内部网渗入标记技术总结-絕對有效哦-betway88必威官网_betway88客户端_betway必威中国

0x01 前语

说起内网定位,不管针对内网查找材料仍是针对特别人物都是十分有用的一项技能。这儿把现在能够运用的手法&东西都逐个进行解说。

0x02 服务器(机器)定位

搜集域以及域内用户信息

  • 搜集域内域操控器信息
  • 搜集域控上域用户登录日志信息
  • 搜集域内一切用户名以及全名、补白等信息
  • 搜集域内作业组信息
  • 搜集域办理员帐号信息
  • 搜集域内网段区分信息
  • 搜集域内安排单位信息

常用搜集域信息指令:

Net use
Net view
Tasklist /v
Ipconfig /all
net group /domain 取得一切域用户组列表
net group “domain admins” /domain 取得域办理员列表
net 麻雀电视剧group “enterprise 票房榜admins” /domain 取得企业办理员列表
net localgroup administrator腾讯防沉迷s /domain 获取域内置administrators组用户(enterprise admins、domain admins)
net group “domain controllers” /domain 取得域操控器列表
net group “domain computers” /domain 取得一切域成员核算机列表
net user /domain 取得一切域用户列表
net user someuser /domain 取得指定账户someuser的具体信息
net accounts /domain 取得域暗码战略设置,暗码长短,过错确定等信息
nltest /domain_trusts 获取域信赖信息

net view 看机器注释或许能得到当时活动状况的机器列表,tasklist能够得到当时机器跑着的域账号。

结构剖析

从核算机名获取ipv4地址:

运用nbtstat指令能够完结:nbtstat -a DC1,ping指令也能够完结:

C:\Documents and Settings\Administrator\Desktop>ping -n 1 DC1 -4
Pinging DC1.centoso.com [192.168.206.100] with 32 bytes of data:
Reply from 192.168.206.100: bytes=32 tim内部网进入标记技能总结-絕對有用哦-betway88必威官网_betway88客户端_betway必威我国e<1ms TTL=128
Ping statistics for 192.168.206.100:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

假如核算机名许多的时分,能够运用bat批量ping获取ip:

@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "指令成功完结" /v ^|f内部网进入标记技能总结-絕對有用哦-betway88必威官网_betway88客户端_betway必威我国ind "The command 艾米妮漫画c内部网进入标记技能总结-絕對有用哦-betway88必威官网_betway88客户端_betway必威我国omplet内部网进入标记技能总结-絕對有用哦-betway88必威官网_betway88客户端_betway必威我国ed successfully." /v`) DO (
@FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO (
@FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo %%k %%j)
)
)

最终能够把一切得到domain admins账号再net user 下,为这些信息按内容别离树立文件进行剖析。

例如:

  • Users.txt 寄存和用户信息有关的内容
  • Group.txt 寄存和分组信息相关的内容

信息搜集的姿态:

  • 人事安排结构图

例如:

像这种人事安排结构图,许多公司和企业的外部站点上就有。然后结合剖析人事材料里相关职工全称与域内用户名对应联系,就能很快定位到需求定位的人员运用的机器。

  • 内部邮箱

假如你能进某个用户内部邮箱,也能够从邮件头提取有用的信息。找寻跟方针用户交游的邮件,细心检查邮件头。“X-Originating-IP”头常常会呈现,这就能够让你追寻到方针IP。

  • 东西

常用东西:Dsquery/Dsget,Ldifde,Csvde,Adexplorer,Adfind,wmi,powershell…

东西运用参阅:初级域浸透系列 – 01. 根本介绍&信息获取

注:操控扫描的频率和速度,能够大大下降触发IDS的危险,针对windows机器,能够考虑用wmi脚本和powershell脚本进行扫描,低频扫描能够很简略的绕过IDS的规矩,一起能够考虑运用内网办理东西运用的相同协议进行扫描勘探。Tips:

内网无东西扫描

http://rinige.com/index.php/archives/112/

一条 cmd 指令处理:

for /l %i in (1,1,255) do @ping 192.168.1.%i -w 1 -n 1 | find /i "ttl"

ping 整个 c 段,只输出有呼应的主机。

% H" g% Q+ _6 q- P7 t

更反常的:

4 o4 g8 X- v9 x& w

域机器对应 IP

FOR /F "eol=- tokens=1 delims=\ " %a IN ('net view') DO @(echo name: %a, ip: & ping交流 %a -w 1 -n 1 | 
find /i "ttl" & echo.)

把 net view 的成果,挨个 ping 一遍,并输出机器名和 ip 地址。

找主机名

for /l %i in (1,1,255) do @ping -a 10.0.1.%i -w 1 -n 1 | find /i "Pinging"

B 段查找

for /l %i in (1,1,255) do @ping -a 10.0.%i.1 -w 1 -n 1 | find /i "Pinging"

Win7

for /l %i in (1,1,255) do @ping -a 10.0.1.%i -w 1 -n 1 | find /i "Pinging"
for /cpsl %i in (1,1,255) do @ping -a 10.0.%i.1 -w 1 -n 1 | find /i "Pinging"

改成

for /l %i in (1,1,255) do @ping -a 10.0.1.%i -w 1 -n 1 | find /i "Ping"
for /l %i in (1,1,255) do @ping -a 10.0.%i.1 -w 1 -n 1 | find /i "Ping"

就能够兼容 Win7 了。(Win7 ping -a 输出成果要害词为 “Ping”)

别的findstr /i “pinging” 或 findstr /i “ping” 能够换成 findstr “[” 的 能够合适多语言环境

0x03将军夫人生计手册 文件定位

结合服务器定位总结出文件定位的大致思路:

  • 定位人力资源主管个人机
  • 定位人力资源相关文档寄存方位
  • 从人力资源文档中找相关人
  • 定位相关人的机器
  • 监督相关人作业时寄存文档的方位
  • 列出寄存文档服务器的目录

文件定位需求留意的点:

  • 产品称号
  • 内部称号
  • 项目负责人
  • 项目团队
  • 出产部(分公司,工厂,代工厂)

经历

  1. FTP
  2. SMB
  3. DCNETLOGON\
  4. 产品办理体系(库房办理体系)
  5. 各种数据库
  6. 其他服务器(分公司,工厂,代工厂)

定位文件服mcake务器请参阅上一节定位服务器(机器),定位到文件服务器和某个人,关于文件定位来说应该会事半功倍。这儿就不过多叙说了。

参阅:后浸透攻防的信息搜集

0x04 办理员定位

东西

psloggedon.exe

体系悲伤自带东西。经过查验注册表里HKEY_USERS的key值来查询谁登陆过机器,相同也调用到了NetSessionEnum API。某些功用需求办理员权限

netsess.exe

netsess.exe的原理也是调用NetSessionEnum API,而且在长途主机上无需办理员权限。

PVEFindADUser.exe

用于枚举域用户以及登陆过特定体系的用户,需求办理员权限。东西描绘:corelan

netview.exe

运用WinAPI枚举体系,运用 NetSessionEnum 来找寻登陆sessions, 运用NetShareEnum来找寻同享 , 运用 NetWkstaUserEnum 来枚举登陆的用户。它也能查询同享进口和有价值用户,还能运用推迟和颤动。绝大部分功用不需求办理员权限。

Nmap的Nse脚本

假如你有域账户或许本地账户,你能够运用Nmap的smb-enum-sessions.nse 脚原本获取长途机器的登录session,而且不需求办理员权限。

参阅:

  • nmap加载nse脚本在内网浸透中的运用-上
  • nmap加载nse脚本在内网浸透中的运用-下口碑

Smbexec&Veil-Pillage

然后Smbexec有个 checkda模块,它能够检测域管进程和域管登陆。Veil-Pillage有它的 user_hunter 和group_hunter 模小说大全块,这两个东西都需求办理员权限。

hunter

hunter是一款运用 Windows API 调用来枚举跳板机上的用swing户登录信息的东西,无需办理员权限

Active Directory

你能够经过AD信息来辨认一些连接到内部网进入标记技能总结-絕對有用哦-betway88必威官网_betway88客户端_betway必威我国服务器的用户

参阅:

  • http://www.harmj0y.net/blog/redteaming/trusts-you-might-have-missed/
  • http://www.sixdub荔枝网.net/2014/11/offensive-event-parsing-bringing-home-trophies/

PowerShell

上面也曾说到针对windows机器,能够考虑用wmi脚本和powershell脚本进行扫描,低频扫描能够很简略的绕过IDS的规矩。PowerShell有许多办法Windows Api而且绕过白名单。

参阅:

  • 经过PowerShell拜访Windows Api

PowerView

PowerView 里边有一些功用能够辅佐找寻定位要害用户。要找到方针对应的用户时Get-UserProperties 米线的做法将会提取一切用户的属内部网进入标记技能总结-絕對有用哦-betway88必威官网_betway88客户端_betway必威我国性,而且Invoke-UserFieldSearch能够依据通配符来找寻特定用户的相关特点。这能够缩小方针查找规模。比如说:咱们运用这些功用来找Linux办理员组和其相关的成员,就能够追寻和键盘记录他们的putty/ssh会话。

Invoke-UserHunter 功用能够找到域内特定用户群。它支撑一个用户名,用户列表,或域组查询,并支撑一个主机列表或查询可用的主机域名。它会运用 Get-NetSessions 和Get-NetLoggedon(调用NetSessionEnum和 NetWkstaUserEnum API) 对每个服务器跑一遍而且会比较成果筛选出方针用户集。而且这个东西不需求办理员权限。

指令参阅:

Get-NetGroups -> Get-NetGroup
Get-UserProperties -> Get-UserProperty
Invoke-UserFieldSearch -> Find-UserField
Get-NetSessions -> Get-NetSession
Invoke-StealthUserHunter -> Invoke-UserHunter -Stealth
Invoke-UserProcessHunter -> Invoke-ProcessHunter -Username X
Get-NetProcesse奔富红酒s -> Get-NetProcess
Get-UserLogonEvents -> Get-UserEvent
Invoke-UserEventHunter -> Invoke-EventHunter

Invoke-StealthUserHunter 只需一个查询就能够获取域内一切用户, 从us苹果我国官网er.HomeDirectories提取一切用户, 而且会对每个服务器进行Get-NetSessions 获取。无需运用 Invoke-UserHunter对每台机器操作,这个办法的隐蔽性就更高一点,可是涉及到的机器面不一定那么全。

一般默许运用Invoke-StealthUserHunter ,除非找不到咱们所需,才会去运用Invoke-UserHunter办法。

Invoke-UserProcessHunter是PowerView 的新功用。运用Get-NetProcesses cmdlet 来枚举长途机器的tasklists和进程寻觅方针用户。这个枚举功用需求办理员权限。

Get-UserLogonEvents cmdlet能够查询查询登录事情(如:ID 4624)长途主机,Invoke-UserEventHunter 查询特定用户在域控上面的登陆日志,需求域办理权限。

参阅:

  • The Diamond Model and Network Based Threat R杨一木eplication

其他一些姿态

  • 内部邮箱

假如你能进某个用荨麻疹最快医治办法户内部邮箱,也能够从邮件头提权有用的信息。找寻跟方针用户交游的邮件,细心检查邮件头。“X-Originating-IP”头常常会呈现,这就能够让你追寻到方针IP。

  • 查找域管进程

Scott Sutherland (@_nullbind) 2012年写了篇查找域管进程的文章。 其间具体叙述了怎么运用tasklist和nbtscan的批处理来扫描机器及用户。不过长途tasklist的时分,需求本地办理员权限。

参阅:

hunt for domain admin 内部网进入标记技能总结-絕對有用哦-betway88必威官网_betway88客户端_betway必威我国processes

0x05西北民族大学 总结

内网浸透,不是简略的耍流氓的说”可内网浸透”或许“内网周游”,有着更高更深的职责和需求,有着更多设备和报警及防护软件(如Bit9,惠普ARCsight,Mandiant等等)的打破,有着更多网络拓扑和结构需求明晰洞悉,有着更多的域控和域需求占据。 定位到内网办理员或许办理员上过的机器或许定位到文件和某个人,关于内网浸透来说应该会事半功倍。

0x06 参阅

  • http://www.mottoin.com/92978.html
  • http://weibo.com/p/1001603825952793692575
  • https://github.com/l3m0n/pentest_study
  • http://www.harmj0y.net/blog/penetesting/i-hunt-sysadmins/

评论(0)