内网渗透

[PyxYuYu]

You only live once, but if you do it right, once is enough.

0x01 内网渗透

---

• 内网
  • 内部网，又称企业内部网或内联网，是一个使用与因特网同样技术的计算机网络，通常建立在一个企业或组织的内部并为其成员提供信息的共享和交流等服务，例如万维网、文件传输、电子邮件等。使用者不仅可以通过局域网内使用，也可以通过防火墙以及路由器从远程对企业内网进行访问
• 内网渗透
  • 内网渗透：拿到企业或者公司的内网权限，然后就可以从内网中获取有价值的数据
  • 常见问题
  • 内网信息收集、目标定位、防火墙突破、木马免杀、数据获取
  • 渗透思路
  • 进入内网，利用 Nmap 或 IIS PUT Scaner 探测内网 IP 段开放的 端口 和 服务
    • 如果是 Web 服务可以通过常规的 Web 渗透，如果是 数据库、FTP 可以通过暴力破解弱口令进入（一般为弱口令）
    • ARP 欺骗等方式获得域管理器权限
  • 进入内网，摸清内网结构，查看域内管理员，最后登录时间，/home/dir 中有无脚本，边界服务器有哪些（可以通内网和外网的），找立足点，留后门，再开始内网突破
    • 扫描端口，net group 找到服务器组（邮件/Web），然后扫那个段的常见端口
    • Nmap 可以命令行下安装，不过 Win 下 Nmap 不好用，Linux 下比较好用， Namp 比较容易引起管理员的警觉，特别是加了 scripts
    • 如果是工作组， 可以 nbtscan 扫下看机器名，或者 netscan 扫开发的共享（图形界面）
  • 内网发现
  • 历史漏洞、域名爆破、搜索引擎、挖掘公司企业相关网站最终找到突破口、社工企业人员帐号、QQ号等相关信息
  • 内网工具
  • pstools、hijack、metaspliot、nmap、IIS PUT Scaner、mysql与sqlserver弱口令爆破工具、hydra、FTPscan、Ettercap
  • powerview、powerup、powerempire
  • 内网防御
  • 做好 VLAN 隔离，边界划分，安装有基于行为的入侵检测系统，终端做好防护
  • vpn/mail 这种入口点做好防护，Web 最好托管到外面的云服务器，少和内网有联系，把好内部系统的安全性，定期扫描检查测试，提高人员安全意识培训，少重用密码，wifi 不要乱开，公司的文档要 DLP，加密好，备份好
  • 信息收集
  • 网络结构分析
    • 工作组网络结构
    • 特点
      • 工作组主机间是平等的
      • 管理和安全边界为各成员计算机
      • 在工作组网络中，各成员计算机是最小的管理和安全边界
      • 如果当前计算机登录所使用的账户密码和要访问的那台计算机上的某个账户名和密码一样时，访问就无需输入账户和密码，系统会自动认为你是合法用户，这就可以能导致未授权访问
      • 采用 NetBIOS 名称解析
      • 在一个工作组网络中可以有多个工作组
      • 不同工作组是可以相互访问的（就算没有划分多个组，在一个工作组中不同主机间也可以使用正确的对方用户账户和密码进行访问）
      • 不同工作组只是用来标识不同组，不具有安全和安全边界的特点
    • 优点
      • 安全管理简单
      • 在工作组网络中将网络安全边界下放到最终的用户端，即工作组网络的安全管理就是各成员计算机自己的安全管理
      • 网络性能较高
      • 除了基本的网络连接和资源共享外，基本上没有任何额外的网络资源消耗
    • 缺点
      • 网络管理不便
      • 因为管理和安全边界为各成员计算机，所以无论是用户账户、用户账户权限、安全策略等都是分散的，而且各成员计算机上的这些配置可能不同，管理员很难集中管理
      • 网络公共应用配置繁琐
      • 因为工作组网络中的网络访问身份验证是依据各成员计算机的账户系统，所以在一些公共网络应用服务器中的安全配置就显得比较复杂，要么是网络中各计算机都启用默认的 Guest 账户，要么在授权访问的每台计算机配置相同的组或用户账户，但是这样都会给企业内网带来巨大的安全隐患
    • 从上面可以总结出：工作组网络结构突破的只是单一的成员计算机，比较难进行内网渗透，但是大部分企业一般不会使用工作组网络结构，而用域网络结构
    • 域网络结构
    • 域：域是一种基于对象和安全策略的分布式数据库系统
      • 数据库：域中的信息（如账户信息、配置信息等）不是以独立文件形式存在，而是以字段信息之类的数据形式存在
      • 分布式：数据可以不是仅来源或存储在一台计算机上，而且可关联网络中许多相关服务器（如 DC、DNS、DHCP 服务器等）
      • 活动目录：在域网络中的目录始终呈激活可用，动态更新的状态，这样做的目的是方便系统中各服务器自身（用户操作）进行的查询、更新、同步等，提高各服务器间数据复制的性能
    • 特点
      • 集中管理
      • 可以实现用户、计算机等对象账户、以及网络安全策略的集中管理和部署
      • 域网络是 C/S 管理模式在局域网构建中的应用
      • 多级账户和安全策略
      • 域账户和安全策略可以有多级
      • 最小的安全策略边界是域中的 组织单位（OU）
      • 最大的安全边界是林
      • 用户账户可以是子域中，也可以是父域中
      • 不同安全级别的配置应用是按照先本地，后域的规则进行
      • 在域层次中，按照精确度低到高的顺序进行，最后应用的级别最高
      • 域网络中存在一个信任关系
      • 默认信任
      • 在域网络中，域用户账户在整个域网络有效，所有加入了域的计算机都遵守相同的信任协议
      • 集中存储
      • 在域网络中的用户文档或者数据可以集中保存在网络中的一台或多台相应服务器上
      • 用户文档可以保存在服务器上为每个用户创建的用户主目录中，并且该目录只有用户自己可以访问，包括网络管理员默认也不能访问（可以更改权限）
      • 单点登录
      • 在域网络中，用户只需要使用域账户登录一次，就可以实现对整个域网络共享资源的访问（需要授予了访问权限的前提）
      • 采用 DNS 解析协议
      • 支持漫游配置
      • 在域网络中，每个域用户帐户都可以在域网络中任意一台允许本地登录的计算机登录域网络，只要该计算机与 DC 在同一个网络中即可 优点
      • 管理更方便
      • 实现在一台服务器上对计算机账户和安全策略的集中管理
      • 安全性更高
      • 全局用户账户和安全策略可以集中在一台或少数几台 DC 上进行配置与管理
      • 数据可以存放在一台或少数几台服务器上
      • 网络访问方便
      • 单点登录，只需登录一次，就可以无限访问允许访问的所有网络资源
      • 有专门的高性能服务器
      • DC ：域控制器
    • 缺点
      • 安全配置更复杂
      • 涉及多级安全策略，各级策略的应用又有一定规则
      • 网络性能较低
      • 在大的域网络中，安全策略配置复杂（不合理），会导致用户登录和进行网络访问时会存在一定的延时
    • 从上面可以总结出：域网络结构中，只要攻击者获得域控制器权限，那么整个内网就会全部沦陷
  • 常用信息收集命令

    systeminfo # 查询系统信息
    systeminfo | findstr /B /C:"OS Name" /C:"OS Version" # 查询操作系统名称及版本（英文）
    systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" # 查询操作系统名称及版本（中文）
    echo %PROCESSOR_ARCHITECTURE% # 查询系统体系结构
    SET # 查询所有环境变量
    whoami # 查询当前用户信息
    ipconfig /all # 查询本机IP、网关、DNS、IP段、所在域相关信息
    netstat -an # 查询所有和本地计算机建立连接的IP
    net start # 查询已启动服务
    net time /domain # 查询域时间，以及域服务器的名字（快速查找域的方法）
    net user # 查询本机用户列表
    net user pyx # 查询指定用户信息
    net user /domain # 查询域用户
    net user /domain pyxyuyu 12345678 # 修改域用户密码（需要域管理员权限）
    net user domain-admin /domain # 查询域管理员登录时间，密码过期时间，是否有登录脚本，组分配等信息
    net localgroup administrator # 查询本机管理员（通常含有域用户）
    net localgroup administrator /domain # 查询登录本机的域管理员
    net localgroup administrator domain_name\pyxyuyu /add # 域用户（Users组）添加到本机Administrator组（需要本机管理员或域管理员在本机登录域后才能进行）
    net view # 查询同一域（工作组）内机器列表，列出的机器不一定在同一个网段，但是在网络结构中有联系
    net view /domain # 查询域（工作组）列表（可以查看计算机是否在某个域或工作组内）
    net view /domain:domain_name # 查询指定域内计算机列表
    net group # 查看域的组
    net group /domain # 查看所在域的工作组
    net group "domain admins" /domain # 查询域管理员用户组
    net group "domain users" /domain # 查询域成员用户组
    net group "Domain controllers" # 查询域控制器（如果有多台的话）
    ping 机器名 # 查询该计算机对应的IP，可以通过不同的机器来分析有哪些网段，了解本机在网络结构中所占角色
    ping 域 # 查询域服务器的IP
    route print # 查询路由表信息
    arp -A # 查询ARP缓存信息
    netsh firewall show config # 查询防火墙配置
    netsh firewall show state # 查询防火墙状态
    schtasks /QUERY /fo LIST /v # 查询计划任务（英文，中文系统的话，得先执行 chcp 437）
    tasklist /SVC # 查询服务进程ID
    DRIVERQUERY # 查询安装驱动
    wmic product list brief # 查询安装程序和版本信息（漏洞利用线索）

[ceoyue]

make