常见内网渗透思路
什么是内网渗透
内网渗透就是拿到企业或者公司的内网权限,并在内部网络中进行探测、扩散和横向移动,最终实现对目标系统的控制和攻击。然后从内网得到最有价值的成果
入口点
webshell:常规top10漏洞,nday,0day;
钓鱼攻击:针对目标搜集邮箱,邮箱默认密码,爆破等,伪造邮件发信
Badusb(直接插U盘):USB忍者,USBninja,目前已经有支持蓝牙遥控,wifi遥控多种payload执行
WIFI:比如wifi万能钥匙,然后利用wifi信号接收器,连接到对方内网
社工+近源
权限维持
在内网渗透中进行权限维持非常重要,因为一旦攻击者成功进入内部网络,他们可能会试图获取更高级别的权限,以便访问更多的敏感信息或控制更多的系统资源。通过进行权限维持,攻击者可以持续地保持对系统的控制和访问权限,从而更容易地进行后续攻击或窃取数据。
权限维持的一些思路:对木马进行免杀,流量进行伪装
考虑自启动,计划任务等(注册表)
可以通过dll代理,比如notepad++,加载插件,来进行权限维持
内网信息收集
内网的信息收集不同于web,我们要尽量避免文件落地,尽可能使用系统自带命令来收集
拿到内网的一台机器,判断是否在域还是工作组,主机网络,运行的软件和已经安装的软件,杀软防护软件,监控软件,主机的活跃连接
这里还需要收集计算机版本,补丁编号,如果是域环境,还需要收集域控信息,收集安装的软件以及杀软的信息,tasklist查看进程,判断是否有杀软;tasklist /v 可以查看具体软件是由谁启的,若有域控启动的进程,可进一步利用(如令牌窃取),收集用户和管理员信息,收集防火墙和端口开放情况 等等
以上的信息均可使用系统自带命令来收集,避免了文件落地,从而被杀掉,当然也可以使用一些已经开发好的工具进行一键收集,但是前提是要免杀
另外还需要做一些主动或者被动的密码搜集:机器密码,浏览器密码,数据库密码,vpn密码等等(推荐使用mimikatz,但尽可能做免杀)
做好一些基本的信息收集以后,就可以进行渗透了,接下来从linux和windows两个系统情况下,进行讨论
Linux情况下
webshell是普通权限
1.明确渗透目的,是要拿内网权限,还是要拿内网的某个东西
如果当前权限下已经满足自己渗透目的 的 后渗透的条件,就尽量不要进行权限提升
如果不得已需要进行权限提升的话,请参考权限提升-linux提权手法总结.pdf
2.根据当前的webshell,看看有没有什么敏感文件在能访问得到的目录。
尽可能去翻一些配置文件,可能会有内网数据库,一些账号密码(ldap,mssql,mysql…)
3.分析一下当前网络状况,是否出网,是否有多网卡,或者说是有内网
通过ping 8.8.8.8看看icmp是否出网,如果出网就可以考虑到上线到c2,如果不出网可以考虑走http进入内网,又或者说看看TCP,UDP的常见端口,看看哪个端口是通的,就根据那个端口来做socks代理
4.socks代理出来之后,先尽量不要用扫描器去探测主机存活,使用系统自带命令
例如:ping命令:批量去ping目标ip来探测存活,但有时候ping不通可能是因为防火墙;
curl命令:写个for循环来测试是否开启http服务;
ssh命令:探测存活主机是否是linux机器,也有可能ssh端口不是22;
telnet命令:探测目标是否开放了某个端口、
如果一些命令无法使用,可能考虑系统自带的一些环境,如果有python或者bash环境,可以来写脚本来运行一些扫描或者其他操作。如果都不行的话,可以考虑传一些可执行文件来做扫描,而且要把进程尽可能开到最小,尽可能在目标主机上运行,而不是通过socks(流量比较大,容易暴露)
5.根据已掌握的信息,漏洞对目标进行横向移动
针对目标的windows域进行攻击,针对目标出网机器进行攻击;
如果当前linux不出网的情况下用正向进行内网的横向移动:如果横向成功的机器是出网的,那么就赶紧做权限维持上线c2(尽量多掌握一些出网机器)
webshell是root权限
1.查看机器是否有杀软,有就尽量不要乱扫描
2.如果当前这个web是一个比较重要的web(会有内网的人登录),tcpdump抓包,分析内网有那些ip
其他操作和普通权限类似
如果遇到docker,集群,vcenter,就尽可能拿到主控,比如vcenter后台,拿到后台那么旗下所有机器都可以控制
Windows情况下
当前机器出网,内网也出网
1、搜集当前机器上所有的文件,看看是否有密
码,搜集密码,搜集 dns
2、如果1搜集不到密码,那么考虑提权然后抓
密码
3、拿到一些密码后,先用 ping 命令写个循环来
批量对目标的C段、B 段进行探测主机存活,把
存活主机放到一个txt 文本里
4、根据已存活的机器先尝试密码喷酒,看看能不
能撞到一台机器
5、先把内网的流量 socks代理出来方便后续的
内网渗透
6、尽可能用自带的bat、vbs、powershell 去探
测目标的漏洞、端口开放情况
7、通过一些攻击探测目标的http,mysql,mssql,ladp,dc
当前机器出网,内网部分机器不出网
1、首先探测看看具体那些东西是不出网的
2、看看dns是否出网
3、看看http是否出网(一般来说通过80、443
端口都是可以上线到c2或者做socks)
4、通过 http进入到目标内网后,经可能的去横
向移动拿到一台出网的内网机器,让他上线到 c2
并且做一个 socks
5、横向...
当前机器不出网,内网也不出网
1、基本上所有端口都不出网,但是 http 是肯定
能做一个socks出来的
2、比如说目标域名是 xxx.com,首先尽可
能的去搜集它的子域名,通过搜集到的子域名拿
去内网机器去 ping解析得到目标内网的ip
3、通过外网域名ping得到的内网ip,针对性的
去打这几个内网ip
4、一旦拿到一台机器的权限,那么我们就可以留
个webshell,这样权限就稳住了
接下来看一下工作组和域机器的渗透思路
工作组
尽可能搜集密码去横向
尽可能MS17-010,CVE-2019-0708漏洞来横向
通过内网存活的web来横向
…
域机器
1、首先搜集当前机器的密码
2、一定要考虑提权,提权到 system ;如果进程有域管,那么就直接可以拿到域控了
3、通过提权抓到了一个域账号,那么可以通过域
账号登陆到域ldap里去分析这个内网域是什么架
构什么情况
4、尝试ms-14-168看看能不能快速提权到域管
5、看看目标域控是不是win 2008,如果是可以
尝试gpp漏洞
6、通过AS-REP 去枚举一下内网的域账号(没有
拿到一个域账号)
7、尝试CVE-2020-1472 漏洞去打域控
8、通过17010、0708 也能横向移动
9.内网如果有exchange
1、通过已有的域账号看看能不能登陆到邮箱,能
经可能搜集域邮箱账号
2、通过exchange 的 rce 看看能不能直接拿到
服务器权限
3、通过已有的邮箱账号去对内网邮件进行投毒
发钓鱼邮件
984
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
