MS提權
MS16-135 MS16-016
提權框架
Sherlock
信息收集
ifconfig -a cat /etc/hosts arp -a route -n cat /proc/net/* ping掃描 跳板機環境分析 1.具備公網IP,所有端口可直接連接,且可訪問外網 - 即可使用正向連接,又可以使用反向連接 2.跳板機受到WAF保護或有NAT限制,只有Web服務端口可以連接,跳板機可訪問外網 - 使用反向連接 3.跳板機通過反向代理/端口映射提供Web服務,僅可訪問80/443端口,本身無外網IP,且無法訪問外網 - 上傳tunnel腳本,將HTTP轉換為Socks,使用Regeorg實現轉換
判斷組網信息,自己所在位置, ipconfig /all 確認內網網段划分
利用arp表獲取相關信息,本地hosts文件中發掘目標
確認當前網絡出入情況,判斷可以進出的協議和端口,還可能存在使用代理實現外網或者內網訪問的情況,
這種時候需要先查看計算機的代理使用情況
通過讀取注冊表的方式獲取代理信息和pac信息
橫向滲透
MS17-010 MS2017-7269
提權EXP
MS14-058 MS14-070 MS15-051 MS16-032 CVE2017-0213
代理轉發
iptables端口映射 ssh端口轉發 go-shadowsocks ew nps/npc
拿域控
使用mimikatz從內存中抓取密碼(需要system權限) 定位域控制器及域管理員 net group "domain controllers" /domain net group "domain admins" /domain 找到域控制器IP地址 ping -n 1 win08.contoso.com 使用MS14-068從普通域用戶拿到域控制器的SYstem權限
Powershell在內網滲透中的使用
掃描、爆破、轉發等
框架: PowerSploit 、 nishang
內網滲透流程圖
Window 遠程代碼執行
1.PsExec 2.WMIEXEC 3.AT/Schtasks 4.SC Create 5.SMB+MOF 6.SMB+DLL Hijacks 7.Dcom
定位域控
1.利用DNS查詢 2.nltest /dclist:domainname 3.本機不在域中,掃描389端口計算機
跨越DMZ
1.尋找管理員登錄信息,回溯攻擊跳板機 2.攻擊網絡設備,防火牆路由器交換機等可能聯通多個網段的設備 3.等待管理員RDP掛載目錄時劫持管理員計算機的dll 4.捆綁后門在可能帶離DMZ區文件