内网渗透

内网渗透课程简介通过学习本课程您可以学习到常见内网渗透技术,包括内网渗透基础知识、内网信息收集、内网渗透常见方法、各种端口转发、代理反弹、http隧道技术、漏洞扫描、漏洞利用、内网嗅探ARP欺骗、DNS欺骗等技术。课程目录内网渗透基础内网信息收集内网渗透方法内网安全防护内网渗透基础内网概述域(domain)工作组(workgroup)AD和DC内网渗透基础内网概述内网也指局域网（LocalAreaNetwork，LAN）是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。内网渗透基础域(domain)域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即TrustRelation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。域既是Windows网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域；每个域都有自己的安全策略，以及它与其他域的安全信任关系。内网渗透基础工作组(workgroup)工作组(workgroup)是不属于域的一个独立单元。工作组中的每个计算机各自维护自己的组帐号、用户帐号及安全帐号数据库，不与其他系统共享用户信息。一个工作组组成的网络是一个“对等网”。内网渗透基础AD和DC如果网络规模较大，这时我们就会考虑把网络中众多的对象（被称之为AD对象）：计算机、用户、用户组、打印机、共享夹……分门别类、井然有序地放在一个大仓库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库(ActiveDirectory)，简称AD库。接下来，我们应该把这个数据库放在哪台计算机上呢？是这样的，我们把存放有活动目录数据库的计算机就称之为域控制器（DomainController），简称DC。课程目录内网渗透基础内网信息收集内网渗透方法内网安全防护内网信息收集本机信息收集扩散信息收集信息收集命令Dsquery命令第三方信息收集内网信息收集本机信息收集用户列表（用户列表、邮件用户）进程列表（杀软、安全监控、邮件的客户端、VPN）服务列表（安全防范工具服务、存在问题的服务）端口列表（开放端口对应的常见服务）补丁列表（分析Windows补丁、第三方软件如Flash）本机共享（本机[域]共享列表/访问权限）用户习惯（历史记录、收藏夹、文档）内网信息收集扩散信息收集利用本机获取的信息收集内网[域]其他机器的信息收集ActiveDirectory信息内网信息收集常见信息收集命令netuser------本机用户列表netview-------查询同一域内机器列表netlocalgroupadministrators------本机管理员[通常含有域用户]netuser/domain------查询域用户netgroup/domain------查询域里面的工作组netgroupdomainadmins/domain------查询域管理员用户组netlocalgroupadministrators/domain------登录本机的域管理员netlocalgroupadministratorsworkgroup\user001/add-----域用户添加到本机netgroupDomaincontrollers-------查看域控制器(如果有多台)内网信息收集Dsquery命令列出该域内所有机器名(dsquerycomputerdomainroot-limit65535&&netgroupdomaincomputers/domain)列出该域内所有用户名(dsqueryuserdomainroot-limit65535&&netuser/domain)列出该域内网段划分(dsquerysubnet)列出该域内分组(dsquerygroup&&netgroup/domain)列出该域内组织单位(dsqueryou)列出该域内域控制器(dsqueryserver&&nettime/domain）列出域管理员帐号(netgroupdomainadmins/domain）内网信息收集第三方信息收集NETBIOS信息收集工具SMB信息收集空会话信息收集端口信息收集漏洞信息收集课程目录内网渗透基础内网信息收集内网渗透方法内网安全防护内网渗透方法内网跨边界HASH值抓取HASH注入与传递密码记录Windows系统网络服务攻击Windows系统第三方服务攻击ARP和DNS欺骗内网渗透方法内网跨边界-跨边界概述在理论上只要网络连接的计算机都是可以访问的，但是在实际中往往由于技术水平等原因，很难实现它;例如局域网中的某台计算机仅仅开放了Web服务，该服务仅能供内网用户使用，而外网用户根本没有办法直接访问。因此要想让外网用户能够访问局域网中的系统服务，这必须进行端口转发或反弹代理等操作才行。内网渗透方法内网跨边界-Windows下跨边界应用Lcx.exe端口转发工具Htran.exe端口转发进内网ReDuh端口转发HD.exe反弹socks代理内网渗透方法内网跨边界-Linux下跨边界的应用端口转发小工具rtcp.pyPutty+SSH做Socks加密代理如何将msf杀进内网内网渗透方法HASH值抓取-HASH概念早期SMB协议在网络上传输明文口令。后来出现LANManagerChallenge/Response验证机制，简称LM，它是如此简单以至很容易被破解。微软提出了WindowsNT挑战/响应验证机制，称之为NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。Windows加密过的密码口令，我们称之为hash（中文：哈希），Windows的系统密码hash默认情况下一般由两部分组成：第一部分是LM-hash，第二部分是NTLM-hash。内网渗透方法HASH值抓取-抓取HASH常用工具Pwdump7Pwdump7.exepass.txtGsecdump域服务器上的使用WINDOWSHASH导出工具WCE列举登陆会话,可以添加、改变和删除相关凭据Getpass基于mimikatz工具逆向，获取内存明文密码内网渗透方法HASH值抓取-常用破解HASH站点://内网渗透方法HASH注入与传递-HASH注入概述hash注入是当下攻击者们采用的一种攻击。通过这种攻击方式，能够进入密码散列存储数据库中还是内存中--并利用它们重新生成一套完整的身份验证会话,hash式攻击能够成功攻克任何操作系统及任何身份验证协议.内网渗透方法HASH注入与传递-HASH注入传递工具Msvctl.exemsvctl.exe需要注入的hash值runcmdWce-swce–shash值exploit/windows/smb/psexecpsexechash传递内网渗透方法密码记录–常用密码记录工具WinlogonHack劫取远程3389登录密码的工具NTPass获取管理员口令,一般用gina方式来,但有些机器上安装了pcanywhere等软件，会导致远程登录的时候出现故障，本软件可实现无障碍截取口令。键盘记录专家安装键盘记录的目地不光是记录本机密码，是记录管理员一切的密码，比如说信箱，WEB网页密码等等，这样也可以得到管理员的很多信息。Linux下openssh后门Linux键盘记录sh2log内网渗透方法Windows系统网络服务攻击-概述Windows系统作为目前全球范围内个人PC领域最流行的操作系统，其安全漏洞爆发的频率和其市场占有率相当，使得针对Windows系统上运行的网络服务程序成了高危对象，尤其是那些Windows系统自带的默认安装、启用的网络服务，例如SMB、RPC等，甚至，有些服务对于特定服务来说是必须开启的，例如一个网站主机的IIS服务，因此这些服务的安全漏洞就成为黑客追逐的对象，经典案例：MS06-040、MS07-029、MS08-067、MS11-058、MS12-020等，几乎每年都会爆出数个类似的高危安全漏洞。内网渗透方法Windows系统网络服务攻击-漏洞扫描S端口扫描器S扫描器是一款轻量级支持多线程的端口扫描器，使用非常简单，设置扫描起始IP与结束IP，设置线程和需要扫描的端口即可MetasploitPortscan模块扫描使用Metasploit中Protscan进行内网端口扫描使用HScan扫描常见漏洞Hcan是运行在WindowsNT/2000/XP下多线程方式对指定IP段(指定主机)，或主机列表，进行漏洞、弱口令账号、匿名用户检测的工具X-ScanX-scan是安全焦点出品的国内很优秀的扫描工具，采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式内网渗透方法Windows系统网络服务攻击-常用网络服务攻击方法NtscanNtscan是一个非常好的端口扫描工具,此工具可以帮助用户扫描没有密码保护的管理员共享,而且还支持IPC$,SMB,WMI扫描的NT弱口令猜测工具。Metasploitsmb_login使用Metasploitsmb_login模块对SMB进行弱口令扫描135端口上RPC服务利用MS08-067RPC入侵445端口上ipc$入侵内网渗透方法Windows系统第三方服务攻击-概述在操作系统中运行的非系统厂商提供的网络服务都可以称之为第三方网络服务,与系统厂商提供的网络服务没有本质区别，比较常见额包括提供HTTP服务的Apache、IBMWebSphere、Tomcat等；提供SQL数据库服务的Oracle、Mysql等；以及提供FTP服务的Serv-U、FileZilla等,其中由于一些网络服务产品的使用范围非常大，一旦出现安全漏洞,将会对互联网上运行该服务的主机造成严重的安全威胁。内网渗透方法Windows系统第三方服务攻击–常见攻击方法1433端口的SQLServer服务弱口令攻击使用1433弱口令扫描器进行扫描使用MetasploitMssql_login模块进行漏口令扫描SQLServerSA用户提权3306端口的Mysql服务攻击使用3306弱口令扫描器进行扫描使用MetasploitMysql_login模块进行Mysql入侵Mysql数据库Root弱口令导出VBS启动项提权IIS写权限利用ApacheTomcat弱口令利用其它服务内网渗透方法ARP和DNS欺骗-ARP和DNS欺骗概述ARP欺骗（英语：ARPspoofing），又称ARP病毒（ARPpoisoning）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连接。DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为内网渗透方法ARP和DNS欺骗-CAINARP欺骗CAIN是一款主要针对微软操作系统的免费口令恢复工具。其功能十分强大，它能够网络嗅探、网络欺骗、破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还能够监听内网中他人使用VOIP拨打电话。内网渗透方法ARP欺骗嗅探到的口令都会在软件底下口令功能模块显示内网渗透方法ARP和