内网渗透常用端口
- 53
DNS服务,在使用中需要用到TCP/UDP 53端口,AD域的核心就是DNS服务器,AD通过DNS服务器定位资源 - 88
Kerberos服务,在使用中需要用到TCP/UDP 88端口,Kerberos密钥分发中心(KDC) 在该端口上侦听Ticket请求 - 135
135端口主要用于使用RPC协议并提供DCOM服务。 - 137
NetBIOS-NS(名称服务),在使用中需要用到TCP/UDP 137端口 - 139
Session Server(会话服务),在使用中需要用到TCP/UDP 139端口,允许两台计算机建立连接 - 389
LDAP服务(轻量级目录访问协议),在使用中需要用到TCP/UDP 389端口,如果需要使用SSL,需要使用636端口, - 445
主要用于共享文件夹或共享打印,存在较多漏洞,如MS08-067、MS17-010 - 3268 Global Catalog(全局编录服务器),如果需要使用SSL,需要用到3269端口,主要用于用户登录时,负责验证用户身份的域控制器需要通过防火墙,来向“全局编录”查询用户所隶属的通用组
内网渗透流程
Initial Access
- Webshell
- 个人机Beacon
- VPN
网络位置判断
- 网络区域
- 主机角色
- 连通性判断
信息收集
信息收集常分为工作组信息收集、域信息收集,管理员、非管理员。信息收集范围包括但不限于对权限信息,机器信息,进程端口,网络连接,共享、会话、敏感文件、密码文件、配置文件、浏览器记录、远程连接工具如xshell等工具记录等信息进行详细收集并加以合理运用,将已有信息最大程度利用,如某大佬所说,渗透的本质是信息收集。具体信息收集命令可以查阅参考链接,不再赘述。
内网穿透常见协议及利用
- TCP
- UDP
- Http
- Https
- SSH
- DNS
- Icmp
- FTP
- GRE
在内网渗透中常见方法:
1.将单一端口转发到公网VPS
2.反向sockets代理,可以将流量全局带入
常用文件类型:
exe/ps1/python
权限提升
1.EXP提权
利用已公开EXP进行溢出提权可参照windows-kernel-exploits,可以配合Windows-Exploit-Suggeste进行辅助提权。
2.利用AD特性提权
如MS14-068、GPP等
3.Windows非EXP提权
劫持类提权如DLL劫持、COM劫持、Unquoted Service Paths、利用第三方高权限服务提权
4.假冒令牌
当用户注销后,系统将会使主令牌切换为模拟令牌,不会将令牌清 除,只有在重启机器后才会清除。
5.Bypass UAC
Windows系统中Administrators组非SID为500的用户必须Bypass Uac才可以获得特权令牌,具体方法可以使用Windows自带程序进行Bypass,可以参考UACME项目。
内网横向渗透方法
- ipc$+计划任务
- PTH
- Wmi
- WinRm
- 利用常规Web渗透横向
- sc
- ps1
在无法抓取用户明文密码的情况下可以使用Hash注入登陆系统或登陆服务
内网渗透持久化
1.利用活动目录
- Golden Ticket
- Silver Ticket
- DSRM
- SSP(Security Support Provider)
- Hook PasswordChangeNotify
- SID History
2.Windows常规持久化
- 常规Webshell
- 利用Windows注册表项
- Logon Scripts
- Dll劫持
- 计划任务
(1)at
(2)schtasks - wmi事件
- COM劫持
MITI
1.Responder responder.py –A 分析模式
2.Impacket Relay attacks Tools,该工具可以进行SMB Relay、NTLM Relay。
3.smb relay ntlmv2 使用Impacket中的ntlmrelayx.py和Responder中的MultiRelay.py配合使用。在SMB签名关闭的情况下将net-ntlm Hash中继进行攻击,SMB签名默认在非Windows Server系统中关闭。
日志清理
Windows EventLog、Application Log、Session、进程、物理存储中的二进制文件
内网渗透常用工具和方式
1.渗透框架
- Cobalt Strike
- Empire
- NiShang
- Metasploit
- Powersploit
2.信息收集
- Netsess.exe
- Powerview
- Bloodhound
- Nmap
3.权限提升
- Powerup
- UACME
- 假冒令牌:
1.Incognito
2.Powershell – Invoke-TokenManipulation.ps1
3.Cobalt Strike – steal_token
4.口令爆破
- Hydra
- John
- Hashcat
5.凭据窃取
- Mimikatz
- Procdump
- QuarksPwDump
- LaZagne.exe
windows:
mimikatz
wce
Invoke-WCMDump
mimiDbg
LaZagne
nirsoft_package
QuarksPwDump
fgdump
linux:
LaZagne
mimipenguin
6.横向渗透
- psexec
- wmi
(1)wmic (2)wmiexec.vbs (3)Invoke-WMIMethod - WinRM
- DCOM
- WCE
- 组策略种马
7.MIMT
- Responder
- Impacket
- Invoke-Inveigh.ps1
- Cain
7.Bypass AV
- Invoke-Obfuscation
- Veil
- shellcode loder
- reflect dll inject