0x00 前言
在内网渗透中,攻击者通常通过控制内网主机,以跳板的形式进一步横向扩大攻击面。本文通过实际工具推荐与思路分享,旨在为初学者提供指引。
0x01 设置代理
首先,建立内网穿透代理隧道,将目标内网流量代理到本地,暂时成为目标内网的一部分。
- 使用 frp 进行内网穿透,通过 socks5 代理实现流量代理。
- 使用 Neo-reGeorg 或 reGeorg-master 生成代理脚本上传至 web 端,执行命令建立代理。
连接建立好的代理后,可使用 Proxifier 连接本地代理,实现对内网流量的访问。
0x02 横向移动
一. 常用方法
现代自动化横向移动工具提供了自动化爆破、指纹识别、网段存活检测、杀软绕过、目录扫描、提权等功能。
- 使用 InScan 进行目录扫描、爆破、字典生成和指纹识别。
- 使用 Viper 集成杀软绕过、内网隧道、文件管理等基础功能,具备自带的 Metasploit 模块。
- 使用 fscan 进行主机存活探测、端口扫描、常见服务爆破、漏洞扫描等功能。
二. 信息收集
进行信息收集,包括本机信息和域内信息,通过探测、扫描和查询获得目标网络的详细信息。
判断是否存在域:
<code>ipconfig /all # 查询本地网络信息 systeminfo # 查询本机信息 net config workstation # 查询当前登录域</code>
- 域内存活主机探测:
- 使用 netbios 快速探测内网。
- 使用 nbtscan.exe 进行 netbios 探测。
- 利用 arp、icmp 和 scanline 工具进行内网探测。
- 域内端口扫描:
- 获取端口的 banner 信息。
- 识别端口上运行的服务。
- 使用 telnet 进行主机端口探测。
0x03 横向移动之凭证窃取
凭证窃取技巧
攻击者通过凭证窃取技巧实现内网横向移动,获取目标权限。
Mimikatz: 利用 Mimikatz 从 lsass.exe 进程中获取明文密码。
<code>mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"</code>
Procdump: 使用 Procdump 转储 lsass.exe 进程到本地,再使用 Mimikatz 抓取 hash。
<code>procdump64.exe -accepteula -ma lsass.exe lsass.dmp</code>
Getpass: 使用 Getpass 工具获取明文密码。
Powershell 脚本抓取: 利用 Powershell 脚本抓取密码,可使用 Get-PassHashes.ps1。
Sam 破解: 使用注册表离线导出 Hash,再使用 Mimikatz 或 impacket 解密。
进行内网横向移动时,要重点关注提权和权限维持,如组策略首选项提权、UAC 提权、计划任务提权等。
注意: 操作过程中应特别小心,确保符合法规和道德规范。遵循合法授权,仅在合法环境下测试和学习。
暂无评论内容