freebuf 内网渗透

引子

离上篇文章的时间过去很久了，答应写一篇内网渗透的文章，今天抽点时间，把这个坑给添平了吧。标题是浅谈，所以我不认为自己能在内网渗透写的有多深入。渗透这玩意更多是经验，积累的多了自然水到渠成。而且我个人认为很多前辈人物都已经写的很好了，我这里纯粹抛砖引玉，把前辈级人物的经验集成在一起，也算基础篇吧。如果有不足的地方或者有更好的实现方法，欢迎随时交流。交流方式就以邮件吧，邮件地址在文章结束处，上次公开的Q加了很多人，即时通讯=即时打扰，过段时间集中清理，如果不小心被清理了，诸位勿怪，这里算是提前打个招呼。

正文

假设我们现在已经处在一个内网中，该内网处于域中。我们的终极目标是实现对域控制器的控制。

内网信息获取

信息的获取直接通过Windows自带的命令即可实现，简单写出来：

ipconfig /all

netstat –an

net start

net user

net user /domain

net group “domain admins”        #查看域管理员

net localgroup administrators

net view /domain

dsquery server        #查看域控服务器

dsquery subnet        #查看域IP范围

上述命令执行完，内网的信息基本上就获取的差不多了。个别命令根据个人爱好请自行增加减。

向域控出发

假设执行dsquery server的结果我们发现域控服务器为DC-2008和DC-2003两台，而我们执行命令的主机也是在域下的，那么我们可以直接WCE -w了，运气好的话明文密码直接出现在你眼前，另一个外国人写的神器叫mimikatz也能够获取明文密码，图我就不截了，大家自己动手吧！

如果运气好，那么恭喜，此时你已经域控管理员密码在手，域中随意可行走。使用域控管理员密码登录域控服务器，使用pwdump、fgdump等各种密码dump工具对整个域控的密码散列进行获取即可。

如果运气差，使用wce没有得到域管理员的密码，那么你可以尝试如下方式：

Incognito

Smb

Wce –s欺骗

Sniffer + ARP

其他（玉在哪里？）

Sniffer动静很大，不到最后建议还是不要尝试了。

假设现在已经拥有一台内网[域]机器，取名X-007.

1-1.内网[域]信息收集

A.本机X-007信息收集.

[+]------用户列表[Windows用户列表/邮件用户/...]

---->分析Windows用户列表，不要忽略administrator.

---->分析邮件用户，内网[域]邮件用户，通常就是内网[域]用户，例如:owa

[+]------进程列表

---->分析杀毒软件/安全监控工具等

---->邮件客户端

---->VPN等

[+]------服务列表

---->与安全防范工具有关服务[判断是否可以手动开关等]

---->存在问题的服务[权限/漏洞]

[+]------端口列表

---->开放端口对应的常见服务/应用程序[匿名/权限/漏洞等]

---->利用端口进行信息收集，建议大家深入挖掘[NETBIOS,SMB等]

[+]------补丁列表

---->分析Windows补丁

---->第三方软件[Java/Oracle/Flash等]漏洞

[+]------本机共享[域内共享很多时候相同]

---->本机共享列表/访问权限

---->本机访问的域共享/访问权限

[+]------本地用户习惯分析

---->历史记录

---->收藏夹

---->文档等

B.扩撒信息收集

[+]------利用本机获取的信息收集内网[域]其他机器的信息.

----用户列表/共享/进程/服务等.[参考上面]

[+]------收集Active Directory信息

----最好是获取AD副本.

------------------------------  常见信息收集命令----------------------------------

net user                  ------> 本机用户列表

net localhroup administrators  ------> 本机管理员[通常含有域用户]

net user /domain    ------> 查询域用户

net group /domain  ------> 查询域里面的工作组

net group "domain admins" /domain  ------> 查询域管理员用户组

net localgroup administrators /domain  ------> 登录本机的域管理员

net localgroup administrators workgroup\user001 /add  ----->域用户添加到本机

net group "Domain controllers"  -------> 查看域控制器(如果有多台)

----------------------------------------------------------------------------------------

ipconfig /all            ------> 查询本机IP段，所在域等

net view                  ------> 查询同一域内机器列表

net view /domain  ------> 查询域列表

net view /domain:domainname  -----> 查看workgroup域中计算机列表

-------------------第三方信息收集-----------------

NETBIOS 信息收集工具

SMB信息收集

空会话信息收集

端口信息收集

漏洞信息收集

……

如果可能，建议弄一张内网拓扑图，这样方便下面的渗透工作.

1-2.内网[域]渗透

[推荐阅读]

黑客大曝光-前三章

内网渗透 by 樱木花道

Microsoft-word-pen-testing-windows-active-directory

Pen-testing-windows-active-directory

Windows Privilege Escalation Part 1

Windows Privilege Escalation Part 2

内网[域]渗透，不外乎获取内网[域]最高权限.

通常做法就是拿到某个域管理员的口令，然后控制域服务器，获取更多的信息.

如何获取域管理员口令，做法可能各不相同.

内网(域)渗透–1.基本命令

————————————————————————————————————

ipconfig /all                ------ 查询本机IP段，所在域等

net user                    ------ 本机用户列表

net localhroup administrators      ------ 本机管理员[通常含有域用户]

net user /domain                        ------ 查询域用户

net group /domain                      ------ 查询域里面的工作组

net group "domain admins" /domain      ------ 查询域管理员用户组

net localgroup administrators /domain    ------ 登录本机的域管理员

net localgroup administrators workgroup\user001 /add  ------域用户添加到本机

net group "domain controllers" /domain                        ------ 查看域控制器(如果有多台)

net time /domain          ------ 判断主域，主域服务器都做时间服务器

net config workstation  ------ 当前登录域

net session                  ------ 查看当前会话

net use \\ip\ipc$ pawword /user:username      ------ 建立IPC会话[空连接-***]

net share                    ------  查看SMB指向的路径[即共享]

net view                      ------ 查询同一域内机器列表

net view \\ip                ------ 查询某IP共享

net view /domain        ------ 查询域列表

net view /domain:domainname        ------ 查看workgroup域中计算机列表

net start                                        ------ 查看当前运行的服务

net accounts                                  ------  查看本地密码策略

net accounts /domain                      ------  查看域密码策略

nbtstat –A ip                                  ------netbios 查询

netstat –an/ano/anb                        ------ 网络连接查询

route print                                      ------ 路由表

=============================================================

dsquery computer      ----- finds computers in the directory.

dsquery contact          ----- finds contacts in thedirectory.

dsquery subnet            ----- finds subnets in thedirectory.

dsquery group            ----- finds groups in thedirectory.

dsquery ou                  ----- finds organizationalunits in the directory.

dsquery site                ----- finds sites in thedirectory.

dsquery server            ----- finds domain controllers inthe directory.

dsquery user                ----- finds users in thedirectory.

dsquery quota              ----- finds quota specificationsin the directory.

dsquery partition        ----- finds partitions in thedirectory.

dsquery *                    ----- finds any object inthe directory by using a generic LDAP query.

dsquery server –domain Yahoo.com | dsget server–dnsname –site ---搜索域内域控制器的DNS主机名和站点名

dsquery computer domainroot –name *-xp –limit 10----- 搜索域内以-xp结尾的机器10台

dsquery user domainroot –name admin* -limit ---- 搜索域内以admin开头的用户10个

……

……

[注:dsquery来源于Windows Server 2003 Administration Tools Pack]

=============================================================

tasklist /V                                                      ----- 查看进程[显示对应用户]

tasklist /S ip /U domain\username /P /V            ----- 查看远程计算机进程列表

qprocess *                                                    ----- 类似tasklist

qprocess /SERVER:IP                                      ----- 远程查看计算机进程列表

nslookup –qt-MX Yahoo.com                          ----- 查看邮件服务器

whoami /all                                                  ----- 查询当前用户权限等

set                                                              ----- 查看系统环境变量

systeminfo                                                    ----- 查看系统信息

qwinsta                                                        ----- 查看登录情况

qwinsta /SERVER:IP                                      ----- 查看远程登录情况

fsutil fsinfo drives                                          ----- 查看所有盘符

gpupdate /force                                            ----- 更新域策略

=============================================================

wmic bios                                                    ----- 查看bios信息

wmic qfe                                                      ----- 查看补丁信息

wmic qfe get hotfixid                                    ----- 查看补丁-Patch号

wmic startup                                                ----- 查看启动项

wmic service                                                ----- 查看服务

wmic os                                                      ----- 查看OS信息

wmic process get caption,executablepath,commandline

wmic process call create “process_name” (executes a program)

wmic process where name=”process_name” call terminate (terminates program)

wmic logicaldisk where drivetype=3 get name, freespace, systemname, filesystem, size,

volumeserialnumber (hard drive information)

wmic useraccount (usernames, sid, and various security related goodies)

wmic useraccount get /ALL

wmic share get /ALL (you can use ? for gets help ! )

wmic startup list full (this can be a huge list!!!)

wmic /node:"hostname" bios get serialnumber (this can be great for finding warranty info about target)

———————————————————————————————————————————-

Password hashes dump tools————–抓hash工具列表[大集合]

、1.内网环境下先查看网络架构。例如 网段信息 域控 DNS服务器 时间服务器

2.收集到了足够多的信息可以扫一下开放端口 21 22 80 8080 443等确定敏感信息，以及之后渗透的方向

3.通过以上信息进行一定的弱口令尝试，针对特定的软件做banner采集利用，snmp测试读取和写入权限

4.进行一些提权操作，从横向和纵向对目标服务器进行渗透。

5.注意ids和一些出口控制的绕过预警提示。

6.进行敏感信息挖掘，同时擦出入侵足迹。