内网渗透步骤

内网渗透步骤

web渗透->内网渗透

信息搜集：系统信息、自启动、环境变量等
漏洞扫描/挖掘
漏洞利用
权限维持(添加隐藏用户)
权限提升
横向移动
痕迹清理

内网渗透工具

MetaSploit(msf)

Cobalt Strike

CS常用命令：

argue                   匹配进程的欺骗参数
audit_uac              审查关于bypass uac 的方法
blockdlls               在子进程中阻止非Microsoft DLL
browserpivot       设置浏览器透视会话
cancel                 取消正在进行的下载
cd                       更改目录
checkin               呼叫总部并发布数据
clear                   清除信标队列
connect              通过TCP连接到信标对等方
covert           部署隐蔽VPN客户端
cp                       复制文件
dcsync                从DC中提取密码哈希
desktop              查看目标的桌面并与之交互
dllinject             将反射DLL注入进程
dllload               使用LoadLibrary（）将DLL加载到进程中
download          下载文件
downloads          列出正在进行的文件下载
drives                  列出目标上的驱动器
elevate                在提升的上下文中生成会话
execute                在目标上执行程序（无输出）
execute-assembly      在目标上的内存中执行本地.NET程序
exit                           终止信标会话
getprivs                     在当前令牌上启用系统权限
getsystem                尝试获取系统
getuid                      获取用户ID
hashdump               转储密码哈希
help                          帮助菜单
inject                       在特定进程中生成会话
jobkill                       杀死长时间运行的利用后任务
jobs                          列出长期运行的利用后任务
jump                           在远程主机上生成会话
kerberos_ccache_use      将kerberos票证从缓存应用到此会话
kerberos_ticket_purge      从此会话中清除kerberos票证
kerberos_ticket_use          将kerberos票证应用于此会话
keylogger                        将击键记录器注入进程
kill                                   终止进程
link                                 通过命名管道连接到信标对等点
logonpasswords               使用mimikatz转储凭据和哈希
ls                                    列出文件
make_token                    创建令牌以传递凭据
mimikatz                          运行mimikatz命令
mkdir                               制作目录
mode dns                        使用DNS A作为数据通道（仅DNS信标）
mode dns-txt                  使用DNS TXT作为数据通道（仅DNS信标
mode dns6                     使用DNS AAAA作为数据通道（仅DNS信标）
mv                                  移动文件
net                                  网络和主机枚举工具
note                                为该信标指定一个注释
portscan                         扫描网络中的开放服务
powerpick                      通过非托管PowerShell执行命令
powershell                      通过powershell.exe执行命令
powershell-import          导入powershell脚本
ppid                               为衍生的事后交货作业设置父PID
ps                                  显示进程列表
psinject                          在特定进程中执行PowerShell命令
pth                                使用Mimikatz传递散列
pwd                               打印当前目录
reg                                  查询注册表
remote-exec                    在远程主机上运行命令
rev2self                         还原为原始令牌
rm                                 删除文件或文件夹
rportfwd                      设置反向端口前进
run                              在目标上执行程序（返回输出）
runas                          以另一个用户的身份执行程序
runasadmin                在提升的上下文中执行程序
runu                           在另一个PID下执行程序
screenshot                   截图
setenv                        设置环境变量
shell                          通过cmd.exe执行命令
shinject                    将外壳代码注入进程
shspawn                  生成进程并将外壳代码注入其中
sleep                       设置信标睡眠时间
socks                        启动SOCKS4a服务器以中继流量
socks stop              停止SOCKS4a服务器
spawn                    生成会话
spawnas                 作为另一个用户生成会话
spawnto                 将可执行文件设置为将进程生成到
spawnu                   在另一进程下生成会话
ssh                          使用SSH在主机上生成SSH会话
ssh-key                    使用SSH在主机上生成SSH会话
steal_token              从进程中窃取访问令牌
timestomp               将时间戳从一个文件应用到另一个文件
unlink                     断开与父信标的连接
upload                     上传文件

CS提权：

uac-token-duplication
是一种绕过uac方式的攻击，吧地权限提高到高权限，利用一个UAC漏洞，允许非提升进程使用提升进程中窃取的令牌来启动，适用于win7
 
svc-exe
用于提升权限，用法类似getsystem命令
 
ms14-058|ms15-015|ms16-016|ms16-032|ms16-032|ms16-315
这几种方式都差不多，通过windows的本地提权漏洞来提权
 
juicypotato
在cobaltstrike中使用烂土豆来提权，相对可靠
 
compmgmt
了解不多，似乎是通过windows的compmgmt去提权
 
rottenpotato
从Windows服务帐户到系统的本地权限升级
 
uac-eventvwr
通过注册表，利用eventvwr.exe 会自动加载我们的exp，这时的eventvwr.exe为高权限，达到提权效果
 
uac-dll
利用UAC漏洞，把我们的exp生成的dll复制到特定位置来达到提权效果，可绕过UAC
 
uac-wscript
这是一个empire中的绕过UAC模块，通过利用wscript.exe 去执行payload，以管理员权限去运行payload，只限于win7上使用

参考

内网渗透思路
内网渗透实战
win权限维持
linux权限维持
痕迹清楚