内网渗透中的技巧（思路篇）

翻了一下网盘找到2017写的一篇文章，可能现在看感觉幼稚但是确实学会了很多。看过很多内网方面的文章大多数是教你用漏洞，用工具，挖洞，但是安全的本质还是在行业里面，了解目标业务流程才是重要的一个环节。对于攻击者去渗透一个没有业务场景，生产环境的网络，是没有任何意义。

0x00 内网渗透分类

内网渗透在我眼里，有二种分类吧，一种是 外网端口转发进内网 或者通过 VPN 之类的东西进入内网，第二种 物理方面的 进入内网 如连接 WiFi 热点 利用水晶头接入内网 或者操作一些在内网的物理终端进入内网 等等，我主要讲的是第二种 类型的渗透不过这二种分类只是连入内网的方式不同 而已 不过最终的目的相同，在内网中不是说利用下端口转发工具就完成了 内网渗透，内网渗透 最终目的是取决于你定位的 目标机器。

0x01 如何定位内网机器

定位内网机器取决于目标内网架构，也就是说这个网络到底是用来做啥的 ！家庭内网 学校内网 网吧内网 公司内网 饭店内网等等，这些内网的架构都是不同的 所以你先知道你进入的内网 到底 在那种环境下才能去收集信息 才能判断内网 会存在那种终端 或者设备 才能有效判断设备的信息而不是盲目进入内网 使用各种扫描工具 进入内网探测就算你成功拿下 也不知道自己拿下来的设备有啥作用。

  我就讲讲网吧行业 如何去定位内网的机器吧，网吧一般来说 主要是 无盘服务器 和 网吧收银机 或者语音提示的 机器来控制整个内网的 运作 当然也有路由器 来限制内网流量 //交换机一般都是存在于需要进行 跨网段 这样就不会 IP 少 冲突问题。

通过扫描整个网吧机子的网段看看有多少台然后分析这几台电脑的用途通过与网吧电脑命名来确定 网管电脑.

因为正常来说 是不是网管电脑可以通过 计算机命名来分析 客户端都是按照数字循序来命名的 所以确定上网人员使用的电脑了。

第二种方式 利用网吧客户机运行的软件去获取 IP，一般网吧收银机会与客户机相互通信所以软件中有配置信息 里面可以提取目标 IP，无盘服务器都是一样的因为软件就是 服务端/客户端组成的，192.168.0.199 IP 为嘟嘟牛 收银机 IP。

观察设备环境

观察网管操作的操作系统 是否内网存在 摄像头 等等...

网络 设备不规范 有些网吧的服务器 路由器 等等都暴露在外面，可以有效获取信息。

一般我看到网吧是这样的网吧WiFi与网吧客户机 利用了交换机互通 可实现跨网段vlan攻击。

0x02 内网中如何获取目标权限

 数据库方面一般存在 web 或者存在数据存储方面 都可能开放数据库端口

操作系统

今年爆出来的 Windows 内网 大杀器 都是可以使用的，有技术可以挖掘漏洞， 技术方面还可以改漏洞 利用方式。

打印机

一般打印机 都是公司 比较多，所以我们根据内网环境去，使用不同的技术才行，打印机的话 一般公司 打印机 是会在内网共享 所以可以尝试 使用漏洞 进行获取打印机权限。

摄像头

摄像头主要是 有 存储的设备 和 摄像头 组成的 摄像头都分有 IP 地址一般家庭都是使用网络摄像头 数据都是存在 云端一般都是通过 WiFi 进行 连接所以可以使用一些干扰工具进行 获取数据 或者瘫痪掉。

路由器

路由器很多有软路由器或者硬路由，一般可以通过ssh 或者Telnet 厂商预制后门如果获取权限 可以获取内网流量 或者 使用 dns 欺骗进行 欺骗攻击配合高级浏览器漏洞 利用高级工具 可以探测内网 的操作系统 浏览器信息可以配合漏洞进行攻击。

内网主要去进行 内网流量 分析 和绕过 IDS 规则 难点！

0x03 内网中权限维持

比如我入侵了内网的 一台 网管电脑 可能 里面就会存在另外内网电脑中的管理密码，一般来说中国的话使用radmin 、vnc等这些管理软件比较多，员工使用电脑的习惯行为分析，所以进入某台电脑获取数据 权限维持 清除日志 是非常重要 的所以我们 可以用 NSA 的 DanderSpritz 框架举个例子这个框架可以生成 dll 木马 和 exe 木马 配置目标主机的有效载荷。

而且可以清除日志获取主机的进程、磁盘信息、执行、cmd查看网络连接、等等数据可以有效收集信息自己适当的去获取浏览器的 cookie 可能网管操作浏览器有 历史记录 可以重放去进行提取 cookie 伪造登录 对内网另一台主机进行有效打击。

权限维持主要可以 根据 电脑的不同特性 和 杀毒软件的规则 去生成免杀的Shellcode 进行杀毒软件 的绕过。

一般自己可以架设外网主机 用连 控制内网主机也能利用内网主机做跳板， 去入侵其他主机，清除痕迹的话 ，一般清除电脑的浏览器数据啊 ，获取电脑的登录日志之类的还有就是操作了 ，一些特定软件 可以会产生的日志 比如Radmin 远程 管理软件一般都是服务端 和 客户端组成，你客户端登录都会有痕迹 会生成在服务端主目录下 所以可以去清除这些痕迹。

0x04 业务流程

业务流程指的是 系统的运转 或者公司的运作 去选择可能突破的弱点，系统的运作 比如网吧是怎么运营的 ta 会使用什么计费软件 无盘软件 这些软件是否存在漏洞，公司的运作 比如 这个 系统是 外包给别的 公司 通过入侵外包公司去获取 目标系统的管理账号密码。

业务流程 也是 比较重要的 因为你入侵了 银行 你对银行的 内部的业务流程 和软件不是特别 清楚 也是无法洗钱 的，所以业务流程是 非常重要的 前期必须要大量获取 这方面的数据才行。

0x05 外网到内网

在内网中有些主机是会开放到外网的，所以可以有效探测到，比如网吧的无盘系统是否会开放到外网，所以网吧客户机 是与无盘通信 所以我们在客户机查看下 IP。

117.xxx.xxx.xx，然后我们外网去探测这个 IP如果无盘开放了 radmin 远程端口 就可以利用 radmin 连接到外网 IP 去登录系统，提前你获取了 账号密码。

本文始发于微信公众号（漏洞感知）：内网渗透中的技巧（思路篇）