目录

Windows信息收集

Windows账号密码

明文抓取

Mimikatz 离线读取Hash和密码明文

MSF加载bin抓取密码(VT查杀率2/59)

 LaZagne

RDP登录凭据

mimikatz抓取

 NetPass抓取

PowerShell脚本抓取 

浏览器账号密码

Google Chrome

QQ浏览器

MSF模块利用

其他软件账号密码

Navicat

 SecureCRT

Xshell

 WinSCP

VNC

VPN账号密码

WIFI账号密码

web服务配置路径

IIS

Tomcat

Apache

Nginx

wdcp

其他信息收集

Linux系统信息收集

系统信息

Web应用服务

数据库

关于Linux系统下的自动化信息收集脚本

1.LinPEAS

2.LinEnum

3.Bashark

---

在我们成功进入了内网渗透的阶段后，拿到了主机的管理员权限，接下来就是要收集内网中主机的各种信息，以便于我们进行后续的横向移动等扩大我们战果的操作。

在获取了Windows系统权限(通常是管理员权限)后，我们就需要尽可能多的收集这台机器上的各种信息，各种密码，各种敏感文件和资料了。如下是收集信息的一些命令：

在我们拿到了管理员的权限后，首先要做的就是获得Windows主机的登录密码。最主流的获取windows 密码的方法最主流的方法有三种，mimikatz 直接执行获取；procdump + mimikatz 进行获取；读取注册表进行获取 + mimikatz 解密进行获取。
使用这三种方式的前提是必须在管理员的权限下进行执行命令，不然执行会失败。

不过一般而言，直接上传mimikatz到主机上抓取密码一般都是不行的，毕竟各大杀毒软件厂商都把mimikatz盯得死死的，而且微软的Windows sever12之后就不再支持抓取明文密码了。所以一般的抓取密码方式肯定是行不通的。

所以我这边就列举一些能躲避杀毒软件的mimikatz的抓取密码的方式。

注意：运行前必须有管理员权限

在这些情况下我们无法获取明文密码

Windows2012以上版本默认关闭wdigest，攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁，同样也会导致无法获取明文密码
Windows系统LM Hash及NTLM Hash加密算法，个人系统在windows vista后，服务器系统在windows2003以后，认证方式均为NTLM Hash
此时可以进行注册表修改，这样就可以抓取明文密码了，不过实战环境中来说一般不太可能进行类似的操作。

直接将mimikatz 上传到目标服务器，执行相关命令。

思路就是通过系统自带的procdump去下载存储用户名密码的文件，然后用mimikatz读取。

Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理员确定问题发生的原因. 你还可以把它作为生成dump的工具使用在其他的脚本中.

Procdump是微软官方自带的软件，所以一般不会被系统查杀

Procdump工具导出 lsass.dmp文件

注意：生成的文件的后缀，可能会产生lsass.dump.dmp的文件，注意将后缀删除

然后将lsass.dump文件上传到本地主机，利用mimikatz进行解密。

mimikatz读取 lsass.dmp中Hash和密码

Procdump下载地址：ProcDump - Sysinternals | Microsoft Learn

注：在virustotal.com上procdump.exe查杀率为0/72，不过这种读取lsass的行为早就被各大杀软拦截了，所以这种静态查杀没有太大参考价值。

说了这么多，总不能都是写漏洞百出的躲避杀软的方法吧，那么就给大家来点干货。

Donut下载：GitHub - TheWover/donut: Generates x86, x64, or AMD64+x86 position-independent shellcode that loads .NET Assemblies, PE files, and other Windows payloads from memory and runs them with parameters

shellcode_inject.rb代码下载BypassAntiVirus/tools/mimikatz at master · TideSec/BypassAntiVirus · GitHub

1、首先使用Donut对需要执行的文件进行shellcode生成,这里对mimi进行shellcode生成,生成bin文件,等下会用到。

2、将上面的shellcode_inject.rb放入/opt/metasploit-framework/embedded/framework/modules/post/windows/manage下(实际路径可能不同,也就是metasploit-framework的上级路径,根据实际情况调整),然后进入msf,reload_all同时载入所有模块。(当然这一切都要在MSF获得了一个session会话后进行)。

kali里是在目录/usr/share/metasploit-framework/modules/post/windows/manage/

mac下是在/opt/metasploit-framework/embedded/framework/modules/post/windows/manage

 

 使用之前载入的shellcode_inject注入模块,这里是获取session后的操作了,session先自己上线再进行以下操作。

最后成功加载了mimi,使用shellcode注入执行,有更强的隐蔽性。

 注：这里只是写了关于躲避杀软方面的一小部分知识，更多躲避杀软的方式请关注BypassAntiVirus: 远控免杀系列文章及配套工具，汇总测试了互联网上的几十种免杀工具、113种白名单免杀方式、8种代码编译免杀、若干免杀实战技术，并对免杀效果进行了一一测试，为远控的免杀和杀软对抗免杀提供参考。

 系列文章。

这里在提一个支持Windows，Linux，mac等环境抓取密码或者其它浏览器等密码的工具。GitHub - AlessandroZ/LaZagne: Credentials recovery project

不过被各大杀毒软件厂商盯得死死的，就请师傅们自己尝试免杀的方法吧

使用方法：

当我们拿到了机器的管理员权限后，想获取其RDP的凭据。那么，该如何操作呢？

首先，执行以下命令查看目标机器是否存在RDP凭据

 存在的话，上传mimikatz，执行以下命令，记录 guidMasterKey 值

 执行以下值，找到 guidMasterKey 值 对应的 MasterKey。上面的guidMasterKey在这里是GUID

 

 执行以下命令，使用上面记录的MasterKey破解指定的凭据：19DC8328D3873E6AB8EF6B081B771D2E

 如图，破解出密码明文。

工具下载地址：Recover lost Windows 10/7/8/Vista/XP network passwords (Credentials file)

如果直接远程桌面登上去的话，可以使用 netpass.exe 工具直接查看

 

下载地址：https://github.com/peewpw/Invoke-WCMDump

执行以下代码

 也使用CS导入powershell脚本执行，但是会被报毒

 注：文中部分内容转载自获取RDP登录凭据_谢公子的博客-CSDN博客

chrome浏览器默认的用户数据保存目录如下：

用户数据目录：C:UsersxxAppDataLocalGoogleChromeUser DataDefault      
缓存目录：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCache       
各文件如下：      
    书签：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultBookmarks      
    cookie: C:UsersxxAppDataLocalGoogleChromeUser DataDefaultcookies      
    浏览历史：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultHistory      
    当前的session：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCurrent Session      
    账号密码：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultLogin Data      
             C:UsersxxAppDataLocalGoogleChromeUser DataProfileLogin Data

QQ浏览器默认的用户数据保存目录如下：

用户数据目录：C:UsersxxAppDataLocalTencentQQBrowserUser DataDefault      
缓存目录：C:UsersxxAppDataLocalGoogleChromeUser DataDefaultCache       
各文件如下：      
    书签：C:UsersxxAppDataLocalTencentQQBrowserUser DataDefaultBookmarks      
    cookie: C:UsersxxAppDataLocalTencentQQBrowserUser DataDefaultcookies      
    浏览历史：C:UsersxxAppDataLocalTencentQQBrowserUser DataDefaultHistory      
    当前的session：C:UsersxxAppDataLocalTencentQQBrowserUser DataDefaultCurrent Session      
    账号密码：C:UsersxxAppDataLocalTencentQQBrowserUser DataDefaultLogin Data

360安全浏览器

360浏览器默认的用户数据保存目录如下：

账号密码文件：C:UsersxxAppDataRoaming360se6User DataDefaultappsLoginAssisassis2.db

MSF模块中也有抓取浏览器账户密码的模块，当然是在获得了一个seesion会话的前提条件下，执行以下代码。

“Navicat”是一套可创建多个连接的数据库管理工具，用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和 MongoDB 等不同类型的数据库，它与阿里云、腾讯云、华为云、Amazon RDS、Amazon Aurora、Amazon Redshift、Microsoft Azure、Oracle Cloud 和 MongoDB Atlas等云数据库兼容。你可以创建、管理和维护数据库。Navicat 的功能足以满足专业开发人员的所有需求，但是对数据库服务器初学者来说又简单易操作。Navicat 的用户界面 (GUI) 设计良好，让你以安全且简单的方法创建、组织、访问和共享信息。

SecureCRT 是一款用于连接运行包括Windows、UNIX和VMS的远程系统的理想工具，通过使用内含的VCP命令行程序可以进行加密文件的传输。

Xshell 是一个强大的安全终端模拟软件，它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计和特色帮助用户在复杂的网络环境中享受他们的工作。

WinSCP是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件。.winscp也可以链接其他系统,比如linux系统。

VNC  (Virtual Network Console)是虚拟网络控制台的缩写。它 是一款优秀的远程控制工具软件，由著名的 AT&T 的欧洲研究实验室开发的。VNC 是在基于 UNIX 和 Linux 操作系统的免费的开源软件，远程控制能力强大，高效实用，其性能可以和 Windows 和 MAC 中的任何远程控制软件媲美。 在 Linux 中，VNC 包括以下四个命令：vncserver，vncviewer，vncpasswd，和 vncconnect。大多数情况下用户只需要其中的两个命令：vncserver 和 vncviewer。

也可以使用图形化命令工具 Dialupass.exe

一条命令导出电脑中所有WiFi账户密码，不需要管理员权限。

内核，操作系统和设备信息

用户和群组

用户和权限信息

环境信息

历史命令

常见配置文件路径：

说到信息收集，自然是离不开信息收集的脚本了，关于在Linux上执行信息收集的脚本有很多。我这里就列举几个著名的。

GitHub链接：PEASS-ng/linPEAS at master · carlospolop/PEASS-ng · GitHub

它是由Carlos P创建的，目的是列举在Linux系统上提升特权的所有可能方法。关于LinPEAS的比较好的一点是它不需要其它依赖项。这使它能够运行现有二进制文件支持的任何内容。

LinPEAS支持Debian，CentOS，FreeBSD和OpenBSD。

LinPEAS不会将任何内容直接写入磁盘，并且在默认情况下运行时，它不会尝试通过su命令以其他用户身份登录。LinPEAS执行花费的时间从2分钟到10分钟不等，具体取决于请求的检查次数。

如果要在CTF比赛中运行LinPEAS，请尽量使用-a参数，它将激活所有检查。LinPEAS监视进程以查找非常频繁的cron任务，但是要执行此操作，您将需要添加-a参数，并且此检查将在文件中写入一些信息，该信息稍后将被删除，这使得我们执行完它不会留下痕迹。

它在执行期间导出并取消设置一些环境变量，因此在会话期间执行的任何命令都不会保存在历史记录文件中，如果您不想使用此功能，只需在利用它时添加-n参数即可。

 

 更多方面自己测试，这里就不多说了。

GitHub链接：GitHub - rebootuser/LinEnum: scripted Local Linux Enumeration & Privilege Escalation Checks

它是由Rebootuser创建的。LinEnum是一个Shell脚本，其工作原理是从目标计算机中提取有关提升特权的信息。它支持实验报告功能，可以帮助以可读的报告格式导出扫描结果。一些参数，例如：

GitHub链接：https://github.com/redcode-labs/Bashark

它是由RedCode Labs创建的。Bashark旨在帮助渗透测试人员和安全研究人员在Linux，OSX或Solaris Server的安全评估的后开发阶段。

Bashark比较好的一点是它一个bash脚本，这意味着它可以直接从终端运行而无需任何安装。它速度快，不会使目标计算机过载。它也不需要任何特定依赖项，由于它在执行后抹去了它的存在，因此执行后很难被检测到。在这里，我们使用wget命令下载了Bashark，该命令在攻击者计算机上本地托管。然后使用chmod提供执行权限，然后运行Bashark脚本。它将升级您的Shell，使其能够执行不同的命令。

在这里，我们使用getperm -c命令查找。Bashark还使用getconf命令枚举了所有常见的配置文件路径。

    以上就是本篇文章【内网渗透之内网主机信息收集】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/8640.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多