Hi，大家好，我是编程小6，很荣幸遇见你，我把这些年在开发过程中遇到的问题或想法写出来，今天说一说分享一次红蓝对抗后渗透过程「建议收藏」,希望能够帮助你!!!。

前言

结合真实内网渗透做的一次内网报告分享，在红蓝对抗过程中，红队人员成功上传木马后，会选择上线CS或者msf，那么关于上线以后应该做哪些事情呢？

CS/MSF 等上线后要干的事情：

1.内网环境收集 域/工作组

1.域环境,多域环境,单域环境 1.1多域环境是否添加域信任

查看域环境用户，查看时间/dns服务器(一般为域控)：

net time /domain /net view /domain

shell net group "Domain Controllers" /domain

查看域控制器：

可以得到域控制器IP地址。

域控还可能开放88Kerberos协议,01389ldap,DNS53 如果存在EXECHANGE，邮件服务器那么也开放了25，还有我们熟悉的139,445。

查看身处在哪个域：

net config worksta2on

shell nltest /dclist:de.org 同样可以得到域控地址 net group "domain admins" /domain

查看域管有哪些：

信息收集:

确定存在内网后可以使用

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL=“

该命令批量ping出存活的IP , 如果没有存在策略限制，一般Ping出存货的IP都可以进行端口扫描等操作。

同等可以使用 nbtscan /fscan等内网扫描工具替代。

查看net use 有没有IPC连过来的机器。

cmdkey /list 用户凭据：

之后可以查看一下用户进程：

查看有没有其他用户进程可以注入/窃取：

echo %logonserver% 查看当前登录域quser ，可以查询当前在线的user：

插播tips(3389 system权限tscon加id可以直接切换用户无需知道密码)。

查找文件 dir /s /b xxxx.exe。

插播tips2: 如果不知道web目录可以拿一个web的js来定位web位置：

cmd /c "for /f "delims=" %i in ('dir /s /b c:bsa.js') do(echo %i> %i.path.txt)& (ipconfig > %i.ipconfig.txt)"

会在 js下生成一个txt，里边有web的目录地址域控常见命令:

dsquery server - 查找目录中的 AD DC/LDS 实例 dsquery user - 查找目录中的用户dsquerycomputer

主机发现系列:

查看内网其他IP3389的登录记录 arp -a

net view

tracert baidu.com/内网其他ip：

查看其他网段的IP，大致信息：

dir c:\*.doc /s
findstr /si 'password' .txt

查找doc文档以及password.txt/敏感信息获取：

03,08,WIN7 等机器若未打补丁可直接使用MS16032进行提权/或者其他提权exploit!

MIMIKATZ抓取密码!若内网无IDS/IPS等防护设备可以直接利用CS自带PSEXEC 进行hash传递!

若是害怕psexec动静过大可以使用wmihacker进行执行命令回显，或者使用ipc$建立链接:

shell net use \\192.168.100.10\ipc$ "Admin123" /user:administrator

建立连接之后可以通过cs直接进行翻取目录。

总结

内网渗透往往需要确定整个内网环境的拓扑结构以及整体框架，再去做详细的信息收集，会给我们攻击者带来极大的便利。