再談內網滲透

2021-12-30 03:51:54 字數 2637 閱讀 1133

前言:

看了@g.r0b1n文章《**內網滲透》抑制不住自己衝動的心情,寫一篇《再談內網滲透》,希望以後有朋友能更新《詳談內網滲透》 在我的腦子裡面我始終認為,一次滲透至少要控制被滲透物件80%以上伺服器才能算得上一次成功的滲透。希望朋友們能夠多提寶貴意見。

正文:

我沒有內網域裡面某個機器的許可權,我只有乙個存在漏洞的web頁面,而我的目的就利用這個存在漏洞的web入侵線上伺服器,然後從idc網路入侵到辦公網,到了辦公網路再入侵域控伺服器,很多較大的網際網路公司idc內網與運維網相通的,然而運維內網一般包含在辦公網路中。

通過存在漏洞的web我成功有了乙個linux伺服器的shell,有了shell之後先別忙著搞,看看機器有沒有什麼監控及有無收集日誌(如果有監控的話,廢了半天勁找web漏洞拿到的shell被發現了這就蛋疼了)

ls -al/etc/init.d 看看這裡都有一些什麼東西。ip資訊以及連線資訊很重要,這裡返回的結果決定***該怎麼走

首先做乙個簡單的分析,上面看來有內網和外網兩個ip,如果存在內網ip,我肯定首先去判斷一下,這個內網究竟有多大,也許你會問我怎麼判斷?其實我也不知道怎麼去判斷,nmap掃吧。再看看埠開放的情況,這裡有10050埠,是zabbix_agent 開放埠(看到這個最捷徑的就是搞下zabbix_server)。如果沒有zabbix,可以試試找找是否有puppet ldap 之類的東西。

zabbix這個是個很強大的監控工具,其中system.run模組深受屌絲們的喜愛(反正我很喜歡),這個模組可以執行任意命令。puppet 話說這個是乙個管理配置檔案的工具,但是其也可以執行任意命令(很多人喜歡用它來同步root密碼)。ldap  這玩意相當於windows的ad,當然還有其他的,我就不一一舉例了。

我的列子裡面既然出現了zabbix,那麼我就順著搞zabbix_server的路子走下去。首先看看zabbix的配置檔案,zabbix_server的ip就在配置檔案裡面(當然出來的ip也有可能是zabbix_proxy)確定zabbix web頁面ip,運氣好的話zabbix預設密碼沒有改,你就不用費那麼大的勁了,直接登入新增乙個監控項來執行我們的任意命令或者你也可以想辦法獲取zabbix_server的許可權,如何獲得許可權,這是乙個很複雜的過程,還得看具體情況;你可以解密你已有許可權的這個伺服器的shadow檔案,你也可以裝鍵盤記錄。

這裡提醒一句:

這裡收集的任何密碼儲存起來,後面會很有用。

屌絲運氣比較好,zabbix預設密碼沒有改,我可以直接登入:

下面是乙個比較驚喜的畫面:

至此線上的伺服器我也算基本上控制了。下面是應該向辦公網出發。到這裡看last記錄比較重要,連線伺服器的ip不會是別人,肯定是來自公司,當然也有可能是外網,如果last記錄顯示的全部都是外網ip,你可以去找乙個只有內網ip的伺服器看last記錄。確定辦公網的ip段之後,接下來做的一件事情,我認為比較有意義,找乙個與辦公網相通的伺服器做乙個**,具體可參照這裡。辦公網顯然windows居多,沒有這個**幹起活來還真不方便。

接下來掃瞄辦公網ip段的埠,我首先會掃瞄1433埠,因為it網路很多東西需要用到 sql server 資料庫(當然還有很多其他埠都可以嘗試),在掃瞄弱口令的時候就不要使用常規字典,常規字典成功率不會很高,可以用之前提到的收集來的密碼做字典,也可以自己再加點字典。其實wooyun有乙個非常完整的例子。

拿到第一台內網的windows伺服器許可權之後,還是提醒眾屌絲們,別著急連上去,看看上面的服務,程序,計畫任務 有沒有什麼登入監控,連線監控之類的東西,到這裡被對方發現,前功盡棄,你會更蛋疼。得到一台內網windows伺服器之後,首先要確定域的位置,及一些加域伺服器的ip。我的思路是,域控伺服器可能沒有我們想象中的那麼薄弱,我們可以找乙個加了域的伺服器下手(注意這裡是伺服器不是個人pc哦)要是域管理員也**,那不是很方便就能得到域控伺服器了嘛。確定完這些資訊,任何乙個密碼收集起來儲存好,包括登陸密碼,怎麼獲得可以參照**內網滲透一文。

接下來向目標出發,你可以嘗試各種辦法,可根據自己收集的相關密碼去嘗試各種登陸,這裡要提的是處於內網的web一般比較薄弱,可以從web入手。

很不幸,我掃到了乙個加域伺服器sql server 弱口令,這個弱口令正是在我收集的密碼當中,而且我進到伺服器之後域管理員也**處於斷開狀態,不用想太多,開個shift後門直接切過去,然後你想要的域控伺服器就是你的了。

除此之外,有乙個東西我覺得是非常好用的,無論是在辦公網路還是idc網路,遠端管理預設密碼,這樣的東西因為完全處於內網再加上比較懶的緣故,很少有人記得去改預設密碼(不管你信不信,反正我是信了,但是這裡有乙個弊端就是要重啟伺服器才能獲得許可權,如果是windows的話,還得要乙個pe),*重啟有風險,操作需謹慎*

後記:

拿到鬱控伺服器之後,不妨dump所有域成員的hash出來,可參照這裡。有了這些,可以登入郵箱,很多資訊都在郵箱裡面的。

祝各位大牛,屌絲們 rp暴漲。

留個微博交流:

內網滲透 內網滲透測試基礎 1

內網也指區域網 local area network 是指在某一區域內由多台計算機互聯而成的計算機組,組網範圍通常在數千公尺以內。在區域網中,可以實現檔案管理 應用軟體共享 印表機共享 工作組內的日程安排 電子郵件和傳真通訊服務等。內網是封閉的,可以由辦公室內的兩台計算機組成,也可以由乙個公司內的大...

Ettercap內網滲透

最近網速很卡,於是想到有人在蹭網,怎麼捉弄一下呢?1 開啟ettercap ettercap g 2 hosts scan,list 發現有幾個新的位址192.168.1.71,192.168.1.72,我的192.168.1.35 3 在hostlist中,選擇閘道器 192.168.1.1 右鍵...

內網滲透思路

1.加固,感染系統盤之外的exe檔案保護目標。2.啟動鍵盤記錄和usb裝置檔案複製。3 記錄目標防毒軟體軟。4.抓取hash。5 獲取目標網路環境,工作組還是域環境。6.搜尋主機是否有網路管理軟體 7.檢視對方是否連線過3389,搜尋目標我的文件中的default.rdp檔案。8.搜尋目標內網中是否...