本地侦查思路

在成功的利用之后，我们已经拿到了服务器本地的访问了，根据服务器配置的不同，此时我们可能已经是最高权限了，也可能是低权限用户。无论如何，我们需要珍惜充分利用现有的访问，对本地信息进行详尽的侦查，包括但不局限于网络配置、本地文件、用户和群组、分配的权限、系统版本、存储的凭证等。

对于提权，不一定是必要的，但是提权能让我们访问到更多的信息，从而提高入侵更多主机的成功率。我这里强调一个思想：侦查的目标不是 (本地)提权，而(本地)提权的目标是侦查更多信息。对于企业的域网络，我们即便拿到了当前主机的最高权限，也是远远不够的，所做的一切都是为了能将口子撕地更大。我们需要摆脱打靶机的思维定势，即用提权工具跑一下，找到提权向量然后任务完成。

常见且好用的提权与侦查工具有 WinPEAS (https://github.com/carlospolop/PEASS-ng/tree/master/winPEAS/winPEASexe)，SharpUp (https://github.com/GhostPack/SharpUp)，Seatbelt(https://github.com/GhostPack/Seatbelt) 等。在我们做靶场练习的时候，这些工具的作用是帮助我们寻找提权路径，但实际上，这些工具更强大的功能在于本地侦查。如果不借助这些工具，同学们可能会有些不知所措，不知道有哪些信息需要搜集，怎么对需要搜集的信息分门别类。

作为网络安全专家，我们不能依赖于工具，但是可以参考这些工具的思路，再怎么说这些工具也是集思广益后编写的，也得到了普遍的认可。我们先以最轻量级的 SharpUp 来举例：

SharpUp 的功能主要建立在特权提升上，但如果例如 CachedGPPPassword，DomainGPPPassword 等选项能返回有效结果，即便已经获得了最高权限，对我们依旧是有帮助的。对于 SharpUp 所检查的项目，总结一下如下：

1：本地提权类。AlwaysInstalledElevated、服务提权、Token全向、权限配置不当的路径等。

2：凭证类。CachedGPPPassword，DomainGPPPassword，RegistryAutoLogons 等。如果能得到明文凭证，无论对本地提权，还是域内提权、横向移动都可能有帮助。因此，即便已经拿到了本地最高特权，也要检查一下这些选项。