内网穿透 目录 内网穿透 内网穿透工具 学了网络之后,我们知道了公网和私网。私网是不能在公网传输和通信的。我们一个学校,一个小区,都是在自己单独的私网里面。 内网穿透 这就要说到内网穿透了! 如下图,有这么一个环境。小明和小王分别是清华和北大的学生。他们都各自处在自己学校的内网中,他们的ip地址可以是一样的,都是192.168.10.2。 因为在路由器体内有一个私网ip和端口的对照表,每个私网ip对应一个端口,所以根据端口就能知道消息是发送给内网中的哪台主机了。 那么现在我们再来分析一下位于内网中的我们如何和同样是内网中的小伙伴通过QQ通信。 内网穿透工具 常用的内网穿透的工具有:NAT APP基于ngrok的国内高速内网转发工具 这款软件可以把你内网的ip和端口映射成一个公网的ip和端口,这样,我们就可以实现内网穿透了!
内网穿透 目录 内网穿透 内网穿透工具 学了网络之后,我们知道了公网和私网。私网是不能在公网传输和通信的。我们一个学校,一个小区,都是在自己单独的私网里面。 内网穿透 这就要说到内网穿透了! 如下图,有这么一个环境。小明和小王分别是清华和北大的学生。他们都各自处在自己学校的内网中,他们的ip地址可以是一样的,都是192.168.10.2。 因为在路由器体内有一个私网ip和端口的对照表,每个私网ip对应一个端口,所以根据端口就能知道消息是发送给内网中的哪台主机了。 192.168.10.10:22222 <——> 10000 当我们访问百度这个事情做完之后的一定时间内,Session记录就会在路由器的体内消失,这个10000端口可以继续分配给其他用户 那么现在我们再来分析一下位于内网中的我们如何和同样是内网中的小伙伴通过 内网穿透工具 常用的内网穿透的工具有:NAT APP基于ngrok的国内高速内网转发工具 这款软件可以把你内网的ip和端口映射成一个公网的ip和端口,这样,我们就可以实现内网穿透了!
0x00 Preface 内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。 某内网靶场的详细教程:Vulnstack(一) 内网渗透过程中经常会涉及到内网穿透,如何理解内网穿透以及端口转发、端口映射等相关知识可以参考:如何从零构建对内网穿透的理解 实操部分写的比较草率,主要是为了增强认知 procdump下载: https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump 0x02 IPC&SMB&WMI 前面已经说了,内网渗透主要是基于口令的攻击 利用流程: 1.建立IPC连接到目标主机(明文密码) 2.copy要执行的命令脚本到目标主机 3.查看目标时间,创建计划任务(at、schtasks)定时执行copy的脚本 4.删除IPC连接 查看当前网络连接 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检 测,成功之后创建 TGT(Ticket-Granting Ticket) 2.
内网渗透msf渗透开启监听之后,成功获取shell。迁移进程接着进行迁移进程,然后尝试进行进程注入。抓取hash使用msf内置的抓hash命令,进行抓hash。 尝试内网渗透。域信息收集使用cs的基本功能收集端口和主机地址。接着进行抓取凭证。横向移动使用psexec进行横向移动。获取域控成功通过抓取到的hash横向到域管接着继续横向,横到了另一台主机。 :de1ay域计算机名称:web.de1ay.com域SID:S-1-5-21-2756371121-2868759905-3853650604-500服务账号NTLM hash :73805069e2c7227f110772875f1b0e41
内网渗透 msf渗透 开启监听之后,成功获取shell。 迁移进程 接着进行迁移进程,然后尝试进行进程注入。 抓取hash 使用msf内置的抓hash命令,进行抓hash。 尝试内网渗透。 域信息收集 使用cs的基本功能收集端口和主机地址。 接着进行抓取凭证。 横向移动 使用psexec进行横向移动。 的mimikatz获取sid) 白银票据: 前提: 已经控制了域控并且使用域管理员登录或者提权的system 我们的目的是去访问windows server 2003 的机器 条件如下: 1.域名 2. de1ay 域计算机名称:web.de1ay.com 域SID:S-1-5-21-2756371121-2868759905-3853650604-500 服务账号NTLM hash :73805069e2c7227f110772875f1b0e41 armandhenewpy /domain:dc.de1ay.com /sid:S-1-5-21-2756371121-2868759905-3853650604-500 /rc4:73805069e2c7227f110772875f1b0e41
目录 什么是外网渗透 什么是内网渗透 分类 工作组 域 内网渗透思路 擦除痕迹步骤 内网信息收集 内网信息收集 (1) 位置的判断 (2) 角色的判断 (3)连通性的判断 内网主机存活探测 所以,外网渗透阶段,考验的是白帽的综合能力,外网渗透的目的还是为了进入内网。 什么是内网渗透 内网更侧重于对目标的熟悉程度。 分类 内网渗透分为域渗透和工作组渗透两类。 域渗透 1.域信息收集 2.获取域权限 3.dump域hash 4.内网权限维持 工作组渗透 1.常规内网渗透 2.各种欺骗攻击 工作组 工作组里的电脑都是平等的,是最常见最普通的资源管理模式,将不同的电脑按功能分别列入不同的组 2.端口转发与协议代理 工作组采取的一般都是常规渗透方法,因为工作组一般都是个人和少数服务器 3.工作组横向渗透 4.域环境横向渗透 5.权限维持
0x01 前言 假如,有一个接入点,可以访问内网服务器网段,如何尽可能的发现服务器网段中可能面临的威胁、存在的安全弱点? 本文将通过一些实例,分享一些简单的内网渗透思路。 (2)直接上传war包,获取webshell ? (3)查看当前权限,权限为administrator,无需进一步提权 ? 0x03 Web应用渗透 通过服务器资产探测,可收集服务器开放web端口,内网系统中,大部分web系统访问的界面都是登录界面,需要用户名密码进行认证。以某内网系统为例,进行实际渗透测试。 0x04 系统漏洞检测 进入内网,一般通过弱口令和web就可以搞定部分服务器,如果不行的话,可以试试系统漏洞,内网补丁很少的情况下可以试试远程溢出(慎用,可能导致系统蓝屏宕机)。 致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。
渗透工具 能够成功地通过web漏洞获取到webshell,对于一次完整的渗透测试来说,仅仅相当于万里长征的第一步。并不是所有渗透测试都会遇到几百台机器的大内网。 测试人员 公网跳板机 内网跳板机1号 内网跳板机2号 目标主机 192.168.100.1公司内网 218.2.135.2虚拟主机具备独立的公网IP 233.33.33.33已Getshell不能从外部直接登陆但可以访问互联网 收集服务器信息 收集信息可以说是渗透测试的第一步,内网渗透也一样,收集的服务器信息越多,渗透的成功率就越大。 说明:以上2条路由的意思,是攻击机如果要去访问17或者16网段的资源,其下一跳是session12,至于什么是下一条这里不多说了,反正就是目前攻击机可以访问内网资源了。 linux内网安全建议 说了这么多内网渗透的套路,按惯例最后该给出内网安全建设的几点建议了,当然只是个人看法。
内网安全检查/渗透介绍 1.1 攻击思路 有2种思路: 攻击外网服务器,获取外网服务器的权限,接着利用入侵成功的外网服务器作为跳板,攻击内网其他服务器,最后获得敏感数据,并将数据传递到攻击者,看情况安装长期后门 一般内网安全检查使用第一种思路,实际的攻击2种思路结合实现。 2.1 Web 2.1.1 自定义 Web 应用 从公网直接攻击目标对外的 Web 应用,或者在授权的情况下在内网进行渗透测试,如果是入侵目的可以直接寻找注入、上传、代码执行、文件包含等高危漏洞,尝试获取系统权限 null; SSHD登陆记录 删除~/.ssh/known_hosts中记录 修改文件时间戳 touch –r 原文件要修改文件 删除临时使用文件,尤其是tmp目录 logtamper 5 工具和其他 内网使用工具渗透的一些原则 推荐一个工具介绍的网站:https://www.kitploit.com/ 渗透注意事项 检查内网监控防范系统 谨慎使用ARP软件和大面积扫描软件 使用目标网络中无空闲机器,作为打包对象 使用内网大流量机器作为传输对象
基于企业弱账号漏洞 基于系统漏洞进入 网站应用程序渗透 无线Wi-Fi接入 隐匿攻击 Command and Control Froting 代理 内网跨边界应用 EW Termite 代理脚本 内网跨边界转发 内网跨边界代理穿透 shell反弹 内网文件的传输和下载 内网信息搜集 端口扫描 内网拓扑架构分析 常见信息收集命令 常用端口扫描工具 1、用户列表 2、进程列表 3、服务列表 4、端口列表 5、补丁列表 系统服务的错误权限配置漏洞 不安全的文件/文件夹权限配置 找存储的明文用户名,密码 BypassUAC 提权 常用方法 常用工具 Windows Linux 权限维持 Windows Linux 1、密码记录工具 2、 Applocker bypassAV 端口扫描 端口爆破 端口弱口令 端口溢出 常见的默认端口 信息搜集 获取域控的方法 获取AD哈希 AD持久化 TIPS 相关工具 1、web类(web漏洞/敏感目录) 2、 活动目录持久性技巧 Security Support Provider SID History AdminSDHolder&SDProp 组策略 Hook PasswordChangeNotify 端口渗透
拿到企业或者公司的内网权限,然后从内网得到最有价值的战果,这就是内网渗透。其危害不言而喻,影响到公司内部代码泄露与重要信息泄露等。 什么是内网渗透 内网渗透就是拿到企业或者公司的内网权限,然后从内网得到最有价值的战果。 内网渗透中常见的几个问题有哪些 最主要有:1、防火墙穿透 2、木马免杀穿透 3、内网信息收集及目标定位 4、关于文件下载 常见的问题就是,遇到工作组一般成功率就很低了,如果是域环境的话,还是有很多技巧可以用的 内网渗透测试思路 进入内网或者拿到服务器权限之后首先我会用nmap或者IIS PUT Scaner探测一下内网IP段开放的端口和服务,如果是WEB服务就通过常规的WEB渗透黑入系统,如果是 数据库 内网渗透信息获取途径 通过域名暴破、搜索引擎、挖掘公司企业相关网站最终找到突破口、社工企业人员账号或QQ号等相关信息等等。 内网获取信息,我分2步。
image.png 视频内容 内网渗透之内网隧道构建 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 如有需要查看超清1080P版视频,可以选用以下2种方式进行查看。 国内使用腾讯视频做为视频内容存储点,可自定义选择超清1080P。
文章前言 随着企业信息化程度的加深,内网环境逐渐成为攻击者的关注的重点目标,在内网渗透的过程中权限维持是不可或缺的关键环节之一,它往往决定了攻击者能否在目标系统中长时间潜伏,获取敏感信息或者造成更大范围的破坏 本文旨在深入探讨内网渗透中的权限维持技术,包括其基本概念、常见手段以及防御措施 权限维持 DSRM域后门 基本介绍 DSRM(Directory Services Restore Mode,目录服务恢复模式 在渗透测试中,我们可以使用DSRM账号对域环境进行持久化操作,如果域控制器的系统版本为WIndow Server 2008,需要安装KB961320才可以使用指定域账号的密码对DSRM的密码进行同步,在 使用之前的证书依旧可以窃取的用户的NTLM Hash tgt::pac /subject:Al1ex /castore:current_user /domain:hacke.testlab 文末小结 本篇文章主要对内网渗透中的域内权限维持手法进行了介绍 ,其实内网主机有window,也有Linux,所以读者不用过于局限于内网手法进行权限维持(当然这种作为首选属实极好),至于window下的一系列维权也可以进行尝试操作,例如:WMI后门、CLR维权、COM
一、域操作相关的命令 1.查看域用户 net user/domain 2.查看有几个域 net view/domain 3.查看域内的主机 net view/domain: XXX 4.查看域里面的组 即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现 IPC$入侵,即通过使用Windows系统默认启动的IPC$共享获得计算机控制权的入侵,在内网中及其常见
前言 在最近的攻防演练中,遇到几个内网环境都不通外网的情况,因此,整理下用到的几种不出网内网渗透技巧。 2、通过浏览器访问上传的脚本文件,显示如下表示成功。 ? 3、本地运行reGeorgSocksProxy.py,-p为指定隧道的端口,-u为刚刚上传的tunnel文件地址。 5、成功把本机带入内网。 ? cs上线 cs逐渐成为内网渗透中使用最多的工具,在目标不通外网的情况下,无法直接与公网的cs服务端建立连接。 运行服务端 teamserver.bat x.x.x.x 1q2w3e4r ? 点击cs.bat运行客户端 ? 然后就可以直接在内网操作cs了。 ? ms17010横向利用 内网渗透中常用的攻击手段,随着补丁和杀软的普及,能利用的场景越来越少,而且容易造成目标蓝屏,影响业务,所以谨慎使用。 之前的利用都是在通外网下情况下利用msf攻击。
1、登录域控 2、在域控安装Skeleton Key mimikatz.exe "privilege::debug" "misc::skeleton" exit 这个时候系统提示 Skeleton Key 条件:获得域控权限 利用 1、使用mimikatz查看krbtgt的NTLM hash privilege::debug lsadump::lsa /patch /name:krbtgt 2、mimikatz :sam 5、修改DSRM的登录方式 0:默认值,只有当域控制器重启并进入DSRM模式时,才可以使用DSRM管理员账号 1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器 2: 管理员账号登录域控制器 很多文章中都说到使用Windows Server 2000后的操作系统中,对DSRM使用控制台登录域控制器进行了限制,如果要使用DSRM账号通过网络登录域控制器,需要将该值设置为2。 New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2
(2):查看chisel服务器端的帮助 ./chisel server -help ? (3):查看chisel客户端的帮助 ./chisel client -help ? (2):第二步:将kali的22端口转发到VPS的8888端口上 其实上一步已经完成了这一步操作,现在看一下chisel服务端和客户端的连接情况。 服务器端 ? 客户端 ? SSH已经连接。 (2):第二步:将win7的3389端口转发到VPS的33389端口 其实上一步已经完成了这一步操作,现在看一下chisel服务端和客户端的连接情况。 服务端 ? 客户端 ? socks代理,然后使用SocksCap等工具进行内网扫描或者内网渗透。 (2):将127.0.0.1的1080的流量转发到0.0.0.0的23333端口 ? 本地的1080端口已经监听成功。
在没工作之前我常年搞各种高校的网络,边界口漏洞多容易进入而内网机器环境多不严格真是内网渗透的好地方,最后被誉为”学校杀手”,之前搞学校方法简单而粗爆很多内网常识都不懂就是各种扫,反正学校管理员的密码都是一样的就算不是域控密码基本都是一样 一般想知道哪一台是域控知道自己内网的DNS就可以了,一般域控安装都有安装DNS有些不止一台,其次是通过扫描获取开放端口为389机器或者使用NLTEST命令查看。 (共享密钥) https://msdn.microsoft.com/en-us/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be.aspx 使用PowerShell Server 2012,Windows 8 通常拿下一台服务器时准备内网渗透,需要传你的工具到目标机器中,而且是长久渗透的这种,为了不被发现! page_id=1821#SEKURLSALogonPasswords linux / UNIX / BSD的后期渗透思路 http://bit.ly/pqJxA5 Metasploit的后期渗透思路
在某次威胁分析的过程中,看到攻击方在使用反序列化漏洞拿下资产组内一台暴露在外网的主机之后,就开始使用reGeorg工具进行连接,视图渗透到内网。 是什么 在大多数的文章中,都把reGeorg称为内网代理。实际上,它也确实在渗透的过程中,起到了代理的作用。 考虑一种场景,资产组里有2台机器:主机A、主机B。 2. 怎么用 2.1 搭建环境 为了模拟整个场景,我搭建了一个如下图所示的网络拓扑。attk是攻击主机,victim_a和victim_b是被攻击主机。s1和s2是两个交换机,r1是路由器。 2.当收到CONNECT命令时,解析得到指定的内网IP和端口,并使用socket与之建立连接。并在响应中,增加头部X-STATUS:OK。 2.CONNECT命令之后,有READ、FORWARD命令。且如果请求成功,它们的响应头部也带有X-STATUS:OK。 3.如果使用reGeorg工具,对于内网主机执行命令成功例如READ读取成功。
前言 整理下内网渗透的思路 一、整体概述 1、攻击思路 攻击思路主要有2种: 攻击外网服务器,获取外网服务器的权限,接着利用入侵成功的外网服务器作为跳板,攻击内网其他服务器,最后获得敏感数据,并将数据传递到攻击者 一般内网安全检查使用第一种思路,实际的攻击2种思路结合实现。 ,可以分为4个阶段: 信息收集 漏洞验证/漏洞攻击 后渗透 日志清理 二、信息收集 该阶段识别内网存活的主机 IP, 运行端口扫描和漏洞扫描获取可以利用的漏洞 1、主机发现 使用端口扫描工具可以实现主机发现的功能 (一)Web 1、自定义 Web 应用 从公网直接攻击目标对外的 Web 应用,或者在授权的情况下在内网进行渗透测试,如果是入侵目的可以直接寻找注入、上传、代码执行、文件包含等高危漏洞,尝试获取系统权限 推荐一个工具介绍的网站: https://www.kitploit.com/ 3、渗透注意事项 检查内网监控防范系统 谨慎使用ARP软件和大面积扫描软件 使用目标网络中无空闲机器,作为打包对象 使用内网大流量机器作为传输对象