信息收集

目标是某特殊机构,外网结构简单,防护严密。经探测发现其多个子机构由一家网站建设公司建设。 对子域名进行挖掘,确定目标ip分布范围及主要出口ip。 很多网站主站的访问量会比较大。往往主站都是挂了CDN的,但是分站就不一定了,所以可能一些分站就没有挂CDN,所以有时候可以尝试通过查看分站IP,可能是同个IP或者同个站。shodan.io ,fofa.so、 MX 及 邮件。mx记录查询,一般会是c段。 一些网提供注册服务,可能会验证邮件。 还有RSS订阅邮件、忘记密码、利用crossdomain.xml的跨域设置特性,域传送漏洞等。 也可以通过ssl证书进行域名探测,使用censys.io判断是机房还是公司机构。

真人公司ip归属段。通过公网判断目标是否存在内网。我个人认为这个比较重要:

漏洞利用

在此说明一下,不方便截图,今天我来和大家分享一下这个渗透思路。这个公司供应商,我们要搞的是供应商的其中一个客户。

对子域名进行模糊探测,可以使用常见扫描器进行轻扫描。确定其服务器类型,使用脚本类型,常用cms。 发现一个文件包含,通过phpinfo获取网站跟目录及ip,经过检测发现该系统有任意文件读取漏洞。利用这个漏洞获取linux常见配置文件,web数据库配置文件。通过读取各类配置文件密码组合生成字典,爆破主站管理、ssh、FTP 及找到的各种登陆口,从FTP上传php脚本目标,拿到shell。

横向渗透

先确定获取的服务器所在网络位置有无内网,从数据区读取管理员账号密码,其他配置文件及备份文件,发现xxip登陆频繁。(拿到shell第一时间是信息获取) 该ip处于子域名另外一个网段,通过主站做代理,登录xxip机器,该主机有存在内网ip,处于内网边界处。

代理:绕过防火墙及包过滤、协议过滤防火墙做代理及端口转发几个方式:系统自带,ssh iptables netsh第三方: lcx ht socks phpsocks metasploit reg ew在找到内网入口注意几点: 1 不要第一时间进行深入 2 要第一时间巩固入口权限 3 获取和分析这台机器的数据和在网络中的作用 4 分析管理员的登录习惯,避免与管理员同时操作 5 制定下一步的工作目标。 6 开始做代理通道进行横向扩展。(能不做代理就不要做代理) 通过代理,本地打开邮件服务器管理登陆,管理所有通讯邮件,备份出邮件服务器数据,本地恢复分析出该公司与客户的通讯信息。

内网渗透

在内网机器中搜索信息进行横向移动,组合字典爆破内网机器。在内网机器上翻阅相关文件及以控制数据库中可能存储配置口令(别忘了回收站),服务器当前所在网段的所有主机端口,服务器ARP缓存,服务器上的服务,内网中其他HTTP服务。

下载mstsc文件,查看登录记录。通过cmdkey /list 查看本地保存的登录凭证。

内网渗透:

1 想要获取的目标信息:邮件服务器,文件服务器,人员数据。

2 关键用户凭证:域管,it管理员,默认管理账号。

3 关键计算机:连接各个网段的机器。

4 内网机器后门:域管,it管理员等管理账号经常登录的机器。

域渗透:

1 获取域信息(域管,邮件服务器,文件服务器)。

2 尝试抓取域管账号密码。

3 利用普通域用户提权到域管理员。

4 利用ms17010永恒之蓝获取用户帐户密码。

5 导出域hash,为以后再次进入做准备。

6 尝试找出该机构vpn账号密码和登录口。

工作组渗透:

1 尽可能获取机器的默认管理账号密码。

2 利用ms17010永恒之蓝获取用户帐户密码。

3 尝试找出该机构vpn账号密码和登录口。

补充:

内网再次准备:上远控,找vpn,出口webshell。

通过内网渗透控制该公司,掌握与该公司目标客户通讯渠道,邮件等。

权限维持:

1.通过数据流建立隐藏webshell,设置权限防改防删,端口复用 建立万能后门(iis apache tomcat)

2.dns/icmp/http远控,对windows/linux权限维持,windows马无进程无端口

3.挖掘源码漏洞,修改源码及备份文件加入已知后门或建立有漏洞文件,并建立不死文件

4.域渗透金钥匙,控制域内机器

5.msf persistence/metsvc模块

6.powershell脚本

进入目标客户的方式:

1 通过系统更新渠道推送马

2 通过客户登陆的WEB服务页面定向挂马(过滤来源IP)

3 通过管理页面挂马,马的使用 炮灰马 大量撒网挂马, 长期控制隐蔽马

4 远程维护,很多企业要给客户开内网权限进行系统维护

5 代码审计发现系统通杀漏洞

由于我们这次的目标是迂回渗透,对该公司的资料不感兴趣。如果要是需要大量文件(5g以上)就需要文件回传。(例如科技公司的研发文件服务器)。

文件处理:

1 文件筛选:把文件的目录树取回来,分析需要的文件目录。

2 文件回传:文件分卷加密压缩,多台内网机器进行ipc多层中转,本地组建拖文件集群,每个IP回传一定大小文件,哈希校验,边传边删,本地解压重建。

日志清理:

由于我的习惯,我操作的我自己清理,大部分都是文件,简单的清理,动作也不大。估计是我对自己有信心二次进入吧。

总结

内网渗透注意事项:

扫描

远程登录

爆破

溢出提权

能手工尽量不用工具,能不使用交互模式尽量不用交互,能不上传文件尽量不要上传,能一把菜刀cmd命令行下解决的就不要用其他的。

APT 信息收集——shodan.io ,fofa.so、 MX 及 邮件。mx记录查询。censys.io查询子域名。的更多相关文章

  1. Kali Linux渗透测试实战 2.1 DNS信息收集

    目录 2.1 DNS信息收集1 2.1.1 whois查询3 2.1.2 域名基本信息查询4 Dns服务器查询4 a记录查询4 mx记录查询5 2.1.3 域名枚举5 fierse 5 dnsdict ...

  2. ★Kali信息收集~4.DNS系列

    ★.1host:DNS信息 参数: 一般情况下,host查找的是A,AAAA,和MX的记录 案例: DNS服务器查询  host -t ns 域名 A记录和MX记录查询  host 域名(host - ...

  3. DNS信息收集工具dig使用

    Dig是域信息搜索器的简称(Domain Information Groper),使用dig命令可以执行查询域名相关的任务 常见域名记录: A(主机记录 把一个域名解析成IP地址) C name(别名 ...

  4. 信息收集-DNS

    首先更正一个小白很普遍的错误观点,www.baidu.com(严格上是www.baidu.com. 这个点是根的意思,所有的记录从这里开始)并不是一个真正意义上的域名,而是百度服务器的A记录,baid ...

  5. DNS详解: A记录,子域名,CNAME别名,PTR,MX,TXT,SRV,TTL

    DNS DNS,Domain Name System或者Domain Name Service(域名系统或者域名服务).域名系统为Internet上的主机分配域名地址和IP地址.由于网络中的计算机都必 ...

  6. Web信息收集之搜索引擎-Shodan Hacking

    Web信息收集之搜索引擎-Shodan Hacking 一.Shodan Hacking简介 1.1 ip 1.2 Service/protocol 1.3 Keyword 1.4 Cuuntry 1 ...

  7. 小白日记4:kali渗透测试之被动信息收集(三)--Shodan、Google

    搜索引擎 公司新闻动态 重要雇员信息 机密⽂文档 / 网络拓扑 用户名密码 目标系统软硬件技术架构一.Shodan Shodan只搜网络设备.很多设备并不应该接入互联网,却由于本地网络管理员的疏忽和懒 ...

  8. [信息收集]11种绕过CDN查找真实IP方法【转载】

    今天在看一些有关CDN的文章的时候,发现一篇写的蛮好的文章,故转载过来. 原文链接:https://www.cnblogs.com/qiudabai/p/9763739.html 0x01 验证是否存 ...

  9. 菜鸡试飞----SRCの信息收集手册

    whois信息 微步在线 https://x.threatbook.cn/ 站长之家 http://whois.chinaz.com/ dns信息-----检测是否存在dns域传送漏洞 子域名的收集 ...

随机推荐

  1. jQuery prop方法替代attr方法

    jquery attr()方法获取标签的 checked 会有问题,所以用了 prop() 方法.

  2. idea修改maven项目名

    1.修改pom.xml中相关 <artifactId>seal-hn</artifactId><name>seal-hn</name><descr ...

  3. vim、vi 快捷键

    普通模式 移动光标 nj.nk 上下移动n行 nb.nw 前后移动n个单词 nh.nl 左右移动n个字符 L 移到屏幕的最后一行 M 移到屏幕的中间一行 H 移到屏幕的第一行 nG 移到文件第n行 G ...

  4. (CSDN 迁移) JAVA循环删除List的某个元素

    若列表中只可能存在一个则可以用简单的循环删除,不多说. 若列表中可能存在多个,尤其是可能有多个连续的需要删除,用简单循环有可能发生异常. 需要使用迭代器(Iterator),两种具体实现: 逻辑上是一 ...

  5. Linux下将.Asp Core 部署到 Docker容器中

    我们来部署一个简单的例子: 将一个简单的.Aps Core项目部署到Docker容器中并被外网访问 说明: 下面的步骤都是建立在宿主服务器系统已经安装配置过Docker容器,安装Docker相对比较简 ...

  6. 一个基于tcp的socket简单对话小例子

    首先我们需要写连个py文件,一个server,一个client. import socket sk = socket.socket() # sk.bind(('ip',port)) sk.bind(( ...

  7. 《算法图解》全本PDF下载附百度云链接

    作者使用Python和图画来解释算法,找了好久才找到PDF版本,末尾附百度云链接~ 作者[美]Aditya Bhargava 译者袁国忠 类别 出版 / 非虚构 出版社人民邮电出版社 / 2017-0 ...

  8. Python知识点总结篇(二)

    列表 列表:一个值,包含多个字构成的序列,用[ ]括起来,[]是一个空列表,不包含任何值,类似于空字符串,负数下标表示从后边开始,-1表示列表最后一个下标,它是一种可变的数据类型,值可以添加.删除或改 ...

  9. 使用adb命令对移动设备截图

    步骤: 1)   首先要进入CMD窗口,命令行模式,连接设备. 2)使用screencap 命令,对安卓设备的当前屏幕进行截屏,示例: adb shell screencap -p /sdcard/0 ...

  10. golang 之 sql

    golang提供了sql包查询数据 建立连接 导入第三方包 import( "database/sql" _"github.com/go-sql-driver/mysql ...