記錄一次內網(wǎng)滲透過程0x01 前言：

一切以學習為主，記錄一次小小的攻擊過程

本次是通過外網(wǎng)漏洞撕開的口子，主要通過一下方式

拿到了目標資產(chǎn)

【資料圖】

nday掃一掃弱口令爆一爆上傳接口找一找后臺上傳找一找數(shù)據(jù)庫弱口令關注新day，有了立馬在資產(chǎn)里面跑一下邏輯漏洞什么的就不要了，只要能getshell0x02 進內網(wǎng)

拿到了幾個shell，先命令查看一下 進了360窩了

基本上都有360，只能掏出我臨時免殺馬了，不穩(wěn)，只能繞一下了

這里有個靜態(tài)免殺馬如何上線小技巧：

1、靜態(tài)免殺馬只有在執(zhí)行敏感命令時才會被檢測殺死（靜態(tài)免殺馬比較簡單，臨時使用）

2、繞過360添加用戶，并添加到administrators組（github上有工具）

3、有些服務器不允許外部遠程，內網(wǎng)可遠程

4、cs可以開socks4，這不是敏感操作

5、掛cs的代理，通過服務器內網(wǎng)ip就可以控制桌面

6、遠程控制上去之后，運行殺軟360或者火絨等，他會提示在別的用戶運行了是否轉移到當前用戶，選擇是，然后關了它，接下來就可以為所欲為了

7、上面的步驟不一定適用于每個環(huán)境，總要根據(jù)環(huán)境改變策略的不是。

0x03 密碼噴灑

內網(wǎng)主打的一個信息關聯(lián)

抓取到本地密碼后，使用fscan就可以碰撞 或者使用 crackmapexec 去碰就可以

如

fscan -h 192.168.x.x/24 -m smb -user 用戶 -pwd 密碼crackmapexec smb 192.168.x.x -u 用戶 -p "密碼"

如果抓不到密碼，用hash去PTH票據(jù)傳遞

crackmapexec smb 192.168.x.x -u 用戶 -H "NTLM"

收獲同段192.168.x.x三臺

使用wmiexec.py 驗證一下

0x04 探測網(wǎng)段可達

工具netspy，得到眾多可達網(wǎng)段

0x05 找域

使用nbtscan批量跑NetBIOS協(xié)議，就工作組沒域啊

0x06 意外的60臺設備

既然是同一個工作組那肯定是有相同之處，而且他們的計算機名好像，不對勁。。絕對不對勁。。。

找其中一個掃一下端口看看一下，有個8xxx的端口是個機頂盒后臺

弱口令隨手試一下就進去了admin，60臺 拿下拿下

0x07 回首掏

再回到初始服務器，抓取本地所有密碼，瀏覽器記錄等信息

通過瀏覽記錄和密碼抓取，拿下用友后臺存在大量數(shù)據(jù)，websphere集成存在7臺終端

0x08 qax云安全管理平臺

看了一下ip的web掃描結果，內網(wǎng)中存在三臺qax的云安全管理平臺

本來想著游戲結束，誰知道一臺管理機器也沒有o(╥﹏╥)o

0x09 戰(zhàn)后總結

1、現(xiàn)在的內網(wǎng)滲透總要面對殺軟，時時刻刻都要有自己一套繞過殺軟或免殺的能力，過不去殺軟都是浮云2、內網(wǎng)主要就是信息收集，需要收集好本地密碼、瀏覽器記錄、數(shù)據(jù)庫密碼、可達網(wǎng)段、多網(wǎng)卡機器、重點目標、是否有域等等3、橫向移動，本次主要用了密碼噴灑，信息收集后發(fā)現(xiàn)內網(wǎng)機器并不多，就沒再繼續(xù)橫向4、重點資產(chǎn)要特別關注，像一下堡壘機、天擎、這樣的終端控制服務，拿下后直接游戲結束5、本次測試主要目的在于學習，內網(wǎng)中各種協(xié)議應該靈活使用，ICMP探測不到的不一定不存在，換成Netbios協(xié)議去探測卻能夠探測出來，還有一些機器禁ping，都要學會去繞過。6、自動化進行掃描的話動靜還是太大，需要更精簡化測試過程，瞄的準打的狠，直線攻擊直接拿下內網(wǎng)