内网渗透之——网络信息收集(内网区域其他主机的信息收集、端口扫描、以及域里的一些常用命令)

本文详细介绍使用nmap、S.exe、nc等工具进行端口扫描的方法,涵盖跨平台操作、代理设置、自定义脚本及常见信息收集命令,如获取计算机列表、用户信息和域控定位。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

端口扫描

nmap是一个跨平台的信息收集工具,基于命令行,当然也有图形化界面,znmap,当进入内网后,操作与外网扫描基本一致,只是把对一个ip改为对一系列的ip地址段进行扫描

namp

1.直接上传nmap到目标机

1.1扫描内网有多少主机在线

nmap.exe -sP 内网地址段或单个ip

内网地址段:192.168.x.x        172.16.x.x -172.31.x.x        10.x.x.x

2.对在线的某台机器进行端口扫描

nmap.exe ip

2.通过代理不上传远程使用nmap

1.上传regeorg到内网的dmz

2.通过regeorg进行代理内网的dmz机

python reGeorgSocksProxy.py -u (regeorg上传地址/tunnel.aspx)

3.修改/etc/proxychains.conf配置文件

socks5 127.0.0.1 8888

4.通过代理的形式使用nmap进行端口扫描

proxychains nmap -sT -Pn -p 80,445,3389 10.1.1.1

s扫描器

S.exe,这个程序是windows下的一款高速扫描程序

1.先将S.exe上传

2.使用

2.1 TCP扫描218.80.12.1到218.80.12.123这IP段中的80端口,最大并发线程是512

S.exe TCP 218.80.12.1 218.80.12.123 80 512

2.2 TCP扫描218.80.12.1到218.80.12.123这IP段中的21和5631端口,最大并发线程是512,并显示Banner

S.exe TCP 218.80.12.1 218.80.12.123 21,5631 512 /Banner

2.3 TCP扫描218.80.12.1到218.80.12.12这IP段中的1到200端口,最大并发线程是512

S.exe TCP 218.80.12.1 218.80.12.12 1-200 512

2.4 TCP扫描218.80.12.7这IP中的1到200端口,最大并发线程是512,将结果写入Result.txt,扫描结束后Result.txt就存放在你的S扫描器所在的目录里,刚才扫描的东西都在里面

S.exe TCP 218.80.12.7 1-200 512 /save


2.5 SYN扫描218.80.12.7这IP中的1到65535端口,将结果写入Result.txt,扫描结束后Result.txt就存放在你的S扫描器所在的目录里,刚才扫描的东西都在里面

S.exe SYN 218.80.12.7 1-65535 /Save

2.6 SYN扫描218.80.12.1到218.80.12.255这IP段中的21端口,将结果写入Result.tx,扫描结束后Result.txt就存放在你的S扫描器所在的目录里,刚才扫描的东西都在里面

S.exe SYN 218.80.12.1 218.80.12.255 21 /Save

nc

nc是一个网络工具,可以用来扫描端口

使用:

扫描一个ip的80-445端口

nc -nvv -w2 -z ip 80-445

自写脚本

php,python,perl,ruby,java,c等程序都可以用来做端口扫描,同时还可以使用bat或者shell脚本来做扫描

python

#!/usr/bin/env python
 
import socket
 
def get_ip_status(ip,port):
    server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    try:
        server.connect((ip,port))
        print('{0} port {1} is open'.format(ip, port))
    except Exception as err:
        print('{0} port {1} is not open'.format(ip,port))
    finally:
        server.close()
 
if __name__ == '__main__':
    host = '10.0.0.11'
    for port in range(20,100):
        get_ip_status(host,port)

php

$arr = [80,8080,3306];
foreach ($arr as $port) {
    $fp = @fsockopen('172.29.159.198',$port,$errno,$errstr,0.1);
    if (!$fp) {
        echo $port." closed\n";
    }else{
        echo $port." Opend\n";
    }
}

常见信息收集命令

1.获取当前组的计算机名
使用条件:server和computer Browser服务都开启

net view

2.获取当前所有域

net view /domain

3.获取workgroup工作组中的计算机列表

net view /domain:hacker

4.获取计算机名对应的IP地址

ping -n 1 -4 dc


 如果计算机名很多的时候,可以利用bat批量ping获取ip

@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "命令成功完成" /v ^|find "The command completed successfully." /v`) DO (
@FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO (
@FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo %%k  %%j)
)
)

以下执行命令时候会发送到域控查询,如果渗透的机器不是域用户权限,则会报错

5.查看域中用户

dsquery user  或者  net user /domain


6.查看域用户组

net group /domain

7.查询域管理员

net group "Domain Admins" /domain

Admins处替换其他域组名称,即可查看其他域组内容

8.添加域用户
添加普通域用户

net user lp 123.com /add /domain

将普通域用户提升为域管理员

net group "Domain Admins" lp /add /domain

查看用户信息      

net user lp /domain

9.查看当前计算机名,全名,用户名,系统版本,工作站域,登陆域

net config workstation

10.查询所有计算机名称

dsquery computer
net group "Domain Computers" /domain
net group "Domain Controllers" /domain

11.net命令
映射磁盘到本地(高权限用户)

net use z: \\计算机名或者ip\盘符或者分区

查看共享(看不到$的隐藏共享)

net view \\ip


开启一个共享名为app$,在d:\config

net share app$=d:\config

12.路由追踪

tracert 公网dns地址

13.定位域控
查看域时间及域服务器的名字

net time /domain


查询域控

net group "Domain Controllers" /domain


通过ipconfig配置查找dns地址

ipconfig /all    拿到dns地址
ping -a dns地址  返回计算机名

14.dsquery的一些使用
列出该域内所有的机器名

dsquery computer domain root -limit 65535 && net group "domain computers" /domain

 列出该域内所有用户名

dsquery user domain root -limit 65535 && net user /domain

列出该域内网段划分

dsquery subnet

列出该域内分组

dsquery group && net group /domain

列出该域内组织单位

dsquery ou

列出该域内域控制服务器

dsquery server && net time /domain

列出域管理账号

net group "domain admins" /domain

 

### 内网横向渗透攻击的网络流量特征 在网络环境中,内网横向移动是指攻击者在成功入侵一个内部主机后,在同一网络内的其他计算机之间传播的行为。这种行为通常伴随着特定类型的网络活动模式。 #### SMB协议异常使用 由于许多横向移动依赖于Windows操作系统中的服务消息块(SMB)协议来访问文件共享和其他资源,因此频繁或不寻常的SMB请求可能表明存在潜在的风险。例如,当`CrackMapExec`这样的工具被用来扫描整个环境时,它会通过发送大量的SMB连接尝试到不同的IP地址来进行枚举操作[^2]。 #### 远程执行命令和服务控制管理器(RPC/SCM) 攻击者可能会利用远程过程调用(RPC)接口以及服务控制管理器(SCM),这些都可能导致非标准端口上的通信增加,尤其是TCP 135, 445等端口。此外,如果观察到了来自已知合法进程之外的新建计划任务或者启动的服务实例,则应引起注意。 #### DNS查询激增 为了发现更多可攻破的目标机器,恶意软件常常会对名服务器(DNS)发起大量查询请求以获取有关目标系统的更多信息。这可以表现为短时间内DNS日志中出现了过多关于未授权子网范围内的名称解析记录。 #### 非法凭证传递(PtH/PtT) Pass-the-Hash (PtH) 和 Pass-the-Ticket (PtT) 技术允许攻击者无需知道明文密码即可冒充用户身份登录并获得权限。这类事件会在认证过程中留下痕迹,比如Kerberos票据授予票证(TGT)分发次数增多或是NTLM哈希验证失败率上升等情况。 --- ### 安全防护措施 对于上述提到的各种流量特点所对应的防御方法如下: #### 实施严格的最小特权原则 确保所有账户只拥有完成其工作所需的最低限度权利,并定期审查和调整权限设置。这样即使某个节点遭到破坏,也能减少进一步扩散的可能性。 #### 加强监控与检测机制 部署先进的EDR(Endpoint Detection and Response)/XDR扩展型威胁响应平台,它们能够实时监测可疑行为并对异常情况进行告警;同时配合SIEM系统收集多源数据进行关联分析找出隐藏较深的日志线索。 #### 更新补丁及时修复漏洞 保持操作系统及相关应用程序处于最新状态非常重要,因为很多横向移动都是基于已公开但尚未修补的安全缺陷展开的。组织应该建立有效的补丁管理系统,快速响应新发布的安全更新。 #### 教育员工提高意识水平 最后也是最容易忽视的一环就是人的因素——培训工作人员识别钓鱼邮件、社会工程学陷阱以及其他形式的社会欺骗手段,从而降低人为失误带来的风险敞口。 ```bash # 使用防火墙规则限制不必要的外部连接 sudo iptables -A OUTPUT -p tcp --dport 445 -j DROP ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值