内网渗透：步步为营游走于内网

开始

主要是思路

---

0X01 Initial Access 入口点

1、WebShell

2、个人机Becaon

3、水坑

4、网络设备

5、物理渗透：无人机WIFI破解，进内网，甚至做到了超算区域。等等。

判断位置：当我们获得shell的时候，需要判断当前的位置在哪里

• 网络区域：外网、DMZ、内网、办公网、生产网、运维网。名字叫法根据单位性质不同，叫法可能不一样。一般拿下Webshell都是在DMZ区，DMZ的区域限制都比较严，一般的流程是，DMZ可以被外网访问，也可以被内网访问，可以被内网办公用户访问，但是DMZ是不能访问到内网办公网的，一般是做了一个限制，从DMZ到trust区域是拒绝的。但是，如果是个人主机，那么机器位置可能在办公网，运气好点，直接在运维网。
• 主机角色：HR、财务、开发、运维等。运维机子上一般会有IP地址规划表、内网规划图、密码表等，对下一步的渗透有着事半功倍的效果。
• 连通性判断：隐蔽性最好的是DNS、ICMP。HTTP、HTTPS、TCP、UDP。

0X02 Proxy

0X03 Recon 信息收集

1、工作组、域

• 工作组：Windows单机常规信息收集：System、Administrator、User。提权。UAC绕过。whoami /all。
• 域：

1. 域用户：可以登录域内任意一台除域控的主机。
2. 域管理员：可以控制域内所有的机器。

2、域管、非域管

3、通过命令收集敏感文件。网络环境、权限信息、机器信息。数据库配置文件、共享、浏览器。

0X04 Privilege 权限

1、EXP：如，MS15-051、MS16-032、MS16-135、巴西烤肉等。可能会导致蓝屏，使用前要考虑清楚。

2、AD特性：GPP、MS14-068。

3、Windows非EXP：劫持类提权、Unquoted Service Paths、第三方服务提权。

0X05 Lateral Movement 横向渗透

1、WorkGroup横向

2、利用分发部署：漏洞EDR。免杀。推送。

3、PTH or PTT

4、Web横向渗透：内网中一般没有WAF。一般会有测试服务器。

5、利用常见服务横向

6、登录脚本

Credential:

• sam or NTDS.dit
• 在线 or 离线：procdump+mimikatz。
• 键盘记录

0X06 Persistence 持久化

1、注册表类型

2、系统自带软件（RDP、IIS）：对IIS服务加载注入某些后门。

3、计划任务

4、Kerberos特性：金银票据、dsrm、ssp、组策略、

5、WebShell

6、msf、启动项、计划任务、RDP后门、shift后门、sc命令持久化、bitsadmin持久化（系统自带。但是大部分杀软会对会对创建下载任务和添加文档进行拦截。效果不是很好。）

0X07 Log Clean 

1、Kill Process：结束日志进程

2、Clean Log：将操作这段时间的日志进行处理。但是，在做日志清理后取证工作，日志还是可以被回复回来的。

• 本地session：net use等
• Windows日志
• Web日志：访问WebShell的日志。get、post。
• 第三方服务日志
• 二进制文件：文件不落地。
• 进程

常用工具：

• 信息收集：nbtscan、netsess.exe、powerview、Bloodhound、masscan
• 权限提升：powerup、UACME
• 口令爆破：Hydra、Hashc
• 漏洞扫描：AWVS、Nessus、Nmap
• 凭据窃取：Mimikata、procdump
• MIMT：Responder.py、Impacket、Invoke-Inveigh.ps1、Cain
• Bypass AV：Invoke-Obfuscation
• 后渗透框架：Cobalt Strike、Empire、MSF、Powersploit

自我提高：

• 可以学习一些运维的内容
• 要对Windows、Linux系统很熟

额外：有的DMZ通过虚拟机隔离实现。虚拟机逃逸。