谈内网渗透

http://www.freebuf.com/articles/system/8499.html

http://www.freebuf.com/articles/system/8726.html

引子
离上篇文章的时间过去很久了，答应写一篇内网渗透的文章，今天抽点时间，把这个坑给添平了吧。标题是浅谈，所以我不认为自己能在内网渗透写的有多深入。渗透这玩意更多是经验，积累的多了自然水到渠成。而且我个人认为很多前辈人物都已经写的很好了，我这里纯粹抛砖引玉，把前辈级人物的经验集成在一起，也算基础篇吧。如果有不足的地方或者有更好的实现方法，欢迎随时交流。交流方式就以邮件吧，邮件地址在文章结束处，上次公开的Q加了很多人，即时通讯=即时打扰，过段时间集中清理，如果不小心被清理了，诸位勿怪，这里算是提前打个招呼。

正文
假设我们现在已经处在一个内网中，该内网处于域中。我们的终极目标是实现对域控制器的控制。

内网信息获取
信息的获取直接通过Windows自带的命令即可实现，简单写出来：

ipconfig /allnetstat –annet startnet usernet user /domainnet group “domain admins”        #查看域管理员net localgroup administratorsnet view /domaindsquery server         #查看域控服务器dsquery subnet        #查看域IP范围

上述命令执行完，内网的信息基本上就获取的差不多了。个别命令根据个人爱好请自行增加减。

向域控出发
假设执行dsquery server的结果我们发现域控服务器为DC-2008和DC-2003两台，而我们执行命令的主机也是在域下的，那么我们可以直接WCE -w了，运气好的话明文密码直接出现在你眼前，另一个外国人写的神器叫mimikatz也能够获取明文密码，图我就不截了，大家自己动手吧！

如果运气好，那么恭喜，此时你已经域控管理员密码在手，域中随意可行走。使用域控管理员密码登录域控服务器，使用pwdump、fgdump等各种密码dump工具对整个域控的密码散列进行获取即可。

如果运气差，使用wce没有得到域管理员的密码，那么你可以尝试如下方式：

IncognitoSmbWce –s欺骗Sniffer + ARP其他（玉在哪里？）

Sniffer动静很大，不到最后建议还是不要尝试了。

结束语
此文仅以技术交流为目的，拒绝任何形式的攻击行为。
想了半天我决定还是在结束语前面加上上面这句话，渗透是个技术活，也是个艺术活，各种奇技妙巧尽在其中，同时环境也复杂多变，但万变不离其宗，以静制动，后发制人。

文章有点虎头蛇尾了，但总算是兑现诺言了。

在内网渗透这块，前面不提如何获得机器权限了，主要是后面获取信息这块，我觉得首先就要了解获得的这台机器的所属人员，如果我们的目标是公司，那我们就要了解这个人在公司里的职位，他是个什么身份，有多大的权利，这都关系到他在内网里的权限。因为，作为大公司，一个高权限的人他在内网里所要用到的东西就多，那么相对他的机器，当然权限就会比一般普通员工的高很多。你可以尝试熟悉他的电脑甚至比他本人还熟，那你就算了解详细了。
然后就是了解了一定的人员信息，期间你要记下你所掌握到的账号，密码这些重要数据，以后有一定的用，所以，在你渗之前，不妨建个记事本将重要信息保存起来，写个记事本不会浪费你多少时间。接下来，我们就应该对这个网络进行一定的了解，他是一般的内网，还是域？一般大公司都会用域的，我们只需要查一下就知道，要想对他进行渗透，你就必须了解他的网络拓补，当然，一些太具体的物理上我们是无法了解的，我们只能了解我们所能知道的。不管他是INT，DMZ，LAN，我们必须足够掌握。
后面可以做一些信息归档，包含利用渗透的机器进行横向扩展，其中可能利用到文中说的各种gethash方法等之类。现在大公司基本都有域控，在域控中渗透可能更加方便。这块就不多说了，控制域控服务器什么的之类的网上文章太多了。
freebuf我每天都看，希望看到的是更多和谐的声音，当然指出文章的不足，对楼主也是一种成长，能知晓自己的短处，希望楼主也能够淡定，人在江湖飘，谁能不挨刀。

前言:

看了@g.r0b1n文章《浅谈内网渗透》抑制不住自己冲动的心情，写一篇《再谈内网渗透》，希望以后有朋友能更新《详谈内网渗透》 在我的脑子里面我始终认为，一次渗透至少要控制被渗透对象80%以上服务器才能算得上一次成功的渗透。希望朋友们能够多提宝贵意见。

正文：

我没有内网域里面某个机器的权限，我只有一个存在漏洞的web页面，而我的目的就利用这个存在漏洞的web入侵线上服务器，然后从IDC网络入侵到办公网，到了办公网络再入侵域控服务器，很多较大的互联网公司IDC内网与运维网相通的，然而运维内网一般包含在办公网络中。

通过存在漏洞的web我成功有了一个linux服务器的shell，有了shell之后先别忙着搞，看看机器有没有什么监控及有无收集日志(如果有监控的话，废了半天劲找web漏洞拿到的shell被发现了这就蛋疼了)

Ls -al/etc/init.d 看看这里都有一些什么东西。ip信息以及连接信息很重要，这里返回的结果决定我下面该怎么走

首先做一个简单的分析，上面看来有内网和外网两个IP，如果存在内网IP，我肯定首先去判断一下，这个内网究竟有多大，也许你会问我怎么判断？其实我也不知道怎么去判断，nmap扫吧。再看看端口开放的情况，这里有10050端口，是zabbix_agent 开放端口(看到这个最捷径的就是搞下zabbix_server)。如果没有zabbix,可以试试找找是否有puppet ldap 之类的东西。

Zabbix 这个是个很强大的监控工具，其中system.run 模块深受屌丝们的喜爱(反正我很喜欢),这个模块可以执行任意命令。Puppet 话说这个是一个管理配置文件的工具，但是其也可以执行任意命令(很多人喜欢用它来同步root密码)。Ldap  这玩意相当于windows的AD，当然还有其他的，我就不一一举例了。

我的列子里面既然出现了zabbix，那么我就顺着搞zabbix_server的路子走下去。首先看看zabbix的配置文件，zabbix_server的ip就在配置文件里面(当然出来的IP也有可能是zabbix_proxy)确定zabbix web页面IP，运气好的话zabbix默认密码没有改，你就不用费那么大的劲了，直接登录添加一个监控项来执行我们的任意命令或者你也可以想办法获取zabbix_server的权限，如何获得权限，这是一个很复杂的过程，还得看具体情况；你可以解密你已有权限的这个服务器的shadow文件，你也可以装键盘记录。

这里提醒一句：

这里收集的任何密码保存起来，后面会很有用。

屌丝运气比较好，zabbix默认密码没有改，我可以直接登录：

下面是一个比较惊喜的画面：

至此线上的服务器我也算基本上控制了。下面是应该向办公网出发。到这里看last记录比较重要，连接服务器的IP不会是别人，肯定是来自公司，当然也有可能是外网，如果last记录显示的全部都是外网IP，你可以去找一个只有内网IP的服务器看last记录。确定办公网的IP段之后，接下来做的一件事情，我认为比较有意义，找一个与办公网相通的服务器做一个代理，具体可参照这里。办公网显然windows居多，没有这个代理干起活来还真不方便。

接下来扫描办公网IP段的端口，我首先会扫描1433端口，因为IT网络很多东西需要用到 sql server 数据库(当然还有很多其他端口都可以尝试)，在扫描弱口令的时候就不要使用常规字典，常规字典成功率不会很高，可以用之前提到的收集来的密码做字典，也可以自己再加点字典。其实wooyun有一个非常完整的例子。

拿到第一台内网的windows服务器权限之后,还是提醒众屌丝们，别着急连上去，看看上面的服务，进程，计划任务 有没有什么登录监控，连接监控之类的东西，到这里被对方发现，前功尽弃，你会更蛋疼。得到一台内网windows服务器之后，首先要确定域的位置，及一些加域服务器的ip。我的思路是,域控服务器可能没有我们想象中的那么薄弱，我们可以找一个加了域的服务器下手(注意这里是服务器不是个人PC哦)要是域管理员也在线，那不是很方便就能得到域控服务器了嘛。确定完这些信息，任何一个密码收集起来保存好，包括登陆密码，怎么获得可以参照浅谈内网渗透一文。

接下来向目标出发，你可以尝试各种办法，可根据自己收集的相关密码去尝试各种登陆，这里要提的是处于内网的web一般比较薄弱，可以从web入手。

很不幸，我扫到了一个加域服务器sql server 弱口令，这个弱口令正是在我收集的密码当中，而且我进到服务器之后域管理员也在线处于断开状态，不用想太多，开个shift后门直接切过去，然后你想要的域控服务器就是你的了。

除此之外，有一个东西我觉得是非常好用的，无论是在办公网络还是IDC网络，远程管理默认密码，这样的东西因为完全处于内网再加上比较懒的缘故，很少有人记得去改默认密码(不管你信不信，反正我是信了，但是这里有一个弊端就是要重启服务器才能获得权限，如果是windows的话，还得要一个PE)，*重启有风险，操作需谨慎*

后记：

拿到郁控服务器之后，不妨dump所有域成员的hash出来，可参照这里。有了这些，可以登录邮箱，很多信息都在邮箱里面的。

祝各位大牛，屌丝们 RP暴涨。

留个微博交流：

http://t.qq.com/hongygxiang
http://weibo.com/hongygxiang