進入到內網后，首先要對自己當前所處的網絡環境有一個清楚地判斷，收集到有關當前環境足夠多的信息，為接下來的滲透做好準備

PS：文中提到的PowerSploit

本機信息

包括操作系統，當前用戶權限，內網ip段，殺毒軟件，端口開放情況，系統打的補丁，網絡狀況，共享文件夾等，如果是域內的主機的話，操作系統、補丁、運行的服務、殺軟等一般是域管批量用腳本安裝的。

本機網絡配置

• ipconfig /all：

### 操作系統

• 查詢操作系統及版本信息，補丁信息等等：systeminfo

• 查詢系統體系架構：echo %PROCESSOR_ARCHITECTURE%

• 查詢已安裝的軟件及版本信息：wmic product get name,version

PS：在win10中，輸入wmic /?會提示wmic已棄用，但在server2012R2，win7等版本中可以正常使用

• • powershell中可替代該命令的是Get-WmiObject:Get-WmiObject -class win32_product | Select-Object -property name,version

• 查詢本機服務：wmic service list brief

• 查詢進程：tasklist，或者：wmic process list brief

常見的殺軟進程：

進程名軟件360sd.exe360殺毒360tray.exe360實時保護ZhuDongFangYu.exe360主動防御KSafeTray.exe金山衛士SafeDogUpdateCenter.exe安全狗McAfee McShield.exeMcAfeeegui.exeNOD32AVP.exe卡巴斯基avguard.exe小紅傘bdagent.exeBitDefender

• 查看已啟動的程序信息：wmic startup get command,caption

• 查看計劃任務：schtasks /query /fo LIST /v
  此處在我的靶機Server2008R2中出現了錯誤：無法加載列資源，這里把編碼暫時設置為英文：chcp 437，之后再改回來：chcp 936即可

• 查看主機的開機時間：net statistics workstation

• 查看用戶列表：net user

• 查看本地管理員信息：net localgroup administrators

• 查看當前在線的用戶：query user || qwinsta

• 查看本地計算機與所連接客戶端之間的會話：net session
  對于該指令，一開始我的機器上報錯："發生系統錯誤5。拒絕訪問"，找了一下解決辦法，只要以管理員身份運行即可，此處靶機沒有回話，所以顯示為空

• 查看端口：netstat -ano

• 查看補丁信息：systeminfo,wmic qfe get caption,description,hotfixid,installedon

• 查看本機共享列表：net share，wmic share get name,path,status

• 查詢路由表及所有可用的ARP緩存表：route print，arp -a

• 查看防火墻相關：
  • 查看防火墻配置：netsh firewall show config

• • 關閉防火墻：
    • winserver 2003之前：netsh firewall set opmode disable
    • winserver 2003之后：netsh advfirewall set allprofiles state off
      一般來說不要操作防火墻的開關，風險極大，只需要查看配置即可

• 查看代理：reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings"

• 查詢遠程連接服務：reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlsetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber

連接端口為16進制數0xd3d，轉換為10進制就是3389

使用empire收集信息

在攻擊機上安裝empire后，使用usemodule powershell/situational_awareness/host/winenum即可收集相關信息，注意使用該模塊需要拿到管理員權限

權限

• 查看當前權限：whoami

• 獲取域id：whoami /all

• 獲取指定用戶的詳細信息：net user xxx /domain

## 判斷是否存在域

• 使用ipconfig /all即可做出判斷

• 此時發現域名后，利用nslookup命令直接解析域名的ip，借此來判斷dns服務器與域控是否在同一主機上nslookup 域名

• 查詢當前的登錄域與用戶信息：net config workstation

• 判斷主域：net time /domain

若是此命令在顯示域處顯示WORKGROUP，則不存在域，若是報錯：發生系統錯誤5，則存在域，但該用戶不是域用戶
## 探測域內存活主機

• 利用ICMP進行探測：for /L %I in (1,1,254) DO @ping -2 1 -n 1 192.168.52.%I | findstr "TTL="

我在本地機器中做了小小的修改，讓它只掃描141到142這段

• 利用empire中的arpscan模塊：usemodule situational_awareness/network/arpscan，設置Range(范圍)后即可掃描

掃描端口

• 使用telnet進行掃描：telnet 主機名 22
• 使用metasploit進行掃描：需要用到的是auxiliar/scanner/portscan/ack、ftpbounce、syn、tcp、xmas等模塊
• PowerSploit中的Invoke-Portscan.ps1腳本，位于Recon目錄下
• 使用Nishang的PortScan模塊，位于scan目錄下，上傳到主機上執行

獲取Banner

掃描到端口后就要獲取到其Banner信息，接著就可以在漏洞庫里查找poc，這個可以找一下常見的端口的服務來得知

端口號端口說明攻擊技巧21/22/69ftp/tftp：文件傳輸協議允許匿名上傳、下載、爆破、嗅探、溢出和后門22ssh：遠程連接爆破OpenSSH；28個退格23telnet：遠程連接爆破嗅探、弱口令25smtp：郵件服務郵件偽造53DNS：域名系統DNS區域傳輸DNS劫持DNS緩存投毒DNS欺騙利用DNS隧道技術刺透防火墻67/68dhcp劫持欺騙80/443/8080常見web服務端口web攻擊、爆破、對應服務器版本漏洞110pop3爆破、嗅探139samba爆破未授權訪問遠程代碼執行143imap爆破161snmp爆破389ldap目錄訪問協議注入攻擊未授權訪問，弱口令512/513/514linux rexec直接使用rlogin爆破873rsync未授權訪問文件上傳1080socket爆破：進行內網滲透1352lotus Domino郵件服務爆破：弱口令信息泄漏：源代碼1433mssql爆破：使用系統用戶登錄注入攻擊SA弱口令1521oracle爆破：TNS注入攻擊反彈shell2049nfs配置不當2181zookeeper未授權訪問3306mysql爆破拒絕服務注入提權3389rdp爆破Shift后門3690SVN服務SVN泄露未授權訪問4848glassfish爆破：控制臺弱口令認證繞過5000sybase/DB2爆破注入5432postgresql緩沖區溢出注入攻擊爆破：弱口令5632pcanywhere拒絕服務代碼執行，抓取密碼5900vnc爆破：弱口令認證繞過6379redis未授權訪問爆破：弱口令7001/7002weblogicJava反序列化控制臺弱口令控制臺部署webshell8069zabbix遠程命令執行SQL注入8080/8089JBoss/Resin/Jetty/Jenkins反序列化、控制臺弱口令9090websphere控制臺爆破：控制臺弱口令Java反序列9200/9300elasticsearch遠程代碼執行10000webmin控制面板弱口令11211memcacache未授權訪問27017/27018mongodb爆破未授權訪問50000SAP Management Console遠程執行

獲取域內的基礎信息

• 查詢域：net view /domain

• 查詢域內所有計算機：net view /domain:域名

• 查詢域內所有用戶組：net group /domain

• 查看所有域成員計算機列表：net group "domain computers" /domain

• 獲取域密碼信息：net accounts /domain

• 獲取域信任信息：nltest /domain_trusts

## 尋找域控

• 查看域控機器名：nltest /DCLIST:域名

• 查看域控主機名：nslookup -type=SRV _ladp._tcp
• 查看域控制器組：net group "Domain Controllers" /domain，netdom query pdc

在大型企業中，域控制器組中的用戶會不止一個，這是為了保證主域控故障時可以切換到備用域控制器
## 獲取域內用戶和管理員信息

• 查詢所有域用戶列表：net user /domain

• 獲取域內用戶的詳細信息：wmic useraccount get /all，可以獲取到用戶名，描述信息，SID域名等

• 查看存在的用戶：dsquery user

• 查詢本地管理員組用戶：net localgroup administrators

• 查詢域管理員用戶組：net group "domain admins" /domain

• 查詢管理員用戶組：net group "Enterprise Admins" /domain

## 定位域管理員
常規渠道有二個，日志與會話，日志是本地機器的管理員日志，可以用腳本或者內置應用wevtutil導出來看
### 工具
psloggedon.exe，netview.exe，PVEFindADUser.exe，powersploit的PowerView腳本，Empire的user_hunter模塊等

查找域管理進程

本機檢查

• net group "Domain Admins" /domain
• 列出本機的所有進程及進程用戶：tasklist /v

在以上進程中盡量查找域管理員進程或是與其相關的進程
### 查詢域控的域用戶會話

• 查詢域控制器列表：net group "Domain Controllers" /domain
• 收集域管理員列表：net group "Domain admins" /domain
• 收集所有活動域的會話列表：NetSess -h，使用的是NetSess.exe

目前還沒有任何會話，所以顯示無
## 利用powershell收集域信息

首先要將powershell的權限限制更改為RemoteSigned，這樣就可以執行本地上的腳本

輸入：Get-ExecutionPolicy，發現自己并不是RemoteSigned權限，輸入：Set-ExecutionPolicy RemoteSigned，按Y確定即可，在本地虛擬機測試時還可以將腳本權限改為Unrestricter，這樣可以執行來自網絡與本地的任何腳本

此處要使用的腳本在PowerSploit/Recon中，將要用到的PowerView.ps1傳入靶機，在powershell中打開該腳本目錄并導入：Import-Module .PowerView.ps1就可以進行收集了

具體命令的相關用法在PowerSploit/Recon/READE.md中

小結

針對內網滲透這方面自己是邊學習內網安全攻防這本書邊整理的，由于是初學者且沒有在真實環境實戰過，文內有錯誤還請師傅們提出，水平一般還望見諒

---

轉載于先知社區

總結

以上是生活随笔為你收集整理的pyqt 把控制台信息显示到_内网渗透初识—信息收集的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。