǒng)相關(guān)的信息

Seatbelt.exe -group=misc #運(yùn)行所有其他檢查（包括瀏覽器記錄）

Seatbelt.exe -group=chrome 運(yùn)行瀏覽器歷史等模塊

（2）BloodHound

https://github.com/BloodHoundAD/BloodHound/releases

（3）WinPwn

https://github.com/S3cur3Th1sSh1t/WinPwn/

（4）domainTools

https://github.com/SkewwG/domainTools

（5）Rubeus.exe

https://github.com/GhostPack/Rubeus

（6）powerview && powersploit

（7）fscan

https://github.com/shadow1ng/fscan

集合腳本

?最后

自動(dòng)化方便是一回事，必然會(huì)帶來(lái)弊端。動(dòng)靜大，易查殺等。腳本小子終究只是一時(shí)爽。最后還是要自己走安全開發(fā)自己寫工具，在特定的環(huán)境下能實(shí)現(xiàn)功能才行。就難得總結(jié)工具了，多培養(yǎng)培養(yǎng)思維多學(xué)習(xí)學(xué)習(xí)底層還是長(zhǎng)久之道。

這篇文章只是拋磚引玉給大家提供一個(gè)思路，還有很多東西沒(méi)用收到。但是信息收集和漏洞利用總是相依相存的。比如委派，郵服這些。或者是需要一些漏洞利用鏈的時(shí)候。擴(kuò)大自己的攻擊技術(shù)和攻擊面，了解新的攻擊方式應(yīng)該是最重要的，可能一條路不同我換了一種攻擊方式，搜集一下需要實(shí)現(xiàn)的前置條件都滿足，自然也就打下來(lái)了。隨機(jī)應(yīng)變。有些工具是之前收集的說(shuō)實(shí)話都沒(méi)有用上過(guò)，所以工具在精在順手不在多。選擇合適自己的才最重要。參考文獻(xiàn)

福利

關(guān)注私我獲取更多【網(wǎng)絡(luò)安全學(xué)習(xí)攻略·資料】