记一次简单的内网刷分

admin 2022年1月10日07:41:54安全文章评论20 views2652字阅读8分50秒阅读模式

记一次简单的内网刷分


△△△点击上方“蓝字”关注我们了解更多精彩




0x00 Preface [前言/简介]
前期:信息收集,外网打点
    -信息收集
    -得到入口
中期:内网梳理,寻找域控
    -内网信息收集
        域相关
        网段及存活ip
        端口扫描
        内网web探测
        ...
后期:内网刷分,凭据窃取
    -万能弱口令
    -常见web漏洞
    -常见操作系统漏洞
    -域凭据窃取-最终目的



0x01 信息收集
收集内容:
旁站、C段、端口、域名、子域名、whois、web指纹、公众号、小程序、APP等
部分截图:
工具:oneforall

记一次简单的内网刷分工具:webalivescan

记一次简单的内网刷分


0x02 得到入口-shiro反序列化漏洞

利用工具:shiroExp

记一次简单的内网刷分

PS:此处截图模糊还请见谅,能够证明存在shiro反序列化漏洞就好啦!~
权限维持:
    这里呢!是直接写入了内存马。

记一次简单的内网刷分后面为了流量传输更安全,将入口改成了蚁剑



0x03 初步内网信息收集

1、入口ip收集
使用命令:ipconfig获得ip:172.16.14.211

记一次简单的内网刷分

2、判断是否出存在域
使用命令:net view /domain
 简单的收集确定了目标之后就开始正式的内网信息收集。



0x04 内网信息收集
1、域相关:

域内控制器查找:net time /domain

记一次简单的内网刷分2、定位域控:

记一次简单的内网刷分

3、其它信息:

查询域用户密码过期等信息使用命令:net accounts /domain

记一次简单的内网刷分

记一次简单的内网刷分



0x05 网段及存活IP
存活ip探测

记一次简单的内网刷分

记一次简单的内网刷分公众号 后台回复【共享】 获取工具下载地址:


最后生成的xxx.txt如下:

记一次简单的内网刷分

收集出存活ip后,可以写个脚本,来筛选ip:

脚本如下:

#使用前需要替换文件名#运行后会在当前目录下生成restxt#py3import reif __name__ == '__main__':tmp = set()# 导入,去重with open('172.17.0.0.txt', mode='r') as f:  lines = f.readlines()  for line in lines:    line = line.strip()    ip = re.match(r'(([01]{0,1}d{0,1}d|2[0-4]d|25[0-5]).){3}([01]{0,1}d{0,1}d|2[0-4]d|25[0-5])', line)    tmp.add(ip.group())# print(tmp)# 导出with open('res.txt', mode='w') as f:  for key in tmp:    f.write(key)    f.write('n')

批量ip转c段


有时候,探测到存活ip比较多的情况下,也需要批量ip转c段。

脚本如下

# -*- coding: UTF-8 -*-#py2#注意替换readpath和writepathimport IPydef ipToC():  ips = set()  readPath = 'ip.txt'  writePath = 'ip_c.txt'  outFile = open(writePath, 'w')  with open(readPath, 'r') as f:    for line in f:      ip = line.strip('n')      ip_c = IPy.IP(ip).make_net('255.255.255.0')      if ip_c not in ips:        outFile.write(str(ip_c) + 'n')        ips.add(ip_c)  outFile.close()  print '转换结束'if __name__ == '__main__':  ipToC()

端口扫描

 每个师傅使用的工具都不一样,这里不再赘述了。

内网web探测:

 我这里的思路是扫描一下常见的web服务端口,然后快速刷分

 如:80 88 443 7001 8000-9000 9200等等

收集出来的信息如下:

记一次简单的内网刷分

然后写脚本拼接成url,用工具来刷分

拼接如下:

记一次简单的内网刷分code如下:

#author:想学点black技术#time:2021年3月2日11:33:51#环境:python3def get_ip_port():with open("ip+port.txt", mode='r') as f:lines = f.readlines()for line in lines:try:ip, port = line.split('t')[0], line.split('t')[1].strip()url = 'https://' + ip if port == 443 else 'http://' + ip + ':'+ port等等如网络设备,安全设备,域内共享,路由,策略等等后期:内网刷分,凭据窃取万能弱口令-刷分部分截图:result.add(url)except Exception as e:print(e)# print(url)sava_to_local()def sava_to_local():with open('res.txt', mode='w') as f:for key in result:f.write(key)f.write('n')if __name__ == '__main__':# 散列遍历快、无重复result = set()get_ip_port()

收集包括:

网络设备,安全设备,域内共享,路由,策略等等信息这里就不再赘述了。



0x06 万能弱口令-刷分
部分截图:

记一次简单的内网刷分



0x07 常见web漏洞-刷分

部分截图
如未授权:

记一次简单的内网刷分如海康威视等机型登录绕过可查看监控画面:

记一次简单的内网刷分等等



0x08 常见操作系统漏洞-刷分

工具:railgun
如:最常见的17-010

记一次简单的内网刷分

脏牛提权:

记一次简单的内网刷分




0x09 域凭据窃取-最终目的

目标域服务器:win 2012 R2

特征:无法窃取明文密码,得修改注册表后重启才可

导出HASH:

记一次简单的内网刷分无法解密,逐渐烦躁

记一次简单的内网刷分

利用mimikatz存储凭据(类似键盘记录):

记一次简单的内网刷分

记一次简单的内网刷分

然后,成功拿到了我们想要的密码

记一次简单的内网刷分



0x09 Summary 总结

域渗透的思路就是:通过域成员主机,定位出域控制器IP及域管理员账号,利用域成员主机作为跳 板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主 机IP,设法从域成员主机内存中dump出域管理员密码,进而拿下域控制器、渗透整个内网



END



如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!


或添加NOVASEC-MOYU 以便于及时回复。

记一次简单的内网刷分


感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!


本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!



本文始发于微信公众号(NOVASEC):记一次简单的内网刷分

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日07:41:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次简单的内网刷分 http://cn-sec.com/archives/494334.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: