内网渗透-代理篇

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了内网渗透-代理篇相关的知识,希望对你有一定的参考价值。

参考技术A 最近参与内网渗透比较多,认知到自己在会话维持上过于依赖web服务,web服务一旦关闭,便失去了唯一的入口点。
本次以远程桌面连接来进行说明,介绍几种常用的连接方式。
本次目标主机ip为:172.16.86.153

使用条件:服务器通外网,拥有自己的公网ip
msf是我进行内网渗透中用的最多的工具,它内置了很多强大的功能,用起来相当方便。
msf的meterpreter内置了端口转发功能,可以把内网的端口转发到本地。

转发目标主机的3389远程桌面服务端口到本地的8888,使用linux中的rdesktop连接本地的8888端口。

msf内置了socks模块,在session但基础上配置路由,调用即可使用,但是速度和稳定性都很差,不做详细介绍。

使用条件:服务器通外网,拥有自己的公网ip
lcx是一个经典的端口转发工具,直接把3389转发到公网的vps上。
通过大马上传lcx.exe,执行系统命令,其中1.1.1.1是vps的公网ip。

因为我公网vps使用的是linux的系统,lcx对应linux的工具为portmap 。
p1为监听的端口,p2为转发到的端口。

成功监听到转发出的3389端口。

直接使用远程桌面服务连接1.1.1.1:33889

基于web服务的socks5隧道的优点是,在内网服务器不通外网的情况下也能正常使用。
常用的工具有:reGeorg,reDuh,Tunna和Proxifier。
本次只介绍reGeorg的具体用法。
选择对应脚本的tunnel上传到服务器。

访问上传文件,显示如下表示成功。

打开Proxifier,更改为脚本指定的端口。

本地电脑成功通过socks5带进了目标主机的内网。(若失败,可能是某些防护检测到了异常流量,可采用reDuh)
本地电脑直接远程连接目标主机的内网ip。

使用条件:目标主机通外网,拥有自己的公网ip
选择对应主机操作系统的执行文件。

目标主机为windows系统,选择上传ew_for_Win.exe文件。
公网vps使用ew_for_linux64文件。
首先在公网vps上执行:

-l为Proxifier连接的端口,-e为目标主机和vps的通信端口。

然后在目标主机中执行:

socks5隧道建立成功,成功把自己的主机带进目标内网。
使用Proxifier,配置ip和连接端口。

连接远程桌面成功。

传送门
使用条件:目标主机通外网,拥有自己的公网ip
首先需要在公网服务器搭建服务端,搭建方法参考: 传送门
要注意的是,客户端和服务端的版本号要一致,否则无法正常使用。
对frpc.ini进行配置,为了保证搭建的隧道不对他人恶意利用,加入账户密码进行验证。

上传frpc.exe和frpc.ini到目标服务器上,直接运行frpc.exe(在实战中可能会提示找不到配置文件,需要使用-c参数指定配置文件的路径frpc.exe -c 文件路径)

公网vps主机上运行frps。

隧道建立成功,连接远程桌面。

类似的工具还有:sSocks,Termite等,不需要每种都掌握,有自己用的顺手的就行。

一般在网站服务的web服务关闭后,服务器重启后,大部门后门都会失效,这时需要用到系统服务封装工具。
以NSSM来进行示例,封装frpc为系统服务,建立持久的socks5隧道。
启动nssm图形化界面。

选择想要组册服务的exe应用。

设置服务的名字。直接点击install service,如下表示注册服务成功。

状态设置为启动,重启电脑进行测试,重启后frpc.exe自动运行,成功和frps连接。

本次列举了一些常用的工具,还有很多工具没有列举到,
功能原理都是大同小异,有那么几个用的顺手就好。

内网渗透测试理论学习之第一篇基础知识点

文章目录

内网渗透基础

一、什么是内网

内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。

二、什么是工作组

工作组(Work Group)就像一个可以自由进入和退出的社团,方便同组的计算机互相访问。
没有集中管理作用,所有计算机都是对等的

三、什么是域

域(Domain)是一个有安全边界的计算机集合
可以简单的把域理解成升级版的工作组,但有一个严格的集中管理控制机制。

域控制器(Domain Controller,DC)相当于一个单位的门禁系统。
DC中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库
DC是整个域的通信枢纽

域环境:
单域、父域和子域、域树(tree)、域森林(forest,林)、DNS域名服务器

四、什么是活动目录

活动目录(Active Directory,AD)是域环境中提供目录服务的组件。
目录用于存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息。
目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务。
其中将层次结构的目录及索引信息存储在数据库中,就是活动目录数据库(AD库)

管理层次分明:A集团(域森林) -> 子公司(域树) -> 部门(域) -> 员工

AD相当于树干。

活动目录有什么功能?

  • 帐号集中管理:所有帐号均存储在服务器中,以便执行命令和重置密码等。
  • 软件集中管理:统一推送软件,统一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装软件。
  • 环境集中管理:利用AD可以统一客户端桌面,IE,TCP/IP等设置。
  • 增强安全性:统一部署杀毒软件和病毒扫描任务、集中化管理用户的计算机权限、统一制订用户密码策略等。可以监控网络,对资料进行统一管理。
  • 更可靠,更少的宕机时间:例如:利用AD控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设定。网络更可靠,岩机时间更少。

五、DC和AD区别?

如果内网中的一台计算机上安装了AD,它就变成了DC(用于存储AD库的计算机)。

DC的本质是一台计算机,AD的本质是提供目录服务的组件

六、安全域的划分

安全域划分的目的是将一组安全等级相同的计算机划入同一个网段内, 在网络边界上通过防火墙来实现对其他安全域的NACL(网络访问控制策略), 使得其风险最小化。

一般安全域划分为:DMZ和内网。

DMZ(Demilitarized Zone 非军事化区)称为隔离区。 为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。

DMZ不能访问内网,DMZ不能访问外网(此策略有例外,如mail服务)。

内网又可以划分为:办公区和核心区。

办公区会安装防病毒软件、主机入侵检测产品(HIDS)等,运维使用堡垒机(跳板机)来统一管理用户的登陆行为。

七、域内计算机分类

域控制器、成员服务器、客户机和独立服务器。

八、域内权限

域内置组分为:域本地组(Domain Local Group)、全局组(Global Group)、通用组(Universal Group)。
管理员通过配置安全组访问权限,就可以为所有加入安全组的用户账号配置同样的权限。

全局组相当于域账号,可以在全局使用,域本地组相当于本地账号,只能本机上使用。

e.g.

将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。

A-G-DL-P策略, A(Account)、G、 DL、 P(Permission),是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
在A-G-DL-P策略形成以后,当给一个用户某一个权限的时候,只要把这个用户加入到某一个域本地组就可以了。

e.g.

有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL(域本地组),因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5 个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给 DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。

域本地组来自全林,作用于本域;
全局组来自本域,作用于全林;
通用组来自全林,作用于全林。

常用DL: Administrators(管理员组),最重要的权限; Remote Desktop Users(远程登录组)。

常用G: Domain Admins(域管理员组),最最重要的权限,一般来说域渗透是看重这个; Domain Users(域用户组)。

常见U: Enterprise Admins(企业系统管理员组)、 Schema Admins(架构管理员组),也是最最重要的权限。

以上是关于内网渗透-代理篇的主要内容,如果未能解决你的问题,请参考以下文章

内网渗透测试理论学习之第四篇内网渗透域的横向移动

内网渗透-代理篇

内网渗透之http隧道

内网渗透-必须掌握的代理与隧道技术解答

内网渗透之ms17-010

内网渗透系列:内网隧道之iox