获取内网个人计算机敏感信息

内网敏感数据的发现

内网的核心敏感数据，不仅包括数据库、电子邮件，还包括个人数据及组织的业务数据、技术数据等。可以说，价值较高的数据基本都在内网中。本文重点介绍如何快速定位个人计算机，并对计算机操作系统信息、浏览器登录和使用的历史记录、用户文件操作行为以及聊天软件对话内容等信息进行收集。因此，了解攻击者的操作流程，对内网数据安全防护工作至关重要。

01

获取个人计算机操作系统相关信息

获取操作系统相关信息能够为进一步攻击内网提供有效支撑。在上文中已经介绍过主机发现和端口枚举技术，除此以外，攻击者还会关注系统补丁、运行进程、网络连接等情况。

关注系统的版本、安装补丁及更新频率等，通过如下命令查看本机补丁列表，再拿来对照微软的高危补丁号，就可以找到未打补丁的漏洞，如图所示。

systeminfo

查看补丁列表

执行如下命令查看进程信息，关注杀毒软件和各类安全软件的运行情况，如图所示。

tasklist  

查看当前进程

执行如下命令，查看系统所有服务的运行状态，注意观察其中是否有可疑的进程，如图所示。

查看所有服务的运行状态

对指定的服务，可通过sc qc命令查看其配置信息，需要重点关注该服务是否为自启动，这类服务需要进一步辨别是否为恶意服务，很多病毒木马的服务都是自启动服务。如图所示，服务名为AlibabaProtect的服务状态为AUTO_START，即自启动服务。

查看指定服务的配置信息

执行如下命令查看计划任务，个人计算机上往往很少有计划任务，一定要关注执行计划任务的是什么程序，结果如图所示。

schtasks  /query  /fo  LIST /v

查看计划任务

02

获取个人计算机网络配置相关信息

执行如下命令获取本机网络配置信息，如图所示，可以看到IPv4地址为内网IP地址192.168.1.1，可以判断出该个人计算机为内网计算机。

ipconfig /all

本机网络配置信息

执行如下命令，查看端口列表、本机开放的端口所对应的服务和应用程序，如图所示，可以对网络连接情况进行初步的判断。

netstat –ano

查询端口列表

执行如下命令查看用户配置的代理信息，如图所示，有些大型内网的域间互联是通过代理的，查看代理信息能够对下一步网络突破有很大帮助。

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
InternetSettings" /v ProxyServer

查看代理信息

执行如下命令查看当前用户连接过的远程桌面，如图所示。

reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /s

查看远程桌面连接历史记录

03

获取个人计算机浏览器敏感信息

获取到个人计算机浏览器的访问书签、访问记录、cookie、保存密码等敏感信息，对进一步深入分析内网用户的业务逻辑有很大的帮助。目前内网中比较常用的浏览器包括Chrome浏览器和Firefox浏览器（其它浏览器大多基于这两个浏览器的内核，获取信息的方法差别不大），接下来分别介绍相关方法。

1. Chrome浏览器敏感信息获取方法

Chrome浏览器的用户书签是用户常用网址的快捷访问方式，chrome浏览器的用书签保存在

"C:\Users\[用户名]\AppData\Local\Google\Chrome\UserData\Default\Bookmarks"

文件中，该文件为json格式，可以用文本文档打开，如图所示，该用户将ChatGPT网址设置为浏览器标签。

获取浏览器用户标签

用户访问记录是个人计算机用户曾经访问过的网址列表，从中可以分析出用户的喜好，它保存在

"C:\Users\ [用户名]\AppData\Local\Google\Chrome\UserData\Default\History"

的urls表中，该文件为SQLite数据库文件，可以使用sqlitestudio打开查看。如图所示，该用户访问最多的是CSDN网站。

获取浏览器访问历史记录

用户使用谷歌浏览器登录网站时，经常会设置将用户名和密码保存在浏览器中，为了安全起见，Chrome浏览器对用户存储在浏览器中的密码进行了AES-256-GCM加密，而用来加密的密钥则通过DPAPI加密储存在

"C:\Users\test\AppData\Local\Google\Chrome\User Data\Local State"

文件的ebcrypted_key中，如图所示。

浏览器加密密钥

mimikatz.exe支持对Chrome浏览器的密码的获取，需要将谷歌浏览器安装目录下的“Login Data”文件夹和“Local State”文件在mimikatz命令行的指定位置列出。

具体方法是：用管理员模式打开mimikatz，在其命令行界面中输入如下命令。

dpapi::chrome /in:"C:\Users\test\AppData\Local\Google\Chrome\User Data\Default\Login Data" /state:"C:\Users\test\AppData\Local\Google\Chrome\User Data\Local State" /unprotect

2. Firefox浏览器敏感信息获取方法

Firefox浏览器也有用户书签，它保存在

C:\Users\[用户名]\AppData\Roaming\Mozilla\ Firefox\Profiles\[profilename]\places.sqlite文件的“moz_bookmarks”

表中，place.sqlite文件为SQLite数据库文件，可以使用sqlitestudio打开查看，如图所示。

用户网址书签

在同一个places.sqlite文件的“moz_places”表中，可以看到浏览器的历史访问记录，如图所示。

查看网站访问历史记录

可以通过开源工具firepwd获取Firefox浏览器保存的密码。在使用前，首先需要找到个人计算机上Firefox浏览器的signons.sqlite记录文件以及key4.db密钥文件，这两个文件一般都位于“C:\Users\[用户名]\AppData\Local\Mozilla\Firefox\Profiles\[random_profile]”目录下，这里需要根据个人计算机实际情况填写[用户名]和[random_profile]这两个参数。

firepwd是基于Python的脚本工具，其下载地址为：https://github.com/lclevy/firepwd，使用命令如下。

py -2 firepwd.py -d “C:\Users\[用户名]\AppData\Local\Mozilla\Firefox\Profiles\[random_profile]” #引号内为记录文件与密钥文件所在的文件夹