很久沒(méi)做內(nèi)網(wǎng)了,溫習(xí)一下。希望正在學(xué)習(xí)安全的小伙伴不要踏入我初學(xué)內(nèi)網(wǎng)的誤區(qū)。
先來(lái)談?wù)勎覍?duì)內(nèi)網(wǎng)的理解吧,不是技術(shù)的方向。
內(nèi)網(wǎng)學(xué)的東西很多,很雜。當(dāng)時(shí)我問(wèn)了我的大哥,他給我的一句話確實(shí)影響我至今。我說(shuō)內(nèi)網(wǎng)就說(shuō)信息收集,cmd命令能收集,powershell收集也很多,還有類似wmic,或者一些腳本語(yǔ)言寫(xiě)的信息收集工具,太多了,這些都要學(xué)真的太浪費(fèi)時(shí)間了。他是這么跟我說(shuō)的,很多東西你要學(xué)一輩子都學(xué)不完,但是你把一個(gè)東西學(xué)好了,結(jié)果都是一樣的。確實(shí)是這么個(gè)道理,學(xué)習(xí)需要廣度,能讓你碰到不同的情況乃至極限情況你有解決問(wèn)題的思路。學(xué)習(xí)需要深度,你能在正常情況下創(chuàng)造乃至開(kāi)辟一條新的道路。所以說(shuō)完全沒(méi)有必要什么命令都背什么命令都記得清清楚楚,最重要的是要有自己的一套滲透手法,能夠達(dá)到效果,就是好的。沒(méi)人在乎你的過(guò)程,除非你真的很6。好了。開(kāi)始今天的主題。
內(nèi)網(wǎng)這一塊不是我的擅長(zhǎng),但是也有幸參加過(guò)一些護(hù)網(wǎng),做過(guò)一點(diǎn)內(nèi)網(wǎng)滲透。總結(jié)性的來(lái)說(shuō)說(shuō)我的思路。
一般來(lái)說(shuō),我們拿了權(quán)限做的第一件事是維權(quán),維權(quán)這一塊以后再說(shuō)。因?yàn)楝F(xiàn)在很多時(shí)候涉及免殺,免殺這一塊我研究的不是很多。然后就會(huì)對(duì)當(dāng)前主機(jī)進(jìn)行信息收集。我就獻(xiàn)丑說(shuō)一下自己的信息收集思路。可能命令不是很多,都是靠平時(shí)自己收集的,主要是提供一個(gè)思路,如何實(shí)現(xiàn)自動(dòng)化并且不觸發(fā)告警,才是應(yīng)該操心的。
(1)配置文件
如果是從web打進(jìn)去的,配置文件是一定要找到,找到了數(shù)據(jù)庫(kù)的賬號(hào)密碼,如果是站庫(kù)分離可能會(huì)拿下第二臺(tái),如果不是也能獲取數(shù)據(jù)庫(kù)的數(shù)據(jù),或者說(shuō)用來(lái)做密碼復(fù)用。配置文件一般就在web目錄找config等標(biāo)志性文件。其中如果密碼存在加密的大眾系統(tǒng)可以試試去github找找有沒(méi)有解密腳本。自定義的加密可以嘗試找源碼進(jìn)行破解。
(2)敏感文件
桌面是一定要看的,很多人有保存文件在桌面的習(xí)慣,特別是個(gè)人機(jī)。很有可能記錄了一些密碼信息或者其他網(wǎng)站的登錄賬號(hào)密碼信息,以及一些敏感文件。
(3)其他目錄
這種就是比較隨緣了,因?yàn)閭€(gè)人習(xí)慣不同,稍微有點(diǎn)安全的人可能不會(huì)放在桌面,放在D盤(pán)啊等地方。這種可能就不是很好找,但是也可以全局搜索文件名,文件內(nèi)容包含passwd,user,password等字段的文件。回收站也可以看看。
下面放一些我常用的命令,來(lái)源于之前記錄的別人發(fā)的,但是原文找不到了。自己根據(jù)實(shí)際情況改。
dir %APPDATA%\Microsoft\Windows\Recent //查看最近打開(kāi)的文檔
findstr /si password config.* *.ini *.txt *.properties //遞歸搜索后面文件的password字段
dir /a /s /b "*conf*" > 1.txt //遞歸查找當(dāng)前目錄包含conf的文件
findstr /s /i /c:"Password" 目錄\*.txt //遞歸查找目錄下的txt中的oassword字段
for /r 目錄 %i in (account.docx,pwd.docx,login.docx,login*.xls) do @echo %i >> C:\Users\e0mlja\desktop\123.txt //遞歸查找目錄下的敏感文件輸出到桌面123.txt中
指定目錄搜索各類敏感文件
dir /a /s /b d:\"*.txt"
dir /a /s /b d:\"*.xml"
dir /a /s /b d:\"*.mdb"
dir /a /s /b d:\"*.sql"
dir /a /s /b d:\"*.mdf"
dir /a /s /b d:\"*.eml"
dir /a /s /b d:\"*.pst"
dir /a /s /b d:\"*conf*"
dir /a /s /b d:\"*bak*"
dir /a /s /b d:\"*pwd*"
dir /a /s /b d:\"*pass*"
dir /a /s /b d:\"*login*"
dir /a /s /b d:\"*user*"
收集各類賬號(hào)密碼信息
findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak第一階段:計(jì)算機(jī)信息類
畢竟域環(huán)境多了一些拿域控,或者kerberos認(rèn)證等等的東西,就還是分開(kāi)吧。很多時(shí)候盲目地去找一些命令是徒勞無(wú)功的,最主要是你要清楚自己要做什么,針對(duì)性的作信息收集。這里都是說(shuō)得手動(dòng)的,工具類的會(huì)放到最后面。
(1)ip信息(主要判斷自己的位置已經(jīng)確定能橫向的方向)
ipconfig /all 網(wǎng)卡信息
route print 查看路由表 看能到達(dá)的地方
arp -a 查看arp表 看緩存
hosts 文件還有其他的可以自行去做去找,正常情況下這幾個(gè)命令也夠了,wmic ps那些也可以做到,但是沒(méi)必要,集成的現(xiàn)在太容易被殺了,其他工具也還是靠著平時(shí)自己積累。
(2)端口收集(主要是判斷開(kāi)放了哪些端口,和哪些機(jī)器連通,有沒(méi)有后續(xù)利用的可能)
netstat-ano //一條就夠了,不需要太多的花里胡哨 也可以自己去根據(jù)習(xí)慣找一些其他的方式。還有一些簡(jiǎn)化的比如查看特定狀態(tài)端口根據(jù)自己的需要去篩選。findstr命令等實(shí)現(xiàn)。
(3)進(jìn)程收集(主要是看看開(kāi)啟了哪些進(jìn)程,管理員進(jìn)程可能涉及提權(quán),殺軟進(jìn)程可能涉及免殺,還有一些第三方的進(jìn)程可能涉及可以做權(quán)限維持,這種都是根據(jù)需要去確定的)
tasklist /svc //查看所有進(jìn)程
tasklist /v //查看進(jìn)程啟動(dòng)的用戶
taskkill /f /PID //關(guān)閉某個(gè)pid的進(jìn)程
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe //查看本機(jī)殺軟對(duì)于防火墻配置一類的,我這里沒(méi)有涉及,是因?yàn)樘厥馇闆r下才會(huì)做。
(4)服務(wù)收集(主要是可能涉及一些提權(quán),已經(jīng)從服務(wù)中提取敏感信息比如說(shuō)抓取密碼等,可以通過(guò)產(chǎn)品和進(jìn)程去判斷)
wmic product get name,version
tasklist /svc
wmic service list brief //服務(wù)信息收集(5)計(jì)劃任務(wù) (涉及提權(quán),權(quán)限維持等,也可能通過(guò)計(jì)劃任務(wù)發(fā)現(xiàn)腳本文件中可能存在敏感內(nèi)容)
schtasks /query(6)用戶收集(主要是對(duì)提權(quán)或者橫向移動(dòng)做鋪墊)
net user 查看用戶
net localgroup Administrators 查看管理員組
whoami 當(dāng)前用戶(7)憑證收集
(1)hash mimikatz
(2)瀏覽器及第三方軟件密碼 (利用各種工具或自己寫(xiě))
(3)wifi密碼等
(4)rdp密碼這一塊最常用的還是抓hash,肯定首推是mimikatz。不過(guò)要做好免殺,免殺的方式就不說(shuō)了,之前測(cè)試一些腳本加載過(guò)某0還是沒(méi)有問(wèn)題的,現(xiàn)在很久沒(méi)用過(guò)了不知道了。關(guān)于其他的一些比如xshell,瀏覽器密碼抓取的工具,就需要自己平時(shí)多收集了,當(dāng)前有條件的自己寫(xiě)也還是沒(méi)問(wèn)題的。還要個(gè)人機(jī)上一些wifi密碼可能也有用,這個(gè)就看自己習(xí)慣了。
(8)其他收集(主要是一些共享啊之類的)
net share //查看共享
net use //查看ipc$
systeminfo //查看計(jì)算機(jī)信息(提權(quán)可能會(huì)用,也能判斷域環(huán)境已經(jīng)操作系統(tǒng)版本)
wmic startup get command,caption 查看自啟動(dòng)
wmic share get name,path,status 查看共享
net start 查看當(dāng)前機(jī)器啟動(dòng)的服務(wù)
cmdkey /l# 查看保存的憑證域環(huán)境
工作組的環(huán)境比較單一,且鑒權(quán)都是在本地做,所以沒(méi)有太多的花里胡哨。域環(huán)境可能會(huì)麻煩一點(diǎn),接下來(lái)我會(huì)從思路上去簡(jiǎn)述信息收集,爭(zhēng)取能夠給大家一個(gè)比較清晰的腦圖,現(xiàn)在我們暫定我們的目標(biāo)是域控。
(1)當(dāng)我們拿到一個(gè)機(jī)器之后,肯定是先判斷域環(huán)境
(2)確實(shí)是域環(huán)境以后,要對(duì)本機(jī)做信息收集
(3)需要判斷域控
(4)鑒于有委派或者約束委派這些攻擊方式,可能會(huì)需要查找一些服務(wù)用戶,也就是spn相關(guān)。
(5)域環(huán)境中exchange的權(quán)限很高的,有經(jīng)驗(yàn)的老師傅可能會(huì)進(jìn)來(lái)就找郵服,這一塊我沒(méi)有做過(guò),就說(shuō)一下我自己收集的。
(6)面試的時(shí)候會(huì)必問(wèn)的問(wèn)題,如果尋找域控,如何拿下域控,對(duì)于這些方法需要的前提,都是我們必須要進(jìn)行收集的。
對(duì)于本機(jī)的收集上面重復(fù)的我就不多說(shuō)了,注意一下下面的點(diǎn)就行了。
(1)ip收集
此時(shí)的ip收集我們需要關(guān)注一下dns,因?yàn)橥ǔG闆r下,域控可能就是dns服務(wù)器。
(2)端口搜集
本機(jī)端口收集還是正常的和工作組一樣
(3)進(jìn)程收集
此時(shí)的進(jìn)程收集我們需要留意一下域管啟用的進(jìn)程,如果能夠竊取hash,或者直接導(dǎo)出域管hash,基本已經(jīng)意味著我們有域控權(quán)限了。
(4)服務(wù)收集
setspn -T domain -q */* //spn收集 后續(xù)能利用的太多了,搜索服務(wù)用戶,搜索域中存在的服務(wù)(5)用戶與機(jī)器收集
wmic useraccount get /all 查看域用戶詳情
net user /domain ------> 查詢域用戶
net group /domain ------> 查詢域里面的工作組
net group "domain admins" /domain ------> 查詢域管理員用戶組
net localgroup administrators /domain ------> 登錄本機(jī)的域管理員
query user || qwinsta 查看在線用戶
net view ------> 查詢同一域內(nèi)機(jī)器列表
net view /domain ------> 查詢域列表(6)憑證收集
和上面一樣,只不過(guò)這里可以針對(duì)權(quán)限區(qū)分出來(lái)從目前的用戶看我們有什么權(quán)限
(7)其他收集
也是屬于撿垃圾了,雜七雜八的收集,沒(méi)想到,想到了再說(shuō)。
第二階段:橫向信息收集
經(jīng)過(guò)我們上面各個(gè)模塊的收集完成后,我們對(duì)我們當(dāng)前計(jì)算機(jī)的情況已經(jīng)有所了解了。該提權(quán)提權(quán),改拿小本本記錄就記錄。現(xiàn)在進(jìn)入第二階段了,橫向移動(dòng)的收集。橫向我分為兩種,一種是定向橫向,比如我專門(mén)打郵服,或者專門(mén)打弱口令,只掃描特定端口。還有一種是全方位橫向,就是我對(duì)所有可達(dá)的ip端都進(jìn)行探測(cè),這種動(dòng)靜就會(huì)比較大,但是橫向最主要其實(shí)也是收集ip和端口了。有web業(yè)務(wù)打web,有弱口令能ssh或者rdp就試試,ftp能匿名訪問(wèn)也是分,redis未授權(quán)可能還能彈回來(lái)個(gè)shell。這里就八仙過(guò)海各顯神通了。我這里分為ip和端口進(jìn)行收集來(lái)討論。
ip類
集成的工具最后再說(shuō),先說(shuō)手動(dòng)的。
常見(jiàn)的可能是利用腳本或者cmd命令進(jìn)行收集。這里列舉幾個(gè)
1:ping
for /l %i in (1,1,255) do @ping 172.16.2.%i -w 1 -n 1|find /i "ttl="
2.powershell
1..255 | % {echo "192.168.158.$_"; ping -n 1 -w 100 192.168.158.$_} | Select-String ttl
3.集成腳本
@echo off
rem 內(nèi)網(wǎng)存活段自動(dòng)發(fā)現(xiàn)腳本 [Windows]
rem By Klion
rem 2020.7.1
setlocal enabledelayedexpansion
for /l %%i in (0,1,255) do (
for /l %%k in (0,1,255) do (
ping -w 1 -n 1 10.%%i.%%k.1 | findstr "TTL=" >nul || ping -w 1 -n 1 10.%%i.%%k.254 | findstr "TTL=" >nul
if !errorlevel! equ 0 (echo 10.%%i.%%k.0/24 is alive ! >> alive.txt ) else (echo 10.%%i.%%k.0/24 May be sleeping ! )
)
)
for /l %%s in (16,1,31) do (
for /l %%d in (0,1,255) do (
ping -n 1 -w 1 172.%%s.%%d.1 | findstr "TTL=" >nul || ping -w 1 -n 1 172.%%s.%%d.254 | findstr "TTL=" >nul
if !errorlevel! equ 0 (echo 172.%%s.%%d.0/24 is alive ! >> alive.txt ) else (echo 172.%%s.%%d.0/24 May be sleeping ! )
)
)
for /l %%t in (0,1,255) do (
ping -n 1 -w 1 192.168.%%t.1 | findstr "TTL=" >nul || ping -n 1 -w 1 192.168.%%t.254 | findstr "TTL=" >nul
if !errorlevel! equ 0 (echo 192.168.%%t.0/24 is alive ! >> alive.txt ) else (echo 192.168.%%t.0/24 May be sleeping ! )
)
4.自己利用python等寫(xiě)一些掃描的腳本
5.利用arp,netBios,tcp,udp等協(xié)議探測(cè)1.python
# This script runs on Python 3
import socket, threading
def TCP_connect(ip, port_number, delay, output):
TCPsock=socket.socket(socket.AF_INET, socket.SOCK_STREAM)
TCPsock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
TCPsock.settimeout(delay)
try:
TCPsock.connect((ip, port_number))
output[port_number]='Listening'
except:
output[port_number]=''
def scan_ports(host_ip, delay):
threads=[] # To run TCP_connect concurrently
output={} # For printing purposes
# Spawning threads to scan ports
for i in range(10000):
t=threading.Thread(target=TCP_connect, args=(host_ip, i, delay, output))
threads.append(t)
# Starting threads
for i in range(10000):
threads[i].start()
# Locking the script until all threads complete
for i in range(10000):
threads[i].join()
# Printing listening ports from small to large
for i in range(10000):
if output[i]=='Listening':
print(str(i) + ': ' + output[i])
def main():
host_ip=input("Enter host IP: ")
delay=int(input("How many seconds the socket is going to wait until timeout: "))
scan_ports(host_ip, delay)
if __name__=="__main__":
main()
2.powershell
24..25 | % {echo ((new-object Net.Sockets.TcpClient).Connect("192.168.1.119",$_)) "Port $_ is open!"} 2>$null
24..25 |% {echo "$_ is "; Test-NetConnection -Port $_ -InformationLevel "Quiet" 192.168.1.119}2>null
3.telnet按照這種思路下來(lái),我們只需要針對(duì)我們某個(gè)步驟,選擇我們理想的方式或者工具去實(shí)現(xiàn),就能收集到很多的信息。而且思路清晰,明確自己下一步需要做什么。
1.用戶名枚舉(因?yàn)閗erberos驗(yàn)證的原因,非域情況下能夠枚舉域用戶,原理自己可以看一下,這里我沒(méi)有能力自己寫(xiě)工具,就放一些工具鏈接)
msf:auxiliary/gather/kerberos_enumusers
nmap:Nmap –p 88 –script-args krb5-enum-users.realm=’[domain]’,userdb=[user list] [DC IP]
kerbrute:kerbrute_windows_amd64.exe userenum --dc ip -d 域名 user.txt
DomainPasswordSpray:
Get-DomainUserList -Domain 域名 -RemoveDisabled -RemovePotentialLockouts | Out-File -Encoding ascii userlist.txt
2.密碼噴射
kerbrute:kerbrute_windows_amd64.exe passwordspray --dc ip -d 域名 user.txt 密碼
nvoke-DomainPasswordSpray -Domain 域名 -UserList .\userlist.txt -Password '密碼
3.查找域控
nltest /DCLIST:GOD 查域控
Nslookup -type=SRV _ldap._tcp 查看域控主機(jī)名
net group “Domain Controllers” /domain 查看域控組內(nèi)域控主機(jī)
net group “Domain Controllers” /domain 查看域控列表
net time /domain
nltest /dclist:[域名] 查看域控機(jī)器名
dsquery server 得到域控制器的IP
netdom query pdc
ipconfig /all 查看dns
掃描139等不常見(jiàn)但域控會(huì)開(kāi)啟的端口
4.獲取域控的方法(這里不說(shuō)釣魚(yú)欺騙類的這種,中繼后續(xù)都開(kāi)了SMB簽名也不說(shuō)吧)
(1).抓域管密碼橫向
(2).通過(guò)域管進(jìn)程橫向
(3)利用已知漏洞(打印機(jī),14068,zerologon等)
(4)委派攻擊
(5)利用第三方軟件如郵服等
(6)組策略做密碼復(fù)用
(7)金銀票據(jù)(主要用來(lái)做維權(quán)的,多學(xué)點(diǎn)沒(méi)錯(cuò),也寫(xiě)在這里吧)
5.判斷域環(huán)境
net time /domain
ipconfig /all
systeminfo
net config workstation用戶
用戶爆破
https://github.com/ropnop/kerbrute
用戶枚舉
https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn
https://github.com/mubix/netview/
獲取服務(wù)用戶
kerberoast
GetUserSPNs.ps1
ip
(1)nbtscan.exe
(2)arpscan.exe
(3)ServerScan https://github.com/Adminisme/ServerScan
(4)msf模塊
auxiliary/scanner/discovery/arp_sweep
auxiliary/scanner/discovery/udp_sweep
auxiliary/scanner/discovery/udp_probe
auxiliary/scanner/netbios/nbname
端口
端口爆破
PortBrute https://github.com/awake1t/PortBrute
服務(wù)
MSF
auxiliary/scanner/smb/smb_version
auxiliary/scanner/ftp/ftp_version 發(fā)現(xiàn)ftp
auxiliary/scanner/ssh/ssh_version 發(fā)現(xiàn)ssh
auxiliary/scanner/telnet/telnet_version 發(fā)現(xiàn)telnet
auxiliary/scanner/mysql/mysql_version 發(fā)現(xiàn)mysql
密碼爆破
https://github.com/fireeye/gocrack
https://github.com/dafthack/DomainPasswordSpray
web掃描
https://github.com/broken5/bscan
https://github.com/phantom0301/PTscan
域與非域集合工具
(1)Seatbelt.exe
Seatbelt.exe -group=user -full 運(yùn)行普通用戶權(quán)限檢查的模塊 -full返回輸出
Seatbelt.exe -group=all 運(yùn)行所有模塊(需要管理員權(quán)限)
Seatbelt.exe -group=system #運(yùn)行檢查系統(tǒng)相關(guān)的信息
Seatbelt.exe -group=misc #運(yùn)行所有其他檢查(包括瀏覽器記錄)
Seatbelt.exe -group=chrome 運(yùn)行瀏覽器歷史等模塊
(2)BloodHound
https://github.com/BloodHoundAD/BloodHound/releases
(3)WinPwn
https://github.com/S3cur3Th1sSh1t/WinPwn/
(4)domainTools
https://github.com/SkewwG/domainTools
(5)Rubeus.exe
https://github.com/GhostPack/Rubeus
(6)powerview && powersploit
(7)fscan
https://github.com/shadow1ng/fscan
(1)wmic
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html
(2)powershell
Function Get-InstalledSoftware{
<#
.SYNOPSIS
Gets a computers Name, Operating System,OS Architecture and all installed Software Name,Version and IdentifyingNumber.
Returns it all in a powershell object.
.EXAMPLE
Get-InstalledSoftware -computername localhost
.EXAMPLE
Get-InstalledSoftware -computername comp1,comp2,comp3
.EXAMPLE
Get-Content computers.txt | Get-InstalledSoftware | Export-Csv C:\SoftwareReport.csv
.PARAMETER computername
One or more computer names seperated by comma.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory=$true,ValueFromPipeline=$true)]
[string[]]$ComputerName
)
BEGIN{
}
PROCESS
{
foreach($computer in $ComputerName){
try {
$software=Get-WmiObject -Class Win32_Product -ComputerName $ComputerName -ErrorAction Stop
} catch {
Write-Host "$computer Offline"
}
$os=Get-WMIObject -Class win32_operatingsystem -ComputerName $ComputerName
$osname=($os.Name).Split("|") | Select-Object -First 1
foreach($installed in $software){
$props=[ordered] @{
'ComputerName'=$os.PSComputerName;
'OperatingSystem'=$osname;
'Archtecture'=$os.OSArchitecture;
'Name'=$installed.Name;
'Version'=$installed.Version;
'Vendor'=$installed.Vendor;
'IdentifyingNumber'=$installed.IdentifyingNumber}
$obj=New-Object -TypeName psobject -Property $props
Write-Output $obj
}
}
}
END{
}
}自動(dòng)化方便是一回事,必然會(huì)帶來(lái)弊端。動(dòng)靜大,易查殺等。腳本小子終究只是一時(shí)爽。最后還是要自己走安全開(kāi)發(fā)自己寫(xiě)工具,在特定的環(huán)境下能實(shí)現(xiàn)功能才行。就難得總結(jié)工具了,多培養(yǎng)培養(yǎng)思維多學(xué)習(xí)學(xué)習(xí)底層還是長(zhǎng)久之道。
這篇文章只是拋磚引玉給大家提供一個(gè)思路,還有很多東西沒(méi)用收到。但是信息收集和漏洞利用總是相依相存的。比如委派,郵服這些。或者是需要一些漏洞利用鏈的時(shí)候。擴(kuò)大自己的攻擊技術(shù)和攻擊面,了解新的攻擊方式應(yīng)該是最重要的,可能一條路不同我換了一種攻擊方式,搜集一下需要實(shí)現(xiàn)的前置條件都滿足,自然也就打下來(lái)了。隨機(jī)應(yīng)變。有些工具是之前收集的說(shuō)實(shí)話都沒(méi)有用上過(guò),所以工具在精在順手不在多。選擇合適自己的才最重要。參考文獻(xiàn)
福利
關(guān)注私我獲取更多【網(wǎng)絡(luò)安全學(xué)習(xí)攻略·資料】
偶然發(fā)現(xiàn)Win10在命令行中竟然有tar命令,在命令行窗口鍵入“tar --help”,顯示命令的用法如下:
tar(bsdtar): manipulate archive files
First option must be a mode specifier:
-c Create -r Add/Replace -t List -u Update -x Extract
Common Options:
-b # Use # 512-byte records per I/O block
-f <filename> Location of archive (default \.\tape0)
-v Verbose
-w Interactive
Create: tar -c [options] [<file> | <dir> | @<archive> | -C <dir> ]
<file>, <dir> add these items to archive
-z, -j, -J, --lzma Compress archive with gzip/bzip2/xz/lzma
--format {ustar|pax|cpio|shar} Select archive format
--exclude <pattern> Skip files that match pattern
-C <dir> Change to <dir> before processing remaining files
@<archive> Add entries from <archive> to output
List: tar -t [options] [<patterns>]
<patterns> If specified, list only entries that match
Extract: tar -x [options] [<patterns>]
<patterns> If specified, extract only entries that match
-k Keep (don't overwrite) existing files
-m Don't restore modification times
-O Write entries to stdout, don't restore to disk
-p Restore permissions (including ACLs, owner, file flags)
bsdtar 3.5.2 - libarchive 3.5.2 zlib/1.2.5.f-ipp
在C盤(pán)根目錄下使用命令“ dir /s tar.* ”查找tar相關(guān)的文件(列出許多tar.exe文件),命令執(zhí)行結(jié)果如下:
C:\Users\zhang\AppData\Local\ActiveState\cache\e8a139d4\html\html\lib\Archive 的目錄
2021/12/29 21:19 <DIR> Tar
0 個(gè)文件 0 字節(jié)
C:\Users\zhang\AppData\Local\ActiveState\cache\e8a139d4\lib\Archive 的目錄
2021/12/29 21:20 <DIR> Tar
2021/12/29 21:19 77,057 Tar.pm
1 個(gè)文件 77,057 字節(jié)
C:\Windows\servicing\LCU\Package_for_RollupFix~31bf3856ad364e35~amd64~~19041.1526.1.5\amd64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_cade3fef214266fe\f 的目錄
2022/02/04 00:26 4,781 tar.exe
1 個(gè)文件 4,781 字節(jié)
C:\Windows\servicing\LCU\Package_for_RollupFix~31bf3856ad364e35~amd64~~19041.1526.1.5\amd64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_cade3fef214266fe\r 的目錄
2022/02/04 00:27 4,300 tar.exe
1 個(gè)文件 4,300 字節(jié)
C:\Windows\servicing\LCU\Package_for_RollupFix~31bf3856ad364e35~amd64~~19041.1526.1.5\wow64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_d532ea4155a328f9\f 的目錄
2022/02/03 21:55 3,743 tar.exe
1 個(gè)文件 3,743 字節(jié)
C:\Windows\servicing\LCU\Package_for_RollupFix~31bf3856ad364e35~amd64~~19041.1526.1.5\wow64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_d532ea4155a328f9\r 的目錄
2022/02/03 21:55 3,203 tar.exe
1 個(gè)文件 3,203 字節(jié)
C:\Windows\System32 的目錄
2022/01/13 20:17 54,784 tar.exe
1 個(gè)文件 54,784 字節(jié)
C:\Windows\SysWOW64 的目錄
2022/01/13 20:17 44,544 tar.exe
1 個(gè)文件 44,544 字節(jié)
C:\Windows\WinSxS\amd64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_cade3fef214266fe 的目錄
2022/01/13 20:17 54,784 tar.exe
1 個(gè)文件 54,784 字節(jié)
C:\Windows\WinSxS\amd64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_cade3fef214266fe\f 的目錄
2022/01/07 22:45 4,781 tar.exe
1 個(gè)文件 4,781 字節(jié)
C:\Windows\WinSxS\amd64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_cade3fef214266fe\r 的目錄
2022/01/07 22:46 4,300 tar.exe
1 個(gè)文件 4,300 字節(jié)
C:\Windows\WinSxS\wow64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_d532ea4155a328f9 的目錄
2022/01/13 20:17 44,544 tar.exe
1 個(gè)文件 44,544 字節(jié)
C:\Windows\WinSxS\wow64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_d532ea4155a328f9\f 的目錄
2022/01/07 20:01 3,743 tar.exe
1 個(gè)文件 3,743 字節(jié)
C:\Windows\WinSxS\wow64_bsdtar_31bf3856ad364e35_10.0.19041.1466_none_d532ea4155a328f9\r 的目錄
2022/01/07 20:01 3,203 tar.exe
1 個(gè)文件 3,203 字節(jié)
所列文件總數(shù):
13 個(gè)文件 307,767 字節(jié)
2 個(gè)目錄 31,814,807,552 可用字節(jié)
默認(rèn)使用的應(yīng)該是“C:\Windows\System32\tar.exe"。
我的電腦的Win10版本信息如下: