注意：一切内容仅用于信息技术分享，切勿用于其他用途，一切后果与作者无关。

前言：

通过命令执行使用cs拿到了内网的一台主机，接下来我们进行内网的信息搜集。

1、内网环境分析

内网渗透：

        在拿到webshell的时候，想办法获取系统信息拿到系统权限，进入网络系统内部之后信息搜集内部网络的各种信息，获取内部网络有价值的人员、资产信息。

内网渗透的第一步，内网信息收集。

内网基础环境判断：

        IP、网关、DNS、是否能连通外网、网络连接及端口、本机host文件、机器的代理、是否在域内，域名是什么

分析机器所处位置区域：

        DMZ区、办公区、生产区、核心DB等等

扩展：DMZ，是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。

分析机器的角色：

        普通web服务器、开发服务器、文件服务器、代理服务器、DNS服务器、数据存储服务器等

分析进出口流量是否能连通：

        协议的判断：常见的TCP、DNS、HTTP、ICMP等协议

        端口的判断：外网vps做监听，内网机器测试常见端口，常见能出去的端口有80,8080,443,53,110,123等

2、工作组信息搜集

工作组介绍：

        工作组是最常见最简单最普通的资源管理模式，就是将不同的电脑按照功能分别列入不同的组中，以方便管理。

本机信息搜集：

        操作系统、权限、内网IP地址段、杀软、端口、服务、补丁情况、网络环境情况、共享、会话等，如果是域内主机，那么操作系统、应用软件、补丁、服务、杀软一般都是批量安装的。

内网网段信息收集：

        只有找到不同网段才能进行纵向渗透，否则只能进行横向渗透

        1、内网网段扫描

        2、文件共享、FTP连接记录、浏览器访问记录、mstsc连接记录

        3、渗透路由器、交换机

用户信息：

1、查看本机用户列表

        net user

2、获取本地管理员信息

        net localgroup administrators

3、查看当前在线用户

        quser

        quser user

        quser user || qwinsta

4、查看当前用户在目标系统中的具体权限

        whoami /all

5、查看当前权限

        whoami && whoami /priv

6、查看当前机器中所有的组名，了解不同组的职能

        net localgroup

系统信息

1、查询网络配置信息。进行IP地址段收集

        ipconfig/all

2、查询操作系统及软件信息

        systeminfo | findstr

3、查看当前系统版本

        wmic OS get Caption，CSDversion，OSAchitecture，Version

4、查询本机服务信息

        wmic service list brief

5、查看安装的软件版本、路径等(容易造成卡顿)

        wmic product get name,version

6、进程信息

        tasklist

7、查看启动程序信息(自启动)

        wmic startup get command,caption

8、查看计划任务（定时启动任务）

        at(win10之前)

        schtasks /query /fo LIST /v (win10)

        如果出现错误：无法加载列资源，则使用chcp 437 修改成美版的编码

9、列出或断开本地计算机所连接的客户端的对话

        net session

10、查询端口列表，本机开放的端口所对应的服务和应用程序

        netstat -ano        netstat -ano | findstr 445        管道符

11、查看远程连接信息

        cmdkey /l

12、查看补丁列表

        systeminfo | findstr KB

13、查看杀软

wmic /namespace:\\root\SecurityCenter2 path AntiVirusProduct get displayName,productState

14、查看hosts文件

        type c:\windows\system32\drivers\etc\hosts

        cat etc/host

15、查看本机共享列表和可访问的域共享列表

        net share

16、磁盘映射

        net use k: \\192.168.131.135\c:$

17、查看系统设置的代理

REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer

3、域内信息搜集

域：域是一个有安全边界的计算机集合

安全边界：在两个域中，一个域中的用户无法访问另一个域中的资源

工作组只使用于小部分的

登录到域中的时候，身份验证是采用Kerberos协议在域控制器上进行的

登录到此计算机时，时是通过SAM来进行NTLM验证的

默认情况下，域用户可以登录到域中所有的工作站，不包括域控制器，管理员也可以指定具体的计算机，域用户信息保存在活动目录中。

域控：DC

在架构中域控是用来管理所有客户端的服务器，它负责每一台连入的电脑和用户验证工作，域内电脑如果想相互访问首先都得经过它的审核。

域控是域架构的核心，每个域控制器上都包含了AD活动目录数据库。一个域中可能要有至少两个域控，一个作为DC，一个作为备份DC

活动目录：AD

• 域环境中提供目录服务的组件；
• 在活动目录中，所有的网络对象信息以一种结构化的数据存储方式来保存；
• 活动目录存储着有关网络对象的信息，如用户、组、计算机、共享资源、打印机和联系人等
• 安装有AD活动目录的服务器就是域控DC

用户可以通过AD活动目录定位到内网中的资源位置

DNS域名服务器（在域控上面）

• 域控服务器要求DNS服务器按名查找计算机、成员服务器和网络服务
• 域名解析：DNS服务器通过其A记录将域名解析成IP地址
• 定位活动目录服务：客户机通过DNS服务器上的SRV服务记录定位提供某一个服务的计算机

域信息收集的指令

 查看当前登录域及与用户

net config workstation  //查看当前登录域及与用户和是否域用户

 查看域内时间

net time /domian   //主要用于域内时间判断，域内能使用，非域环境不可用

查看所有域

net view /domain （查看所有的域）

 查看域内其他主机

net view /domain：WINTRYSEC （查看域内所有主机）

 查看域控主机

net group “domain admins ” /domain

查看域内用户

net user /domain

查看域名ip

nslookup  test.com