内网渗透

清疚 2022-12-10 08:48 171阅读 0赞

### 目录 ###

*   *  什么是外网渗透
     *  什么是内网渗透
     *  分类
     *   *   *  工作组
             *  域
     *  内网渗透思路
     *   *   *  擦除痕迹步骤
     *  内网信息收集
     *  内网信息收集
     *   *   *  (1) 位置的判断
             *  (2) 角色的判断
             *  (3)连通性的判断
     *  内网主机存活探测
     *  Hash抓取
     *  横向移动

在说内网渗透前，先说说什么是外网渗透

## 什么是外网渗透 ##

外网更侧重于找漏洞寻找突破口  
举个简单的例子：  
把渗透测试当做去偷某家超市的某个商品。外网渗透就是突破超市的大门，进入超市。

想要进入超市，这个时候我们要寻找一下超市防守不到位的地方：比如是不是窗户没关、监控是不是半夜十二点为了备份前一天的视频内容而短暂失灵、保安是不是凌晨三点就会开始划水、大门是不是可以用万能钥匙打开……  
外网渗透就是收集这些“漏洞”，综合多方因素，利用天时地利人和，突破限制，闯入超市内部。

所以，外网渗透阶段，考验的是白帽的综合能力，外网渗透的目的还是为了进入内网。

## 什么是内网渗透 ##

内网更侧重于对目标的熟悉程度。

如果你突破“外网”的限制，成功进入“内网”，那么这一阶段对你的要求又有所不同。  
对环境是否足够熟悉？对目标的情况是否了然于胸？是否知道哪里有摄像头？哪里有敏感信息，哪里有红外线探测，你要的商品在哪个柜台……

在重重关卡下成功拿到信息后，还要全身而退，将你留下的指纹、脚印全擦掉，不留半点痕迹。

当然，术业有专攻，作为渗透人员，或许对目标的内部不够熟悉。所以这时候你需要一个帮手——安全运维。安全运维，顾名思义，是运维，相当于超市内部的保安。他能以同行的身份，推测超市的安保情况，而且对超市内部的信息更了解。

## 分类 ##

内网渗透分为域渗透和工作组渗透两类。  
**域渗透**

*  1.域信息收集
 *  2.获取域权限
 *  3.dump域hash
 *  4.内网权限维持

**工作组渗透**

*  1.常规内网渗透
 *  2.各种欺骗攻击

#### 工作组 ####

工作组里的电脑都是平等的，是最常见最普通的资源管理模式，将不同的电脑按功能分别列入不同的组，以方便管理；相对而言，所处在同一个工作组内部成员相互交换信息的频率最高。  
你可以随便加入同一网络上的任何工作组——如果你加入一个不存在的工作组，也就相当于新建一个工作组了。可以随便离开一个工作组，来去自由。“工作组”就像一个自由加入和退出的群聊一样，它本身的作用仅仅是提供一个“房间”，你只要进群，就能看到群友共享的资源。而且群里没有群主和管理员，群员之间都是平等的。

#### 域 ####

父域，子域：子域是相对父域来说的，一个父域有很多子域  
林域：以父域为中心，有很多子域。  
单域：只有一个林域

域名——dns（严格来说是一种目录服务）——域服务  
域是不平等的，高级域可以操控低级域，父域可以影响子域。比如重置密码等操作。

安全组虽然名字里有安全两个字，但是实际上不太安全。

所以域就出来了，比起安全组，他多了群主(域控)、多了管理员（管理员服务器）。  
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作。称为“域控制器(Domain Controller，简写为DC)”。也就是所谓的群主。一个群可以没有管理员，但是必须有群主。

你想加入一个域，首先得要域控或者管理员服务器在域里面添加一个账号密码，然后你用管理员服务器新建的这个账号密码才能登录。也就是说你想进域，首先得管理员同意才行。

每次你登陆域，管理员都会检查账号密码对不对。不对则不许登陆。

工作组则不一样了，账号不在工作组里面？那就把这个账号添加进工作组。

域一般是大公司使用，等级深明。工作组一般是小公司用，平等自由。

## 内网渗透思路 ##

1.内网环境下先查看网络架构。例如 网段信息 域控 DNS服务器 时间服务器  
2.收集到了足够多的信息可以扫一下开放端口 21 22 80 8080 443等确定敏感信息，以及之后渗透的方向  
3.通过以上信息进行一定的弱口令尝试，针对特定的软件做banner采集利用，snmp测试读取和写入权限  
4.进行一些提权操作，从横向和纵向对目标服务器进行渗透。  
5.进行敏感信息挖掘，内网密码收集嗅探，同时擦除入侵足迹。

#### 擦除痕迹步骤 ####

1.清相关日志  
2.清日志分析服务  
3.清命令行记录（历史命令）  
4.清内存  
5.清缓存 （可以用脚本清，然后销毁脚本）

## 内网信息收集 ##

<table> 
 <thead> 
  <tr> 
   <th>命令</th> 
   <th>作用</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>ipconfig /all</td> 
   <td>查询本机IP段，所在域等</td> 
  </tr> 
  <tr> 
   <td>net user</td> 
   <td>本机用户列表</td> 
  </tr> 
  <tr> 
   <td>net localgroup administrators</td> 
   <td>本机管理员[通常含有域用户]</td> 
  </tr> 
  <tr> 
   <td>net user /domain</td> 
   <td>查询域用户</td> 
  </tr> 
  <tr> 
   <td>net group /domain</td> 
   <td>查询域里面的工作组</td> 
  </tr> 
  <tr> 
   <td>net group “domain admins” /domain</td> 
   <td>查询域管理员用户组</td> 
  </tr> 
  <tr> 
   <td>net localgroup administrators /domain</td> 
   <td>登录本机的域管理员</td> 
  </tr> 
  <tr> 
   <td>net localgroup administrators workgroup\user001 /add</td> 
   <td>域用户添加到本机</td> 
  </tr> 
  <tr> 
   <td>net group “domain controllers” /domain</td> 
   <td>查看域控制器(如果有多台)</td> 
  </tr> 
  <tr> 
   <td>net time /domain</td> 
   <td>判断主域，主域服务器都做时间服务器</td> 
  </tr> 
  <tr> 
   <td>net config workstation</td> 
   <td>当前登录域</td> 
  </tr> 
  <tr> 
   <td>net session</td> 
   <td>查看当前会话</td> 
  </tr> 
  <tr> 
   <td>net use \ip\ipc$ pawword /user:username</td> 
   <td>建立IPC会话[空连接-***]</td> 
  </tr> 
  <tr> 
   <td>net share</td> 
   <td>查看SMB指向的路径[即共享]</td> 
  </tr> 
  <tr> 
   <td>net view</td> 
   <td>查询同一域内机器列表</td> 
  </tr> 
  <tr> 
   <td>net view \ip</td> 
   <td>查询某IP共享</td> 
  </tr> 
  <tr> 
   <td>net view /domain</td> 
   <td>查询域列表</td> 
  </tr> 
  <tr> 
   <td>net view /domain:domainname</td> 
   <td>查看workgroup域中计算机列表</td> 
  </tr> 
  <tr> 
   <td>net start</td> 
   <td>查看当前运行的服务</td> 
  </tr> 
  <tr> 
   <td>net accounts</td> 
   <td>查看本地密码策略</td> 
  </tr> 
  <tr> 
   <td>net accounts /domain</td> 
   <td>查看域密码策略</td> 
  </tr> 
  <tr> 
   <td>nbtstat –A ip</td> 
   <td>netbios 查询</td> 
  </tr> 
  <tr> 
   <td>netstat –an/ano/anb</td> 
   <td>网络连接查询</td> 
  </tr> 
  <tr> 
   <td>route print</td> 
   <td>路由表</td> 
  </tr> 
  <tr> 
   <td>tasklist /V</td> 
   <td>查看进程[显示对应用户]</td> 
  </tr> 
  <tr> 
   <td>tasklist /S ip /U domain\username /P /V</td> 
   <td>查看远程计算机进程列表</td> 
  </tr> 
  <tr> 
   <td>qprocess *</td> 
   <td>类似tasklist</td> 
  </tr> 
  <tr> 
   <td>qprocess /SERVER:IP</td> 
   <td>远程查看计算机进程列表</td> 
  </tr> 
  <tr> 
   <td>nslookup –qt-MX Yahoo.com</td> 
   <td>查看邮件服务器</td> 
  </tr> 
  <tr> 
   <td>whoami /all</td> 
   <td>查询当前用户权限等</td> 
  </tr> 
  <tr> 
   <td>set</td> 
   <td>查看系统环境变量</td> 
  </tr> 
  <tr> 
   <td>systeminfo</td> 
   <td>查看系统信息</td> 
  </tr> 
  <tr> 
   <td>qwinsta</td> 
   <td>查看登录情况</td> 
  </tr> 
  <tr> 
   <td>qwinsta /SERVER:IP</td> 
   <td>查看远程登录情况</td> 
  </tr> 
  <tr> 
   <td>fsutil fsinfo drives</td> 
   <td>查看所有盘符</td> 
  </tr> 
 </tbody> 
</table>

## 内网信息收集 ##

#### (1) 位置的判断 ####

位置判断是指机器处于网络拓扑中的某个区域，是在DMZ区，办公网，还是核心区，核心DB等多个位置，当然这里的区域并不是绝对的，只是大概的一个环境，不同的地方网络环境不一样，区域的界限也不一定明显。

#### (2) 角色的判断 ####

机器角色的判断指判断已经控制的机器是普通Web服务器、开发测试服务器、公共服务器、文件服务器还是代理服务器、DNS服务器、存储服务器等等。具体的判断是通过对机器内的主机名、文件、网络连接等多种情况进行综合判断的。

#### (3)连通性的判断 ####

出口流量是否连通的判断指机器是否能上外网这些，要综合判断协议（tcp\\http\\dns\\icmp等协议）与端口(常见能出去的端口有80,8080,443,53,110,123等)。在这里还有一种是网络内网设置了代理服务器的情况，攻击者通常会查看环境变量set，主机名是否有proxy字样的机器，注册表是否有写明代理地址或指定pac代理文件等。

## 内网主机存活探测 ##

Ping  
Arp  
Tracert  
route

## Hash抓取 ##

使用[mimikatz][]提取系统hash与明文  
破解出的NTLM可以尝试CMD5破解

## 横向移动 ##

**1.默认权限配置认知**  
当某些普通\\不普通用户加入AD的rdp组或其他管理组，当攻击者拿到这些用户的权限时就相当于可以获取到域控制器的权限了。

**2.端口转发与协议代理**  
工作组采取的一般都是常规渗透方法，因为工作组一般都是个人和少数服务器

**3.工作组横向渗透**

**4.域环境横向渗透**

**5.权限维持**

[mimikatz]: https://blog.csdn.net/weixin_45663905/article/details/108013149