一次实战环境横向内网渗透记录

渗透背景：
某反病毒公司即将推出一种新的反病毒产品，已知该公司员工Molos的电脑中有该反病毒产品的相关信息，目标是将该文件取出并不被发现

已有条件：
（1）你已经进入了内网中
（2）四个已知ip：
10.21.48.70
10.21.48.72
10.21.48.73
10.21.48.75
（3）攻击机kali：10.21.48.58
/内网渗透过程**/
1.信息收集
通过nmap进行信息收集，收集四个目标ip的端口信息和服务信息，包括安装的服务及版本，操作系统的版本

nmap -A ip

10.21.48.70：

10.21.48.72：

10.21.48.73：

10.21.48.75：

把我们收集到的信息整理一下：
10.21.48.70 win7 umisen@Babilo
10.21.48.72 可能win server 2012
10.21.48.73 windows(什么版本不确定) 域控(因为主机名是DC)
10.21.48.75 win10 umisen@Molos 是我们的目标主机
所有主机都开放135，139，445端口，文件共享都是打开的（$IPC）

2.渗透思路
因为我们的目的是去Molos的计算机里偷一份文件，是不是可以直接去打Molos的电脑呢，但是75这台电脑是win10的系统，很可能补丁是打满的，我们打不进去。所以我们转换一下思路，因为这是一个域，所以域管的账号密码可以登陆该域内的任何一台计算机，只要拿到了域管的账号密码，我们就可以用net use去连Molos的计算机了。所以目光转向73这台电脑，我发现对于这台计算机我知道的信息很少，不知道系统具体版本，开放的端口和服务也没有可疑的地方。这时，我发现70这台电脑是win7的系统，如果没有打补丁的话会比较好下手，直接可以用永恒之蓝ms17_010打进去拿到system权限。
我们可以赌一把，如果域管登陆过这台电脑的话，内存中应该有域管的账号密码，可以用mimikatz尝试抓一下，不行的话再想其他办法，先试试再说。

3.渗透过程
通过msf利用ms17_010打10.21.48.70





我们已经打进了win7，现在把mimikatz上传

我们help查看一下mimikatz的命令，因为mimikatz我也很少用

常用的为msv，wdigest，tspkg

msv获得用户名和密码的hash

wdigest，tspkg获得内存中的用户名和密码明文

注：mimikatz可以运行自定义命令 mimikatz_command -f

我们发现了两个密码
Babilo ; UMISEN.LAB ; MemberShip#@!
Jhard ; UMISEN.LAB ; Jhard@19

其中Babilo为本机密码，猜测Jhard为域管密码

为了证明Jhard是不是域管的密码，我们用Jhard去连接win10，如果能连上就说明我们的猜测是正确的

连接成功！我们的猜测是正确的

接着我们就要找我们要的文件了，我们把win10的C盘映射到本机

我们这里把C盘映射到了本地

经过不断地查找，我们在桌面找到了我们要的文件

把目标文件复制到本地，然后删除连接！！！！不要让Molos发现

最后我们在win7中留一个后门




这里遇到了问题，后门生成之后，并没有session
我又尝试了一下exe的后门，同样没有session

希望有大佬能够告诉我哪里错了，或者有留后门的教程麻烦大家分享给我，在网上查了一下大部分都大同小异没有特别详细的

OVER

/总结*/
1.渗透的思路不能局限，一台机子不行换其他的，通过其他机子向目标机靠拢
2.有想法就要去尝试，不能光想想而已，靠想永远也拿不到目标
3.mimikatz的使用！！！
4.内网渗透的重点是域管，只要拿了域管就可能登陆域内任意计算机了
5.对msf留后门和session的理解！！！这个要重新找资料重新学了，这次内网渗透最大的障碍就是这个
6.渗透要神不知鬼不觉，不能让目标发现。所以能不连3389就不连，拿到目标后要清理痕迹，比如删除ipc$连接。实战里如果留下痕迹，别人会顺着网线来打你的
7.技术还太菜，菜的要死