内网面试-1

面试题是从网上罗列出来的，我这里也是简单的回答了一下，当然，对与错也是有待商榷的，有什么不对的地方联系我修改。
1.假如说，在攻防的时候，控下来一台机器，但是只是一台云主机，没有连接内网，然后也没有云内网，请问怎么深入的对这台云主机进行利用？答：钓鱼，水坑攻击。如果是钓鱼的话，可以替换服务器上用到的文件。水坑攻击，这里已经是比较精准的水坑了，毕竟他们自己的网站应该会有内部的部分人员进行访问，比较直接的方式则是在访问网站时，提示如果想要正常访问网站，必须安装 xxx 程序，下载安装。

2.钓鱼上线的主机，如何进行利用？背景是只发现了一个域用户，但是也抓不到密码，但是有域。答：一般也就是先信息收集，探内网的资产哪里有薄弱点，再对症下药，尽量避免使用打到的点进行跳板。

3.在内网渗透中，通过钓鱼邮件获取到主机权限，但是发现内网拦截了 TCP 的出网流量，聊一下这个时候应该怎么进行通信？ 答：从提出的问题来看，应该只是拦截了直连 TCP 的出网流量，要不然怎么获取到主机权限，除非冲锋马是 DNS 通信。那么我们就直接以 HTTP/HTTPS 进行通信即可。4.假如我攻击了一台 17010 的机器，然后机器被打重启了，然后重启成功后，机器又打成功了，但是无法抓到密码，为什么无法抓到，这种情况怎么解决这个问题？答：至于为什么无法抓取密码，是因此我们常规的密码抓取都是抓取 lsass.exe 进程的内存，但是由于重启的机器是没有用户进行登录，因此 lsass.exe 中没有任何凭证。可以通过 sam，system 的方式，获取当前机器本地用户的 hash 值。5.内网拿到了一台 MSSQL 机器的权限，但是主机上有 360，一开 xp_cmdshell 就被拦截了，执行命令的权限都没有，这种情况怎么进行绕过。 答：众所周知，MSSQL 的命令执行有三种基础方式，xp_cmdshell、sp_oacreate 和 CLR。既然 xp_cmdshell 被拦截，那么选择另外两种执行就好了，特别是 CLR。6.什么是 MSSQL 的存储过程，本质是什么？为什么存储过程可以执行命令？ 答：存储过程就是 SQL Server 为了实现特定任务，而将一些需要多次调用的固定操作语句编写成程序段，这些程序段存储在服务器上，数据库服务器通过程序来调用。默认情况下，MSSQL 内嵌了好多个存储过程。由于存储过程支持将编译好的 .NET 程序存储在 MSSQL 中，用到的时候才进行调用，因此它是类似于插件的情况，因此可用于执行命令。7.如果想通过 MSSQL 上传文件，需要开启哪个存储过程的权限？ 答：说实话，这个问题我不是很懂，但是我平时都只是使用未被降权的 sa 用户，通过开启 sp_oacreate 存储过程，就可以用于上传文件的操作。8.如果只有用户的 hash，怎么进行 3389 远程登录？答：如果目标机器在 Server 2012 以下系统，则默认可以使用受限模式连接，也就是 /restricteAdmin 参数进行连接。如果是 Server 2012 以上系统，需要修改注册表后才可以使用受限模式连接。如果未开启受限模式，则需要通过其他远程执行方法开启。9.内网文件 exe 落地怎么去做，用什么命令去执行来落地，如果目标主机不出网怎么办？ 答：这个是需要根据目标所在的位置及权限获取的方式进行判断，如果是如果仅仅是拥有一个 cmd 的命令执行条件，那么可通过 Windows 自带的下载方式（eg：certutil 和 bitsadmin）进行文件落地。目标机器不出网的话，也可以分为两种方式，假设目标主机与当前操作主机可通信，那么可以在当前主机以 FTP、SMB、Web 的方式提供给目标机器进行下载。要不然就只有 echo 的方式。10.内网渗透中，如果拿到了一套 vCenter 的权限，如何去进一步深入利用？答：如果是非 Root 权限，则需要提权。如果是 Root 权限，则可以去获取 db 文件进行 cookie 的伪造（平时是使用了 vcenter_saml_login 脚本进行伪造），进行前台登录。11.vCenter 机器拿到管理员密码了，也登录进去了，但是存在一个问题，就是内部有些机器锁屏了，需要输入密码，这个时候怎么去利用？ 答：有离线解析快照，获取 lsass 内存，进而解析。有加载 PE 系统，转存 sam、system。也可以热挂载目标系统盘。12.如果被防守方发现，vCenter 的 webshell 权限还在，但是无法登录 Web 控制台了，还有哪些利用方法 答：通过获取 ESXi 的 vsphere-ui 用户权限，可以通过打快照的方式再次获取密码。13.如果目标主机出网，你怎么把目标上的大文件（几百兆到几G大小，源代码或者敏感信息）脱下来。 答：使用压缩工具进行分卷压缩，一卷大概 60-100M，然后通过 FTP、OSS、网盘等工具进行传输。

有一些思路及工具已在星球里分享。

原文始发于微信公众号（RowTeam）：内网面试-1