記錄一次內網滲透過程

記錄一次內網滲透過程0x01 前言：

一切以學習為主，記錄一次小小的攻擊過程

本次是通過外網漏洞撕開的口子，主要通過一下方式

拿到了目標資產

【資料圖】

nday掃一掃弱口令爆一爆上傳接口找一找后臺上傳找一找數據庫弱口令關注新day，有了立馬在資產里面跑一下邏輯漏洞什么的就不要了，只要能getshell0x02 進內網

拿到了幾個shell，先命令查看一下 進了360窩了

基本上都有360，只能掏出我臨時免殺馬了，不穩，只能繞一下了

這里有個靜態免殺馬如何上線小技巧：

1、靜態免殺馬只有在執行敏感命令時才會被檢測殺死（靜態免殺馬比較簡單，臨時使用）

2、繞過360添加用戶，并添加到administrators組（github上有工具）

3、有些服務器不允許外部遠程，內網可遠程

4、cs可以開socks4，這不是敏感操作

5、掛cs的代理，通過服務器內網ip就可以控制桌面

6、遠程控制上去之后，運行殺軟360或者火絨等，他會提示在別的用戶運行了是否轉移到當前用戶，選擇是，然后關了它，接下來就可以為所欲為了

7、上面的步驟不一定適用于每個環境，總要根據環境改變策略的不是。

0x03 密碼噴灑

內網主打的一個信息關聯

抓取到本地密碼后，使用fscan就可以碰撞 或者使用 crackmapexec 去碰就可以

如

fscan -h 192.168.x.x/24 -m smb -user 用戶 -pwd 密碼crackmapexec smb 192.168.x.x -u 用戶 -p "密碼"

如果抓不到密碼，用hash去PTH票據傳遞

crackmapexec smb 192.168.x.x -u 用戶 -H "NTLM"

收獲同段192.168.x.x三臺

使用wmiexec.py 驗證一下

0x04 探測網段可達

工具netspy，得到眾多可達網段

0x05 找域

使用nbtscan批量跑NetBIOS協議，就工作組沒域啊

0x06 意外的60臺設備

既然是同一個工作組那肯定是有相同之處，而且他們的計算機名好像，不對勁。。絕對不對勁。。。

找其中一個掃一下端口看看一下，有個8xxx的端口是個機頂盒后臺

弱口令隨手試一下就進去了admin，60臺 拿下拿下

0x07 回首掏

再回到初始服務器，抓取本地所有密碼，瀏覽器記錄等信息

通過瀏覽記錄和密碼抓取，拿下用友后臺存在大量數據，websphere集成存在7臺終端

0x08 qax云安全管理平臺

看了一下ip的web掃描結果，內網中存在三臺qax的云安全管理平臺

本來想著游戲結束，誰知道一臺管理機器也沒有o(╥﹏╥)o

0x09 戰后總結

1、現在的內網滲透總要面對殺軟，時時刻刻都要有自己一套繞過殺軟或免殺的能力，過不去殺軟都是浮云2、內網主要就是信息收集，需要收集好本地密碼、瀏覽器記錄、數據庫密碼、可達網段、多網卡機器、重點目標、是否有域等等3、橫向移動，本次主要用了密碼噴灑，信息收集后發現內網機器并不多，就沒再繼續橫向4、重點資產要特別關注，像一下堡壘機、天擎、這樣的終端控制服務，拿下后直接游戲結束5、本次測試主要目的在于學習，內網中各種協議應該靈活使用，ICMP探測不到的不一定不存在，換成Netbios協議去探測卻能夠探測出來，還有一些機器禁ping，都要學會去繞過。6、自動化進行掃描的話動靜還是太大，需要更精簡化測試過程，瞄的準打的狠，直線攻擊直接拿下內網