0x00 內網滲透概述
當我們滲透web端或者通過其他方式拿到某內網主機shell,我們就可以嘗試開始內網滲透,也叫做后滲透,域滲透等,探索域內網路架構,通過內網滲透得到其他內網主機的權限,或者通過內網主機獲取到同域的最高管理員主機權限等,
1.內網基本認知:各種名詞認知,域的認知,大概了解內網安全流程
2.內網資訊收集:(1) 內網主機的基本資訊(版本,補丁,服務,任務,防護…),
(2)網路資訊(埠,環境,代理通道…),
(3)用戶資訊(域用戶,本地用戶,用戶權限,組資訊…),
(4)憑據資訊(各種儲存的協議賬號密碼資訊,各種口令資訊,hash…)3.后續探針資訊:探索到域內的網路架構資訊,存活主機,域控資訊,服務介面…
0x01 內網基本認知
內網基本認知:各種名詞認知,域的認知,大概了解內網安全流程
名詞:局域網,作業組,域環境,活動目錄AD,域控制器DC…
域:單域,父域,子域,域樹,域森林
自己筆記本比較雞肋搭建了一個簡單的內網支持這次實驗:

下面開始整個內網的資訊收集
0x02 內網主機的基本資訊收集(版本,補丁,服務,任務,防護…)
當拿到內網主機的控制權shell,進行第一步的基本主機資訊收集
當前服務器的計算機基本資訊,為后續判斷服務器角色,網路環境等做準備
systeminfo 詳細資訊
net start 啟動服務
tasklist 行程串列
schtasks 計劃任務
舉例: 行程串列,為判斷主機服務資訊做準備
基本資訊:
0x03 網路資訊收集(埠,環境,代理通道…)
ipconfig /all 判斷存在域-dns
net view /domain 判斷存在域
net time /domain 判斷主域
netstat -ano 當前網路埠開放
nslookup 域名 追蹤來源地址
舉例: 判斷存在域名
通過查看時間回傳計算機名稱資訊包含域資訊,
通過nslookup追蹤域名路由判斷出主域IP
0x04 用戶資訊收集(域用戶,本地用戶,用戶權限,組資訊…)
了解當前計算機或域環境下的用戶及用戶組資訊,便于后期利用憑據進行測驗
系統默認常見用戶身份:
Domain Admins:域管理員(默認對域控制器有完全控制權)
Domain Computers:域內機器
Domain Controllers:域控制器
Domain Guest:域訪客,權限低
Domain Users:域用戶
Enterprise Admins:企業系統管理員用戶(默認對域控制器有完全控制權)
相關用戶收集操作命令:
whoami /all 用戶權限
net config workstation 登錄資訊
net user 本地用戶
net localgroup 本地用戶組
net user /domain 獲取域用戶資訊
net group /domain 獲取域用戶組資訊
wmic useraccount get /all 涉及域用戶詳細資訊
net group "Domain Admins" /domain 查詢域管理員賬戶
net group "Enterprise Admins" /domain 查詢管理員用戶組
net group "Domain Controllers" /domain 查詢域控制器
舉例:
域主機上查詢:
涉及域用戶詳細資訊:可在普通權限操作
查詢命令一定要注意權限:
0x05 憑據資訊收集(各種儲存的協議賬號密碼資訊,各種口令資訊,hash…)
旨在收集各種密文,明文,口令等,為后續橫向滲透做好測驗準備,憑據資訊收集:
1.站點原始碼備份檔案、資料庫備份檔案等
2.各類資料庫 Web 管理入口,如 PHPMyAdmin
3.瀏覽器保存密碼、瀏覽器 Cookies
4.其他用戶會話、3389 和 ipc$連接記錄、回收站內容
5.Windows 保存的 WIFI 密碼
6.網路內部的各種帳號和密碼,如:Email、VPN、FTP、OA 等
這里推薦軟體測驗主機的上面存在的憑據資訊
主機資訊:計算機用戶 HASH,明文獲取-mimikatz(win),mimipenguin(linux)
mimikatz(win):https://github.com/gentilkiwi/mimikatz/releases
安裝:
privilege::debug
sekurlsa::logonpasswords
使用獲取本機賬戶密碼資訊:

介面資訊收集:計算機各種協議服務口令獲取-LaZagne(all),XenArmor(win收費,功能強大)
LaZagne工具演示-----
專案地址:https://github.com/AlessandroZ/LaZagne
laZagne.py all#檢查所有模塊
laZagne.py browsers#指定模塊

0x06 后續探針資訊:探索到域內的網路架構資訊,存活主機,域控資訊,服務介面…
探針主機域控架構服務,為后續橫向思路做準備,針對應用,協議等各類攻擊手法
探針域記憶體活主機及地址資訊,使用自帶的內部命令回圈陳述句探索網路IP架構:
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.213.%I | findstr "TTL="

另外nmap masscan掃描工具工具也可以使用
這里介紹使用powershell框架腳本搜集資訊nishang empire 等
powershell框架腳本搜集資訊nishang:
專案地址:https://github.com/samratashok/nishang
工具使用:需要powershell權限運行
#設定執行策略
Set-ExecutionPolicy RemoteSigned
#匯入模塊 nishang
Import-Module .\nishang.psm1
#獲取模塊 nishang 的命令函式
Get-Command -Module nishang
#獲取常規計算機資訊
Get-Information
#埠掃描(查看目錄對應檔案有演示語法,其他同理)
Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress 192.168.213.100 -ResolveHost -ScanPort
#獲取常規計算機資訊 Get-Information
埠掃描:Invoke-PortScan -StartAddress 192.168.213.0 -EndAddress
192.168.213.100 -ResolveHost -ScanPort
#其他功能:洗掉補丁,反彈 Shell,憑據獲取等
探針域內主機角色及服務資訊
利用開放埠服務及計算機名判斷
核心業務機器:
1.高級管理人員、系統管理員、財務/人事/業務人員的個人計算機
2.產品管理系統服務器
3.辦公系統服務器
4.財務應用系統服務器
5.核心產品原始碼服務器(自建 SVN、GIT)
6.資料庫服務器
7.檔案或網盤服務器、共享服務器
8.電子郵件服務器
9.網路監控系統服務器
10.其他服務器(內部技術檔案服務器、其他監控服務器等)
大概的總結一下,希望各位師傅能夠指點
交流學習:
博客:www.kxsy.work
CSND社區:告白熱
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/301688.html
標籤:其他
上一篇:什么是網路安全等級保護













