---恢復內容開始---
目錄
當滲透測試到達后滲透階段時,我們拿到了位於公網主機的權限,並且通過代理能夠訪問位於內網的機器。這時如果客戶有內網滲透的需求,那么我們就要開始進行內網滲透了。
關於如何通過代理訪問內網主機:內網轉發
關於如何利用MSF添加路由訪問內網主機:后滲透階段之基於MSF的路由轉發
關於如何利用MSF探測內網主機: 后滲透階段之基於MSF的內網主機探測
那么,內網滲透該如何開始呢?內網滲透分內網域滲透和非域滲透。
域環境滲透
簡要拓撲圖如下,真實環境有可能存在幾層內網,多個域
域滲透目的:控制整個域。轉換成了獲得域管理員賬號。
域滲透的思路:先控制域內的一台主機,提權至管理員權限,使用mimikatz獲取登錄過該主機的賬號密碼。並進一步充分的挖掘該主機上的各種信息,包括域的信息(域控的主機名、ip、域管理員賬號和域成員ip)、域主機上其他服務賬號密碼信息等等。
利用挖掘到的賬號密碼對域內其他主機進行弱口令爆破嘗試,這樣有可能可以獲得其他主機的權限。
進行內網滲透,查看有沒有MS17_010之類的漏洞,有的話直接拿權限。
對內網進行端口服務掃描,一般內網很多服務都是弱口令
拿到了域成員主機權限后,先提權,然后用mimikatz導出該主機上的賬號和密碼。如果域管理員登錄過該主機,那么我們就可以通過mimikatz導出域管的賬號密碼。
這里利用的原理是:當域管理員(或域普通成員)登錄過域中某台主機時,會在該主機的內存中留有賬號和密碼。我們可以利用該主機的本地管理員賬號用mimikatz就可以dump出內存中存在的賬號和密碼了。
查詢域信息
備注:在域控上,即使以域管理員的身份登錄,也不能查看域成員的密碼,可以給域成員重置密碼,但是不能查看到域成員的密碼
獲取到域成員主機的權限后,提權,使用mimikatz導出密碼。在這台主機上,很有可能域成員曾經登陸過,所以,可以獲得域成員賬號。使用域成員賬號登錄,查詢以下信息。
查詢域控的主機名
方法一:net group "domain controllers" /domain # 這里查詢結果后面會多一個 $ ,需要域用戶登錄查詢 方法二:dsquery server #需要域用戶登錄查詢 方法三:net time /domain #需要域用戶登錄查詢
查詢域控的IP
查詢域管理員
net group "domain admins" /domain #需要域用戶登錄查詢
查詢域中的所有用戶
net user /domain
查詢當前登錄域
net config workstation
查詢域密碼策略
net accounts /domain 
查詢域中其他成員
爆破其他主機登錄密碼
當我們獲得了域成員主機的賬號密碼后,可以利用該賬號密碼對域內其他主機進行登錄嘗試。我們可以使用 psexec.exe 工具。
psexec 是windows下非常好的一款遠程命令行工具。psexec的使用不需要對方主機開機3389端口。如果是在非域環境下,psexec只能使用 administrator 賬號登錄,使用其他賬號登錄會提示訪問拒絕訪問。
psexec.exe \\192.168.10.10 -u administrator -p root cmd
獲得其他主機權限后,提權至administrator權限,用mimikatz導出密碼。查看是否有域管賬號。
掃描MS17_010之類的漏洞
通過代理,使得Kali可以訪問內網。用MSF框架掃描內網,查看是否有MS17_010之類漏洞。有的話直接拿權限。
傳送門——> 內網滲透之MS17-010
掃描端口服務,弱口令暴力破解
通過代理,利用nmap對內網中存在的主機進行端口和服務掃描,
關於在域中的滲透:票據傳遞攻擊(Pass the Ticket,PtT)
內網域滲透之MS14-068復現
非域環境滲透
簡要拓撲圖
非域環境滲透的思路就是利用代理,訪問內網主機。進行常規的滲透,探測存活主機,端口,服務。內網中存在的弱口令比較多,對探測到的服務進行弱口令暴力破解。對於探測到的內網Web服務器,除了檢測弱口令外,還可以嘗試常見的Web漏洞。對於Windows主機,還可以嘗試MS17_010之類的漏洞。
————————————————
版權聲明:本文為CSDN博主「謝公子」的原創文章,遵循 CC 4.0 BY-SA 版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/qq_36119192/article/details/90707329