前言
上文(點我)介紹了一些基本的操作系統、網絡環境、用戶等信息的收集。了解到這些信息之后,我們大致對內網的基本情況有了一個基本的了解,但是后續想要進行一些橫向滲透光收集這些信息肯定是遠遠不夠的,為了更好的去完成我們的橫向滲透,我們還要盡可能的去搜集一些憑據信息和內網中一些服務器的基本信息,以達到在內網遨游穿梭的目的。
內網密文或明文等口令收集
在內網環境中,一般口令都是由統一布置了,當我們得知內網中一台機器的口令時,內網其他的口令很有可能和我們得到的口令類似,或者直接一樣,我們可以把這些口令搜集過來,在結合一些其他收集過來的信息生成一個密碼字典,從而對內網中其他機器進行口令爆破。
利用mimikatz獲取到本機系統口令
mimikatz # log mimikatz # privilege::debug //提升權限(不是administrator,debug會失敗)
獲取好權限之后
mimikatz #sekurlsa::logonpasswords #獲取口令
注:但是在安裝了KB2871997補丁或者系統版本大於windows server 2012時,系統的內存中就不再保存明文的密碼,這樣利用mimikatz就不能從內存中讀出明文密碼了。mimikatz的使用需要administrator用戶執行,administrators中的其他用戶都不行,所以我們這里用administrator權限啟動mimikatz。
msv:是賬戶對於的密碼的各種加密協議的密文,這里有LM、NTLM和SHA1加密的密文
tspkg,wdigest,kerberos:是賬戶的明文密碼了。(這里顯示為null,是應為版本大於2012)
SSP:是最新登陸到其他RDP終端的賬戶和密碼
獲取wifi密碼
netsh wlan show profiles netsh wlan show profile name="wifi名稱" key=clear
配置文件中的密碼信息
在一些配置文件中,如web應用的配置文件,數據庫配置文件等,這些配置文件中可能存在一些口令在對於橫向滲透的幫助是巨大的。
cd /web findstr /s /m “password” *.*
常用應用的默認配置路徑:
Tomcat: CATALINA_HOME/conf/tomcat-users.xml Apache: /etc/httpd/conf/httpd.conf Nginx: /etc/nginx/nginx.conf Wdcp: /www/wdlinux/wdcp/conf/mrpw.conf Mysql: mysql\data\mysql\user.MYD
除了上述我們需要搜集的口令信息之外,我們還可以對如下的口令進行收集
1、瀏覽器保存的密碼和cookie 2、本地機器上使用的VPN、OA、FTP等賬號密碼 3、回收站內容 4、3389和$IPC連接記錄
當然這些信息搜集起來是需要花上一點的時間,所以我們可以借助一些工具來進行一鍵化的口令搜集。
LaZagne
項目地址:https://github.com/AlessandroZ/LaZagne
它支持的搜集的口令有
| Windows | Linux | Mac | |
|---|---|---|---|
| Browsers | 7Star Amigo BlackHawk Brave Centbrowser Chedot Chrome Canary Chromium Coccoc Comodo Dragon Comodo IceDragon Cyberfox Elements Browser Epic Privacy Browser Firefox Google Chrome Icecat K-Meleon Kometa Microsoft Edge Opera Orbitum Sputnik Torch Uran Vivaldi |
Brave Chromium Dissenter-Browser Firefox Google Chrome IceCat Microsoft Edge (Beta/Dev) Opera SlimJet Vivaldi |
Chrome Firefox |
| Chats | Pidgin Psi Skype |
Pidgin Psi |
|
| Databases | DBVisualizer Postgresql Robomongo Squirrel SQLdevelopper |
DBVisualizer Squirrel SQLdevelopper |
|
| Games | GalconFusion Kalypsomedia RogueTale Turba |
||
| Git | Git for Windows | ||
| Mails | Outlook Thunderbird |
Clawsmail Thunderbird |
|
| Maven | Maven Apache | ||
| Dumps from memory | Keepass Mimikatz method |
System Password | |
| Multimedia | EyeCON | ||
| PHP | Composer | ||
| SVN | Tortoise | ||
| Sysadmin | Apache Directory Studio CoreFTP CyberDuck FileZilla FileZilla Server FTPNavigator OpenSSH OpenVPN KeePass Configuration Files (KeePass1, KeePass2) PuttyCM RDPManager VNC WinSCP Windows Subsystem for Linux |
Apache Directory Studio AWS Docker Environnement variable FileZilla gFTP History files Shares SSH private keys KeePass Configuration Files (KeePassX, KeePass2) Grub |
|
| Wifi | Wireless Network | Network Manager WPA Supplicant |
|
| Internal mechanism passwords storage | Autologon MSCache Credential Files Credman DPAPI Hash Hashdump (LM/NT) LSA secret Vault Files |
GNOME Keyring Kwallet Hashdump |
Keychains Hashdump |
XenArmor
下載地址:https://xenarmor.com/
支持搜集口令
點擊settings
Save
點擊Recover Passwords
其他主機基本信息搜集
對此一些常見的本地的信息搜集工作我們就已經完成了,在搜集好本地的信息之后,我們需要做的就是,到這個環境下去內網尋找其他的主機,探測出一些其他主機上的基本信息再結合之前在本地搜集過來的信息對內網其他主機做出攻擊。
其實在前期的一些信息手機手段中,我們就有搜集到其他主機的信息,如查詢域控制器和查找域內其他存活主機等操作
尋找存活主機
前文我們有用到如下命令尋找存活主機
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
我們還可以通過上傳nmap等第三方工具來對內網存活主機做出判斷
nmap -Pn 192.168.52.0/24
掃描主機開放端口
在知道內網有哪些主機是存活的,我們就可以對其的端口進行探針
nmap -p 1-65535 192.168.52.138
以下是常見端口和其攻擊方式
| 端口號 | 端口說明 | 攻擊技巧 | |--------|--------|--------| |21/22/69|ftp/tftp:文件傳輸協議 |爆破\嗅探\溢出\后門| |22|ssh:遠程連接 |爆破OpenSSH;28個退格| |23|telnet:遠程連接 |爆破\嗅探| |25|smtp:郵件服務 |郵件偽造| |53|DNS:域名系統 |DNS區域傳輸\DNS劫持\DNS緩存投毒\DNS欺騙\利用DNS隧道技術刺透防火牆| |67/68|dhcp |劫持\欺騙| |110|pop3 |爆破| |139|samba |爆破\未授權訪問\遠程代碼執行| |143|imap |爆破| |161|snmp |爆破| |389|ldap |注入攻擊\未授權訪問| |445|SMB |遠程代碼執行| |512/513/514|linux r|直接使用rlogin| |873|rsync |未授權訪問| |1080|socket |爆破:進行內網滲透| |1352|lotus |爆破:弱口令\信息泄漏:源代碼| |1433|mssql |爆破:使用系統用戶登錄\注入攻擊| |1521|oracle |爆破:TNS\注入攻擊| |2049|nfs |配置不當| |2181|zookeeper |未授權訪問| |3306|mysql |爆破\拒絕服務\注入| |3389|rdp |爆破\Shift后門| |4848|glassfish |爆破:控制台弱口令\認證繞過| |5000|sybase/DB2 |爆破\注入| |5432|postgresql |緩沖區溢出\注入攻擊\爆破:弱口令| |5632|pcanywhere |拒絕服務\代碼執行| |5900|vnc |爆破:弱口令\認證繞過| |6379|redis |未授權訪問\爆破:弱口令| |7001|weblogic |Java反序列化\控制台弱口令\控制台部署webshell| |80/443/8080|web |常見web攻擊\控制台爆破\對應服務器版本漏洞| |8069|zabbix |遠程命令執行| |9080|websphere |遠程命令執行 |9090|websphere控制台 |爆破:控制台弱口令\Java反序列| |9200/9300|elasticsearch |遠程代碼執行| |11211|memcacache |未授權訪問| |27017|mongodb |爆破\未授權訪問|
收集到這些信息,對內網其他主機做出滲透,拿到內網中其他主機的shell之后,再在這台新拿的shell做信息收集,如此一步一步慢慢滲透整個內網。
當然在內網滲透中還有很多比較好的滲透利用框架,本篇文章主要講述的是思路,框架的利用后續再另起篇幅。