内网渗透 | 内网信息收集总结
内容提要
本文介绍了内网主机发现和信息收集的方法,包括网络连接命令、ICMP探测、ARP扫描和NetBIOS发现等技术,以识别和收集目标资产的敏感信息。
关键要点
-
内网主机发现和信息收集的方法包括网络连接命令、ICMP探测、ARP扫描和NetBIOS发现等技术。
-
使用netstat -ano命令查看有连接的其他IP服务,收集内网其他机器的IP地址。
-
通过ICMP探测命令ping扫描特定IP段以发现其他主机。
-
查看路由表信息可以帮助识别网络结构。
-
使用arp-scan工具进行ARP发现主机。
-
NetBIOS协议用于局域网中计算机之间的互相访问,可以使用nbtscan工具发现网络中其他机器。
-
HOSTS文件可能包含关键系统的地址解析信息,需进行检查。
-
DNS Cache可以通过ipconfig /displaydns命令查看。
-
主机信息收集包括收集本地敏感信息和域信息。
-
使用whoami /all命令查看账号和权限信息。
-
systeminfo命令可识别操作系统版本。
-
tasklist /svc命令用于查看进程和服务信息。
-
网络配置和连接信息可以通过ipconfig /all和netstat -ano命令获取。
-
用户和组信息可以通过net user和net localgroup命令查看。
-
RDP信息和连接记录可以通过mstsc命令检查。
-
补丁信息可以通过wmic qfe get hotfixid命令获取。
-
防火墙配置可以通过netsh命令进行查看和修改。
延伸问答
如何使用netstat命令收集内网信息?
使用netstat -ano命令可以查看有连接的其他IP服务,从而收集内网其他机器的IP地址。
ICMP探测的具体操作步骤是什么?
可以通过ping命令扫描特定IP段,例如使用for循环ping 192.168.31.%i来发现其他主机。
如何使用arp-scan工具进行主机发现?
使用arp-scan命令可以扫描特定的IP段,例如arp-scan 192.168.183.1/24来发现主机。
NetBIOS协议在内网渗透中有什么作用?
NetBIOS协议用于局域网中计算机之间的互相访问,可以通过nbtscan工具发现网络中其他机器。
如何查看本地用户和组信息?
可以使用net user和net localgroup命令查看计算机上的用户帐户和用户组信息。
如何检查防火墙配置?
可以使用netsh命令查看和修改防火墙配置,例如使用netsh advfirewall show allprofiles查看当前配置。
