0x00 内网渗透概述
当我们渗透web端或者通过其他方式拿到某内网主机shell,我们就可以尝试开始内网渗透,也叫做后渗透,域渗透等,探索域内网络架构,通过内网渗透得到其他内网主机的权限,或者通过内网主机获取到同域的最高管理员主机权限等。
1.内网基本认知:各种名词认知,域的认知,大概了解内网安全流程0x01 内网基本认知 内网基本认知:各种名词认知,域的认知,大概了解内网安全流程
2.内网信息收集:
(1) 内网主机的基本信息(版本,补丁,服务,任务,防护…),
(2)网络信息(端口,环境,代理通道…),
(3)用户信息(域用户,本地用户,用户权限,组信息…),
(4)凭据信息(各种储存的协议账号密码信息,各种口令信息,hash…)
3.后续探针信息:探索到域内的网络架构信息,存活主机,域控信息,服务接口…
名词:局域网,工作组,域环境,活动目录AD,域控制器DC…
域:单域,父域,子域,域树,域森林
自己笔记本比较鸡肋搭建了一个简单的内网支持这次实验:
文章图片
下面开始整个内网的信息收集
0x02 内网主机的基本信息收集(版本,补丁,服务,任务,防护…) 当拿到内网主机的控制权shell,进行第一步的基本主机信息收集
当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备
systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务
举例: 进程列表,为判断主机服务信息做准备0x03 网络信息收集(端口,环境,代理通道…)
文章图片
基本信息:
文章图片
ipconfig /all 判断存在域-dns
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
举例: 判断存在域名0x04 用户信息收集(域用户,本地用户,用户权限,组信息…) 了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试
文章图片
通过查看时间返回计算机名称信息包含域信息,
文章图片
【内网渗透|内网渗透-最实用的信息收集】通过nslookup追踪域名路由判断出主域IP
文章图片
系统默认常见用户身份:
Domain Admins:域管理员(默认对域控制器有完全控制权)
Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain Users:域用户
Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)
相关用户收集操作命令:
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器
举例:0x05 凭据信息收集(各种储存的协议账号密码信息,各种口令信息,hash…) 旨在收集各种密文,明文,口令等,为后续横向渗透做好测试准备,凭据信息收集:
文章图片
域主机上查询:
文章图片
涉及域用户详细信息:可在普通权限操作
文章图片
查询命令一定要注意权限:
文章图片
1.站点源码备份文件、数据库备份文件等这里推荐软件测试主机的上面存在的凭据信息
2.各类数据库 Web 管理入口,如 PHPMyAdmin
3.浏览器保存密码、浏览器 Cookies
4.其他用户会话、3389 和 ipc$连接记录、回收站内容
5.Windows 保存的 WIFI 密码
6.网络内部的各种帐号和密码,如:Email、VPN、FTP、OA 等
主机信息:计算机用户 HASH,明文获取-mimikatz(win),mimipenguin(linux)
mimikatz(win):https://github.com/gentilkiwi/mimikatz/releases
安装:
privilege::debug
sekurlsa::logonpasswords
使用获取本机账户密码信息:
文章图片
接口信息收集:计算机各种协议服务口令获取-LaZagne(all),XenArmor(win收费,功能强大)
LaZagne工具演示-----
项目地址:https://github.com/AlessandroZ/LaZagne
laZagne.py all#检查所有模块
laZagne.py browsers#指定模块
文章图片
0x06 后续探针信息:探索到域内的网络架构信息,存活主机,域控信息,服务接口… 探针主机域控架构服务,为后续横向思路做准备,针对应用,协议等各类攻击手法
探针域内存活主机及地址信息,使用自带的内部命令循环语句探索网络IP架构:
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.213.%I | findstr "TTL="
文章图片
另外nmap masscan扫描工具工具也可以使用
这里介绍使用powershell框架脚本搜集信息nishang empire 等
powershell框架脚本搜集信息nishang:
项目地址:https://github.com/samratashok/nishang
工具使用:需要powershell权限运行
#设置执行策略
Set-ExecutionPolicy RemoteSigned
#导入模块 nishang
Import-Module .\nishang.psm1
#获取模块 nishang 的命令函数
Get-Command -Module nishang
#获取常规计算机信息
Get-Information
#端口扫描(查看目录对应文件有演示语法,其他同理)
Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress 192.168.213.100 -ResolveHost -ScanPort
#获取常规计算机信息 Get-Information#其他功能:删除补丁,反弹 Shell,凭据获取等
文章图片
文章图片
文章图片
端口扫描:Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress
192.168.213.100 -ResolveHost -ScanPort
文章图片
探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器(自建 SVN、GIT)
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器(内部技术文档服务器、其他监控服务器等)
大概的总结一下,希望各位师傅能够指点
交流学习:
博客:http://www.kxsy.work
CSND社区:告白热
推荐阅读
- Python进阶|警惕 Python 中少为人知的 10 个安全陷阱
- k8s|k8s(六)(配置管理与集群安全机制)
- Java程序|软件测试八款优秀的API安全测试工具,会用三款工作效率能提升50%
- 定位|浅谈大规模红蓝对抗攻与防
- 计算机网络重点回顾