当我们打点成功后,进开始进入了内网渗透的开端,弄清楚内网情况非常重要,想到可以从失陷机器、内网环境、漏洞挖掘、善后等几个阶段开始,但所有的工作其实都围绕着渗透测试的目标进行的,这里假定目标就是尽可能打穿整个网络,获得更多的权限。
当打点成功也许也是暴露自身的时间点,怎样快速的让自己在点位上稳住,不被发现,就是第一个需要考虑的问题
echo Hello> > index.php: hidden.jpg
dir /r #显示文件的备用数据流
del index.php # 删除原始文件即可删除
进程隐藏
将后门程序(如DLL)注入到已运行的服务中(如IIS worker进程)无文件落盘,虽然隐藏了,但由于其宿主进程可能随时重启,导致掉线
后门
sethc 是windows系统在用户按下五次 shift 后调用的粘滞键处理程序,当有写文件但是没有执行权限
时,可以通过替换 sethc.exe 的方式留下后门,在密码输入页面输入五次 shift 即可获得权限
映像劫持
定时任务
登录脚本
隐藏用户
MOF 是 Windows 系统的一个文件(c:/windows/system32/wbem/mof/nullevt.mof )叫做” 托管对象格式”,其作用是每隔五秒就会去监控进程创建和死亡。
权限判断,基本信息获取,操作系统版本及补丁情况 查找可以提取的poc
查询开机自启动/定时任务程序,看看是否有权限设置不当,可以在当前权限下修改的
查询普通程序,看看是否有权限设置不当,可以在当前权限下修改的,当用户使用高权限运行这个程序后,就会导致权限上升
基础信息
主机名
系统版本;
补丁情况;
网络信息,内网网段,路由信息,可访问内网地址范围
安全策略
登录的密码策略,如果已经是很强的域统一下发的策略:如密码长度8位,字母大小写和数字,3个月换一次 ,大概率不需要在测试123456这样的密码,除个别未加入域的机器还有可能
判断是否开启了防火墙和定期的补丁自动更新 ,进而判断接下来是否要进行端口扫描
安全软件
是否安全了杀软
是否安装了EDR产品
是否安装了HIDS
是否安装了DLP
在渗透过程中,任何的安全产品都可能导致报警,最终暴露自己
敏感软件/文件
票据信息
cmdkey /l
klist
office 相关文档 doc,ppt,txt,md
有道笔记 印象笔记 密码软件等等
配置信息 vpn,ssh,ini,rdp连接记录, 浏览器保存的密码
程序源代码 php,jsp,python 一般包括比较敏感的登录信息
使用fpr 打通内外网,如果没有公网IP, 防止被发现可以使用nkn来实现匿名化
hash传递测试
查找内网其他服务漏洞
查找内网搞权限账号如IT管理员,运维人员机器
被动等待管理员登录失陷主机,抓取密码