基础概念
- 工作组
每台计算机都是对等的,a机器不能登录b机器。 - 域环境
控制内网所有处于内外域环境的机器(方便大企业管理,不需要挨个计算机操作,只能域管理员登录)
- 域机器
可登录内外邮件服务器、OA服务器等 - 域用户
员工 - 域管
如IT部门的运维人员,维护安全和下发任务(每台机器该干什么) - 域控
控制很多台服务器的机器
内网攻击步骤
1. 判断拿下的服务器是工作组(内网环境下用户a不能登陆用户b电脑)还是域机器(管理很多内网主机的)
工作组:
要进行端口转发(将内网端口数据转发到外网,比如他3389端口只能内网连接,那么我们将他端口的3389数据转发到我们服务器的33891端口,然后连接33891就等同于连接他内外的3389端口)
2. socket代理:
正向代理:
比如在内网机器打通一个可以连接他内网的渠道,然后在我们机器代理这个渠道就可以连通他内网,也可以理解为VPN概念,比如我们机器代理了VPN,那么我们就可以通过VPN访问到国内无法访问的GOOGLE(还不懂用下VPN然后找下中间的过程吧)
反向代理:
在自己的机器上建立一个连接渠道,然后将内网服务器连接我们机器的渠道,就可以连通他内网(可以想象成你在我家装了一个电话,然后你可以在你家和我通话,而正向代理是我在你家装了电话,然后我可以和你通话)
3. 利用第二步进入了内网,我们可以扫描弱口令(RDP弱口令、SSH弱口令、MSSQL弱口令、Tomcat弱口令…)和扫描web资产(扫描段下的有漏洞的服务,如Jboss、Weblogic、St2,内网日内网是比日外网较简单的,因为有人会觉得我把一些低安全性的服务搭建在内网,别人又打不开,莫得事。)
4. 拿下了内网权限后,读密码,内网攻击步骤总归于密码收集,直到取到域管密码(如读取本机密码、服务密码、浏览器存储的用户信息等)
5. 信息收集
1、查看本机权限(命令:whoami /user)(如果权限太低,我们可以进行提权,但一般都最好不要,因为如一些监测系统看到你执行了提权的exploit会有警报,然后运维人员发现了,更改了机器的密码什么的,就功亏一篑,或者护网情况下,可能会把他们机器搞崩溃,如exploit导致服务干嘛干嘛的,而且一般普通用户权限,只要不会低的什么都不能干,都可以信息收集,和取密码)
2、查看网络连接信息(命令:netstat -ano),可以看到TCP、UDP信息,用此命令于获取内网IP分布(如可以看到外网的什么IP连接了内网的什么,也可以用于应急响应,比如可以看哪个逼连接进来了内网什么的)
3、查看系统信息(命令:systeminfo,比如看系统打的补丁、网卡信息等、操作系统版本… 具体自己执行看看)
4、查看安装的杀毒软件(命令:WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List),但不一定是完整的
5、查看当前安装的程序(命令:wmic product get name,version)
6、查看在线用户,比如有些管理员3389连接着,并没有关闭,那么我们就可以看(命令:quser)
7、查看网络配置(也可以看DNS信息,如果有是域内,如果没有应该是工作组)(命令:ipconfig /all)
8、查看进程信息(命令:tasklist /v),比如可能某个进程是域管创的,那么我们可以通过管理员权限凭证窃取来获取hash值来拿下域(等同于web的拿下管理员cookie然后利用cookie登录后台管理网站)
9、查看当前登录域(命令:net config workstation)
10、查看Window远程连接历史记录(命令:cmdkey /l),如果保存了连接凭证,我们可以取夏利解密然后登录
11、查看本机用户列表(net user)
12、查看本机用户Fuck的信息(命令:net user Fuck)
13、显示所在域的用户名单(命令:net user /domain)
14、获取某个域用户的详细信息(命令:net user 域用户 /domain)
15、修改域管理员密码,需要域管权限(命令:net user /domain username password)
16、待续更新
