从webshell开始的内网入侵

对内网入侵的一个小总结，大多是参考一叶知安的文章：一次完整的从webshell到域控的探索之路

正文开始：

大体思路：

               免杀 payload 的生成，请使用 Veil

             msf 在 meterpreter 下的提权尝试

             msf 在 meterpreter 下的 bypassuac 尝试

             内网渗透测试过程中的信息关联

             meterpreter 的路由添加以及相关扫描

             Powershell 在 meterpreter下面的使用

             Meterpreter 的 post 模块使用

             Msf 的 custom 自己生成的 payload的使用

             进程注入窃取令牌

 

Meterpreter反弹：1.普通反弹，payload

                                 2.上传失败，可以选择 powershell 的 meterpreter 的模块来实现

3.反弹失败（或者反弹成功无法建立会话），尝试 meterpreter 的 reverse_https 模块

 

提权：1.漏洞利用模块：ms15-05等（可以在github上查找资源）

           2. 尝试当前账号 Bypassuac 测试（uac：windows的账户控制机制）：msf自带bypassuac

 

提权成功与否都不能阻止我们对于内网环境的进一步探测和信息收集：

1.  收集域里面的相关信息，包括所有的用户，所有的电脑，以及相关关键的组的信息。

主要命令：

net user /domain#查看域用户

Net group "domaincomputers" /domain#查看域用户工作主机

net group "domainadmins"  /domain #查看域管理员

net localgroup administrators#查看本机角色

net view /domain#查看某域计算机列表（后面添加域名称）

net "domain admins"/domain#查询管理员

 

2.收集 sqlserver 的相关信息，如果有机器使用了 sql server 的话，恰巧用户是当前的域用户的话，我们在此可以使用 sqlcmd 的信息收集，以及扫描攻击。

主要目的：也就是获取数据库信息，不仅限于sqlserver，还有mysql等

 

内网渗透的继续深入：

1.使用meterpreter的目前权限来添加路由进行弱口令扫描

2.使用 powershell对内网进行扫描(本次渗透测试使用了，但是在这里暂时没有使用)，具体来说时间比较慢一点，当然此时此刻powershell 绝对算是一个内网渗透测试又一神器

3.使用当前的用户权限架设socks4a，然后利用第一步我们获取到的信息 socks 进行内网扫描

4.使用当前用户的权限，对域里面的电脑进行 IPC，或者 DIR 溢出(也就是 dir 其他电脑的 c 盘，如果成功表示有权限)批量测试

 

可采用方案流程：

1.ipc$入侵

2.上传抓明文工具（mimikatz 神器），抓取密码

3.使用 meterpreter 的 ps,查看相关用户的进程列表

4.尝试使用域令牌假冒

Use incongnito

list_token -u

Impersonate_token xxxxxx

 

基于smb服务的快速扩张（思路）：

1.使用当前已获取的用户权限，快速的进行扫描。（net time可以获取域控的IP段）

2 smb_login 扫描

3 端口转发进内网

                   详细步骤：

                                1.msf添加路由 route add ip mask sessionid

2.smb_login 模块或者使用psexec_scanner

                                3.meterpreter 端口转发

                                4.msf的 socks4a 模块

 

域控获取思路：

                        1.修改注册表等待域控管理员再次登录来抓取(黄花菜都会凉的)

2.通过 PowerUp 的进程来注入获取域权限(没使用过暂时放弃)，当然此处也可以写类似外挂的功能注入进程获取权限

                        3.msf的令牌窃取功能（参见上文）

         具体实现可利用：

1.IPC入侵反弹回话，getsystem

2.Ps 查看域管理所在的进程

3.Migrate pid 注入进程

4.继续经典的 IPC$到域控

5.加域管账户：

a)Net user username password /ad/domain

b)Net group "domainadmins" username /ad /domain

 

登录域控：

1.端口转发或者 socks 登录域控远程桌面

2.登录对方内网的一台电脑使用 psexec 来反弹 shell

3.使用 msf 的 psexec 反弹 meterpreter

 

Psexec反弹：

1.msf 中 psexec 模块的使用

2.custom 模块的使用，配合meterpreter,在 payload 不免杀的情况下如何使用自己 Veil生成的 payload

 

所有用户hash获取：

1.msf 有两个模块可以使用，一个是 hashdump，此模块只能导出本地的 hash，，另外一个是 smart_hashdump,此模块可以用来导出域用户的 hash.

 2.powershell 有可以直接导出的模块

3wce,mimikatz 等神器的使用

 

痕迹清除：

1.删除上传的工具

2.删除之前添加的域管理账号

3.删除自己所有的操作记录

a)        Logoff（windows-powershell）

b)        Clearev（sessions）

4.关闭所有的 meterpreter：sessions -K

 

参考资料：

原文地址：https://www.secpulse.com/archives/51092.html

Metaspolit内网渗透相关：http://www.topjishu.com/8319.html

bypassuac参考：http://www.freebuf.com/sectool/95661.html

位于meterpreter内的可交互式powershell：http://bobao.360.cn/learning/detail/488.html

IPC经典入侵教程：http://www.xfocus.net/articles/200303/493.html

令牌仿冒攻击：http://blog.csdn.net/feier7501/article/details/8851944

简单实战：https://bbs.ichunqiu.com/thread-16607-1-1.html

                    https://www.secpulse.com/archives/48412.html

            https://www.secpulse.com/archives/50590.html