前言
大家好,这里是 渗透攻击红队 的 RedTeam 系列文章,我是 saulGoodman ,本文仅用于技术讨论与研究,如因此产生的一切不良后果与文章作者无关!
相信很多人关注我的公众号都是看我写一些内网渗透的文章才认识我:
无域用户下的内网域渗透,在一个庞大的内网里如何进行内网渗透?
一次在工作组的内网里渗透到第三层内网【从 0 到 1 打穿所有内网机器】
一次利用 Metasploit 进行特权提权,再到 2500 台主机的内网域渗透
从外网 log4j2 RCE 再到内网核弹组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC
一次完美的内网域渗透,如何找到最有效的攻击路线,进行精准域内打击
为了帮助哪些内网渗透不是很熟悉、想要深度学习内网渗透的兄弟们,我打算继续开启培训,这一期只专注做内网渗透的培训。
试看视频大家可到哔哩哔哩去观看:https://space.bilibili.com/481401583
这一期内网渗透培训重点教:如何在内网里更隐蔽的渗透,从而绕过一些防护设备、如何在内网里精确的获取我们想要的机器、文件、人物信息、如何在内网里长期潜伏并且实施进行长期后渗透。
以下是整个培训的目录,有想法的兄弟可以在文章末尾联系我!
定位每一台域机器对应的 IP 是多少
当我们通过常规 Web 信息搜集,搜集到了目标的一堆子域名,并且成功打进了目标内网后,为了确定内网里每一台域机器对应的 IP 是多少,首先可以提取当前域内完整 SPN 记录, 排序去重后过滤出机器名列表:
setspn -Q */* | findstr "CN=" > C:windowstemphost.txt
然后本地 linux 去过滤得到机器名:
awk -F "," '{print $1}' host.txt | awk -F "=" '{print $2}' > hosts.txt
最后来到当前 Windows 跳板机器上循环 Ping 得到机器 IP:
c:windowstemp>cmd /c for /f "delims=" %i in (C:windowstemphosts.txt) do @ping -w 3 -n 1 %i | findstr /c:"[1" >> C:windowstempfinal.txt
这样就确定了每一台机器对应的 IP,若想要控某一台机器那就很方便了!
大家要知道在内网里乱横向信息搜集、乱扫描是毫无意义的!且容易被发现导致送人头,在这里可以把之前外网渗透时搜集到的目标子域名进行内网 host 碰撞,这样能够精确的知道每一台机器对应的是什么系统!
host 碰撞获取内外网对应资产
为了更好的定位内外网的资产对应关系,可以使用 win 自带的命令来帮我们获取:(Ping 的到的 IP 不一定就一定存活)
for /f "delims=" %i in (domain.txt) do @ping -w 1 -n 1 %i | findstr /c:"[10." /c:"[192." /c:"[172." >> out.txt
就这样我成功的掌握了当前内网里大部分机器 IP 对应的外网资产到底是什么系统,这样就很清晰的知道目标是什么什么了。
当然我也搜集了一些其他信息,通过扫一个 B 段哪些机器开放了 53 端口的 DNS ip,接着就可以拿着这些 ip 进行暴力枚举,具体能找到多少,需要看字典,枚举完成后会自动存到 csv 搜集 当然也可以通过工具:(如果当前机器出网的话也会枚举出公网 IP,个人建议找一台不出网的机器使用)
dnsbrute.exe -domain aaa.com -dict domain.txt -rate 1000 -retry 1 -server xxx.xxx.xxx.xxx:53
这样我又成功的拿到了一些内网资产包括一些隐藏资产,知道了这些资产的大概位置,对下一步具体该怎么更高效的搞也是有一定参考意义的,总的来讲,知道这些以后会让整个后渗透过程变得的更有针对性,也不至于搞着搞着就迷失放飞自我了,尤其当内网规模特别大的时候。
DNS 确定每一台域机器对应的 IP 是多少
当然也可以通过 DNS 来提取域内的机器对应的 IP:(前提是拿到 DC)
本次培训只围绕着内网渗透讲,学完保证在拿到一个大型的内网,能够单兵一个人对整个内网有着清晰的渗透思路,并且拿到想要的东西,包括各种内网里的攻击手法(知识星球里是没有的),有感兴趣的朋友可以加我微信私聊:
原文始发于微信公众号(红队攻防实验室):如何定位每一台域机器对应的 IP 是多少
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论