内网渗透中常见的几个问题

文章没有太多的技术含量,纯属胡言乱语加装逼,有些已经不适用现在的环境,所有的方法均经过实际环境的验证并有效实施,并不适用于所有的环境,纸上谈兵,各位当故事看看即可,仁者见仁,智者见智。

内网渗透中常见的几个问题

1、防火墙穿透

2、木马免杀穿透

3、内网信息收集及目标定位

4、关于文件下载

渗透,顾名思义已经获取到目标的部分权限,需要进一步扩大战果了,这里会遇到各种各样的问题,

比如信息收集,比如目标的查找,比如文件下载的方式,比如等等

防火墙穿透

首先说防火墙穿透,现在的业务环境各种ids,各种ngxxx,各种waf,isa策略,各种牛逼的杀毒带防火墙一体的软硬件,websense,bluecoat为代表的网关,策略上最基础的就是黑白名单,这种是目前各大杀软厂商和waf厂商常用的。

针对黑白名单的策略,首先是查找可信任的白名单ip,最简单有效的信任机制是各大软件服务商的域名及ip列表,比如微软,google,adobe,Yahoo,各大杀毒软件厂商以及一些系统升级的镜像源,

如果一些信任厂商提供二级甚至三级域名服务,那么只需申请该厂商的域名即可,代表性的有早期的yahoo提供二级域名和三级域名申请,现在的google同样提供域名申请。如果需要木马上线域名配置,上线域名使用此类域名,即可绕过黑白名单机制。

另外一种情况仅仅是针对价值更高的目标,也可能需要长久的控制目标,此时需要提前入侵一些大的软件和系统服务商,以次类机器作为上线或者反弹跳板,如windows系统升级服务器,adobe系统升级服务器,ibm 中间件升级服务器,windows邮件服务器,第三方杀毒软件厂商升级服务器等等。

同时可以考虑入侵防火墙,路由和代理服务器以及f5设备,f5设备的成功率之高你永远都想象不到,永远不要瞧不起弱口令这种看起来没有技术含量的问题。通过此类设备创建ssh正向或者反向代理,可以藐视90%的防火墙设备。

另外一点是内网之间的相互访问,如域间的信任关系,工作组和工作组之间的信任关系,跨vlan等。

apt之类的,已经用烂的手法,大家也都天天听的耳朵起茧了,就不多逼逼了。

第一种地球人都知道的就是通过入侵一些网关路由和边界设备,来进行内网间的突破,如查找内网proxy server,http proxy,sharepoint服务器,oa,项目管理平台,内网邮件服务器等,还有一种可能大家不常用到的方式是通过共享打印机来创建proxy,此方法仅限于hp的几种型号的打印机,通过共享打印机来创建proxy server,实现工作组和vlan之间的相互访问。

木马免杀穿透

对于木马的免杀和上线,这里只举几个简单的例子,大家可以根据自己的实际环境来进行操作。

1、传统的免杀无外乎加花混淆加壳,这种的难度大,并且随时被k,这里介绍一种可能大家也都用烂的方法,考虑到很多人可能还没用过,就逼逼两句。

杀毒软件除了杀特征还要检查文件的签名,这个时候加载各种正常的签名,如支付宝的签名,a3,安博士的签名,基本上杀毒软件就哑巴了,所以各种撸站侠在平时撸站的过程中注意积累,有牛逼的签名记得下载回来。

2、杀毒软件也会累,小文件随意检查,大家为隐蔽性往往会把木马的体积做的很小,殊不知,这样反倒是弄巧成拙,大、大、大、大、大、大,对,做大,木马的服务端一定要做的足够大,你问我多大?300兆往上的做,不开玩笑,用空字节填充,能做多大做多大。

关于上线,大家为了木马上线也是绞尽脑汁,各种方法,各种尝试,这里说几点以前用过的方式,有些现在还有效,有些可能已经失效,只做个人精液总结,勿喷。

1、通过邮箱上线和控制,这一点最早是darkmoon使用的方式,服务端通过公共邮件服务器上线,接受指令进行操作,同时传回执行结果。

2、通过使用im通讯协议进行上线,如早期的msnbot,通过msn服务器上线控制,你永远不知道对方的控制端在哪里,后面出现的qqbot也是同样的原理,xmpp协议,voip协议上线等

3、通过https上线,这一点在cobalt strike的beacon里面有充分的体现。

4、通过p2p协议,这样一方面可以实现木马的内网穿透和防火墙穿透,另外可以随时找到可以上线的机器作为控制端,不过目前很多工具都封锁了p2p,这种上线方式已经不再适用。

5,通过sshagent方式上线,针对特定的环境,给木马服务端加上sshagent功能,可以实现防火墙穿透上线。

 

内网信息收集和目标定位

1、传统的扫描,扫描也分两种,一种是会触发ids的,一种是不会触发ids的,控制扫描的频率和速度,可以大大降低被发现的风险,针对windows机器,可以考虑用wmi脚本和powershell脚本进行扫描,低频扫描可以很容易的绕过ids的规则,同时可以考虑使用内网管理工具使用的相同协议进行扫描探测。

2、xss,uxss进行内网信息收集和探测,不管使用何种方式,让目标触发我们的脚本代码,获取到目标的信息。

3、邮件定位,伪造一封让目标会回复的邮件,通过回复邮件查看原始邮件头,获取到目标的信息

可能有人会说既然能让目标访问我们的脚本和回邮件了,干嘛不挂马,这个问题我不多说了,给你一个微笑,自己慢慢体会。

 

关于文件下载

文件下载,也分为两种,一种是一锤子买卖,下完屁股都不擦走人的,一种是细水长流,慢慢下载的。

之前sony事件的时候有大神提了各种神乎其神的下载文件的方式,我只回了个呵呵,因为一看就不是练家子,理论知识大于实践的,肯定没去工地搬过砖。

1、一般的撸站侠都喜欢在夜深人静的时候或者非业务高峰期下载文件,目的是为了避开管理员的火眼金睛,其实这样真的是大错特错啊,非业务高峰时段,路由日志显示带宽一下子跑到几百兆,你看了你不蛋疼?所以,最好是在业务高峰时段,带宽流量非常大,你那几十兆几百兆甚至几个g的流量对于一天几十上百g的流量公司来说,九牛一毛都算不上,没人会注意的,完全淹没在噪声里了。

2、之前大神说过,可以ddos目标,然后流量大的时候去下载文件回来,所以我说大神肯定没去工地搬过砖,撸站侠们都知道,撸站的时候最恨的就是正在撸的时候目标被人ddos了,整个目标的带宽都被占完了,下载文件回来就是个笑话,所以这种的就不要信了,当笑话听听就好了。

3、一锤子买卖的文件下载,这种的所有的东西都在了,那就玩命的下,挂各种代理,玩命下,迅雷,qq音速,bt电驴,各种加速下载,能下多快下多快,能开多少线程就开多少线程。管他什么防火墙警报和日志,等管理员反应过来所有的文件都下回来了。

4、文件多,持续更新的,就需要细水长流的下载了,这个时候就需要考虑隐蔽性了,有时候文件比较大,分包压缩是肯定的,这大文件在硬盘上必然比较显眼,所以需要把文件分散转移,放在哪里也是一门学问,对于有公司办公网络的,推荐放在更新服务器上,或者文件服务器上,一个是正常的链接通讯,不容易被管理员怀疑,另外一方面这些服务器的空间都比较大,放在上面不会特别突兀。 还有一种比较好的存储就是共享打印机,一般的打印机都有2-4g的存储空间,通过这些打印机存储可以长时间存储不被发现,文件下载的方式可以考虑https,sftp等方式进行下载。

最后说一点,能命令行千万不要gui,不是为装逼,只是为了减少触发waf和ids报警的几率。如通过webshell访问数据和console下面通过tsql访问数据库触发的规则是完全不一样的。

你可能感兴趣的:(内网渗透中常见的几个问题)