内网（域）渗透测试流程和模拟测试day--3--迈入内网（内网信息收集）

前景提要：

        我们通过自建靶场存在简单的漏洞 ，getshell后，就已经拿到了web服务器的控制权限，但是一般来说，我们不会拿到像我们靶场这样高用户权限，再有甚者我们的“服务在容器里”，这就会涉及到更复杂的权限提升和云安全。     

                          -- 在这里我们不介绍这些，我们会在后序补充，而是继续已经getshell后的操作。

转入内网

        前置知识

                远程控制工具：CS (Cobalt Strike)

           之前我们已经通过蚁剑工具getshell以后，现在我们已经进入了模拟企业的对外服务器（web），我们已经踏上了内网渗透的 第一步，我们已经进入了后渗透   

后渗透操作：

1. 提权：提升权限以访问更多资源和数据。

2. 横向移动：访问网络中的其他系统，扩大控制范围。

3. 访问敏感数据：搜索和访问如个人身份信息、财务记录等敏感信息。

4. 维持访问权限：植入后门或使用其他技术确保长期访问。

5. 清除痕迹：删除日志文件等，以逃避检测和取证分析。

        

1.收集靶机信息

通过netstat -ano

指令收集已开启的端口信息，但是一般来说想在win的窗口界面操作靶机（也就是使用win自带的远程桌面连接软件）是不可能的，因为win下的服务器这种一般不会开启3389port（也就是win的自带远程操作软件），这个时候我们可以写入注册表，来关闭防火墙（或者放行该口）

开启3389port cmd:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

顺带说明注册表的打开方式

win +R 后输入 regedit

就进入了

查看防火墙状态并关闭：

netsh firewall show state

netsh firewall set opmode disable

2.如何获取靶机的账号主机（win）

---我们虽然获取到了主机的shell，但是我们并不知道主机的账号和密码

接下来我们先获取靶机的账号：

whoami

注意：

这个时候我们获取到的格式可能是：xyz\AB

前面的xyz可能是主机名也可能是域名（我们前面已经讲过）

而AB就是账户名

我们这个时候就要输入

hostname

来查看当前主机的名字

3.获取当前靶机的密码

Windows使用使用两种方法对用户密码进行哈希处理：

1、LAN Manager
2、NTLAN Manager

NTLM-HASH比LM-HASH更安全

2008版本取消了LAN Manager

我们使用便携工具

Sam+mimikatz

这里需要讲的是，在win2012以上的版本我们的win密码不再明文保存，需要修改注册表

我们只需要通过我们之前连接的蚁剑上传mimikatz就可以了

这样就可以获取到当前靶机的密码

注意：这些工具都是需要很高的权限，我们这里默认已经进行了win提权且获取到了较高的权限

我们在这里也不考虑维权的操作。

4.其他内网信息收集

主要收集信息

        （1）网络组成结果 （2）ip地址 （3）其他（域内）主机账号名（4）网络通道

我们在当前靶机输入：

systeminfo

即可获取相当多的主机信息

至于主机的ip地址应该不用说了

我们再通过net user/domain 获取到靶机的域名信息

还有net group "domain computer"/damain

查看其他域内主机信息

域控查看：

nslookup -type=SRV _ldap._tcp

我们查看到的xxx.mn.zzz的格式，其中xxx就是主机名，mn.zzz是域名

5.测试其他域内主机的状态

查看ip信息

arp -all

通过ping命令查看主机（域内主机名，也就是上述的xxx.mn.zzz格式）是否存活和其主机对应的ip地址

ping xxx.xx.xxx

我们的目的就是通过这个台靶机，来去控制域控，获得的域内最大的主机，这个域就被打穿了