浅谈内网渗透

2013-04-12 1335237人围观 ,发现 44 个不明物体 系统安全


引子
离上篇文章的时间过去很久了,答应写一篇内网渗透的文章,今天抽点时间,把这个坑给添平了吧。标题是浅谈,所以我不认为自己能在内网渗透写的有多深入。渗透这玩意更多是经验,积累的多了自然水到渠成。而且我个人认为很多前辈人物都已经写的很好了,我这里纯粹抛砖引玉,把前辈级人物的经验集成在一起,也算基础篇吧。如果有不足的地方或者有更好的实现方法,欢迎随时交流。交流方式就以邮件吧,邮件地址在文章结束处,上次公开的Q加了很多人,即时通讯=即时打扰,过段时间集中清理,如果不小心被清理了,诸位勿怪,这里算是提前打个招呼。

正文
假设我们现在已经处在一个内网中,该内网处于域中。我们的终极目标是实现对域控制器的控制。

内网信息获取
信息的获取直接通过Windows自带的命令即可实现,简单写出来:

ipconfig /all
netstat –an
net start
net user
net user /domain
net group “domain admins”        #查看域管理员
net localgroup administrators
net view /domain
dsquery server         #查看域控服务器
dsquery subnet        #查看域IP范围

上述命令执行完,内网的信息基本上就获取的差不多了。个别命令根据个人爱好请自行增加减。

向域控出发
假设执行dsquery server的结果我们发现域控服务器为DC-2008和DC-2003两台,而我们执行命令的主机也是在域下的,那么我们可以直接WCE -w了,运气好的话明文密码直接出现在你眼前,另一个外国人写的神器叫mimikatz也能够获取明文密码,图我就不截了,大家自己动手吧!

如果运气好,那么恭喜,此时你已经域控管理员密码在手,域中随意可行走。使用域控管理员密码登录域控服务器,使用pwdump、fgdump等各种密码dump工具对整个域控的密码散列进行获取即可。

如果运气差,使用wce没有得到域管理员的密码,那么你可以尝试如下方式:

Incognito
Smb
Wce –s欺骗
Sniffer + ARP
其他(玉在哪里?)

Sniffer动静很大,不到最后建议还是不要尝试了。

结束语
此文仅以技术交流为目的,拒绝任何形式的攻击行为。
想了半天我决定还是在结束语前面加上上面这句话,渗透是个技术活,也是个艺术活,各种奇技妙巧尽在其中,同时环境也复杂多变,但万变不离其宗,以静制动,后发制人。
文章有点虎头蛇尾了,但总算是兑现诺言了。

下一个坑
又给自己挖一个坑,想写点关于SCADA的,但是这东西太… 如果有更好的我会换掉。

关于我
R0b1n,Freebufer,Pentester  
Email:G.r0b1n[a.t]foxmail[dot]com

小编:科普文,但是有点简单,希望R0b1n后续带来更多详细的内容 :)

这些评论亮了

  • 首先感谢R0b1n的分享精神,我相信大家来freebuf最主要看重的就是这种free的精神,国内这几年的气氛不如以前了,很多都是小范围的讨论,更多的是趋势是越来越利益化了,所以我希望大伙更多的是鼓励,而不是一味的批判,关于内网这块我也抛砖引玉一下,仅作参考,也欢迎各种批判。
    在内网渗透这块,前面不提如何获得机器权限了,主要是后面获取信息这块,我觉得首先就要了解获得的这台机器的所属人员,如果我们的目标是公司,那我们就要了解这个人在公司里的职位,他是个什么身份,有多大的权利,这都关系到他在内网里的权限。因为,作为大公司,一个高权限的人他在内网里所要用到的东西就多,那么相对他的机器,当然权限就会比一般普通员工的高很多。你可以尝试熟悉他的电脑甚至比他本人还熟,那你就算了解详细了。
    然后就是了解了一定的人员信息,期间你要记下你所掌握到的账号,密码这些重要数据,以后有一定的用,所以,在你渗之前,不妨建个记事本将重要信息保存起来,写个记事本不会浪费你多少时间。接下来,我们就应该对这个网络进行一定的了解,他是一般的内网,还是域?一般大公司都会用域的,我们只需要查一下就知道,要想对他进行渗透,你就必须了解他的网络拓补,当然,一些太具体的物理上我们是无法了解的,我们只能了解我们所能知道的。不管他是INT,DMZ,LAN,我们必须足够掌握。
    后面可以做一些信息归档,包含利用渗透的机器进行横向扩展,其中可能利用到文中说的各种gethash方法等之类。现在大公司基本都有域控,在域控中渗透可能更加方便。这块就不多说了,控制域控服务器什么的之类的网上文章太多了。
    freebuf我每天都看,希望看到的是更多和谐的声音,当然指出文章的不足,对楼主也是一种成长,能知晓自己的短处,希望楼主也能够淡定,人在江湖飘,谁能不挨刀。
    )70( 亮了
  • anlfi (5级) 回复
    糊弄谁呢,lz大黑阔,你好歹ctrl+c ctrl+v 一下啊太水了 无法直视
    前辈你妹啊,想要钓鱼连鱼饵都没有
    想要交流就要体现一定的水平啊混蛋~╮(╯▽╰)╭
    内网渗透就是渗透 就像情报部门 钓鱼欺骗 定向挂马 邮件系统 OA系统 观察各种人员习惯配置情报
    利用一切手段获取权限 密码 情报 资源 人员 持续APT
    其实一定意义上完全就是间谍行为 你甚至可以贿赂人家公司的人去插U盘
    一个DC 嗅探 抓hash神马就给你搞定你当我......
    嘻嘻~
    真要说了一堆一堆的 交流的目的是各取所需
    围观中
    呵呵壁纸不错
    )30( 亮了
  • g.r0b1n (5级) 一个普通的安全攻城狮,Web安全、渗透测试、IoT &... 回复
    @anlfi  首先欢迎anlfi的评论,很犀利,也是实话。我承认这篇文章有灌水嫌疑,但请注意标题是浅谈,所以就没准备着深入,如果你觉得你水平够,可以写文章递到FreeBuf交流,也可以私下邮件交流。内网环境很复杂,我没法写的那么详细具体,难道非要我手把手写出来才有意思?
    )22( 亮了
  • :mrgreen: 抓鸡大牛才是内网渗透高手啊。。。你们这群渣渣
    )16( 亮了
  • @IceArmour 同意您的观点,作为在一个大企业里工作的人感觉很多点都被你说破了,哈哈,不要这样啊,补充一点就是各位黑客要注意的是如果去Pentest 500强里的,他们的密码都是定期更改的,我这里是三个月一次,其他的估计是差不多,他们的密码难度根据企业性质不同而变化,有简单的组合,也有设置密码时候就有超强的限制条件不达到一定程度更本改不成功,所以我每次改密码都很纠结。。。不能透露更多了
    )9( 亮了
发表评论

已有 44 条评论

取消
Loading...
css.php