滲透測試的本質(zhì)是信息收集，我們可以將內(nèi)網(wǎng)信息收集大致分為5個(gè)步驟，即本機(jī)信息收集、域內(nèi)信息收集、登錄憑證竊取、存活主機(jī)探測、內(nèi)網(wǎng)端口掃描。

最常見的兩個(gè)問題就是：

• 我是誰?-- whoami
• 我在哪?-- ipconfig/ifconfig

當(dāng)獲取一臺(tái)主機(jī)的管理員權(quán)限的時(shí)候，我們總是迫不及待想要去深入了解一下。

本機(jī)信息收集

1. 查詢賬戶信息：

對(duì)當(dāng)前主機(jī)的用戶角色和用戶權(quán)限做了解，判斷是否需要進(jìn)一步提升權(quán)限。

win：whoami、net user 用戶名 
linux：whoami、id、cat /etc/shadow、cat /etc/passwd 

2. 查詢網(wǎng)絡(luò)和端口信息

根據(jù)目的主機(jī)的IP地址/網(wǎng)絡(luò)連接/相關(guān)網(wǎng)絡(luò)地址，確認(rèn)所連接的網(wǎng)絡(luò)情況。

win：ipconfig、netstat -ano 
        ARP表：arp -a  
        路由表: route print 
        查看dns緩存記錄命令：ipconfig/displaydns 
 
linux：ifconfig、netstat -anplt 
        ARP表:arp -a / 路由表:route -n 
        查看登錄日志獲取登錄來源ip 

3. 查詢進(jìn)程列表

查看本地運(yùn)行的所有進(jìn)程，確認(rèn)本地軟件運(yùn)行情況，重點(diǎn)可以關(guān)注安全軟件。

win：tasklist  
linux: ps、 top 

4. 查詢系統(tǒng)和補(bǔ)丁信息

獲取當(dāng)前主機(jī)的系統(tǒng)版本和補(bǔ)丁更新情況，可用來輔助提升權(quán)限。

win：systeminfo，查詢系統(tǒng)信息/補(bǔ)丁安裝情況。 
       wmic qfe get Caption,description,HotfixID,installedOn   //查詢補(bǔ)丁信息，包含說明鏈接/補(bǔ)丁描述/KB編號(hào)/更新時(shí)間等信息 
       wmic qfe list full  查詢?nèi)啃畔?nbsp;
 
Linux: 通過查看內(nèi)核版本 uname -a 或者使用rpm -qa來查詢安裝了哪些軟件包 

5. 憑證收集

服務(wù)器端存有敏感信息，通過收集各種登錄憑證以便擴(kuò)大戰(zhàn)果。

Windows： 
本地密碼Hash和明文密碼/抓取瀏覽器密碼/服務(wù)端明文密碼 
linux： 
history記錄敏感操作/shadow文件破解/mimipenguin抓取密碼/使用Strace收集登錄憑證/全盤搜索敏感信息 

域內(nèi)信息收集

搜集完本機(jī)相關(guān)信息后，就需要判斷當(dāng)前主機(jī)是否在域內(nèi)，如果在域內(nèi)，就需要進(jìn)一步收集域內(nèi)信息

1. 判斷是否有域

一般域服務(wù)器都會(huì)同時(shí)作為時(shí)間服務(wù)器，所以使用下面命令判斷主域

運(yùn)行 net time /domain 該命令后，一般會(huì)有如下三種情況: 
 
1.存在域，但當(dāng)前用戶不是域用戶，提示說明權(quán)限不夠 
  C:\Users>bypass>net time /domain 
  發(fā)生系統(tǒng)錯(cuò)誤 5  
  拒絕訪問。 
 
2.存在域，并且當(dāng)前用戶是域用戶 
   C:\Users\Administrator>net time /domain 
   \\dc.test.com 的當(dāng)前時(shí)間是 2020/10/23 21:18:37 
 
   命令成功完成。 
 
3.當(dāng)前網(wǎng)絡(luò)環(huán)境為工作組，不存在域 
   C:\Users\Administrator>net time /domain 
   找不到域 WORKGROUP 的域控制器。 

2. 查找域管理員

net user /domain //獲取域用戶列表 
net group /domain  //查詢域內(nèi)所有用戶組列表 
net group “Domain Admins” /domain //查詢域管理員用戶 
net group "Domain Controllers" /domain  //查看域控制器 
net localgroup administrators /domain  //查詢域內(nèi)置本地管理員組用戶 

3. 找到域控

一般來說，域控服務(wù)器IP地址為DNS服務(wù)器地址，找到DNS服務(wù)器地址就可以定位域控。

nslookup/ping 域名,解析到域控服務(wù)器IP地址