)
文章介绍了内网渗透的核心思路和技术要点,强调内网渗透的本质是获取域最高权限。详细讲解了信息收集阶段包括webshell本地信息收集、网络环境分析和域信息收集;权限提升的时机和方法;以及横向移动的多种策略,如内网代理、利用共享资源、密码爆破和内网重打等。文章强调了思路的重要性而非仅仅是工具使用,为读者提供了系统化的内网渗透方法论。
前言
你是不是也有过这种感觉:明明照着教程一步步操作,但为什么总觉得差点什么?好像少了点“火花”。那种“成功就在眼前”却又无法触及的沮丧感,是不是太熟悉了?
其实,这正是我曾经遇到的困境。许多教程都告诉你用哪个工具、敲哪些命令,但很少有文章真正去讲“背后的思路”。也就是说,别人是怎么思考每个步骤的?什么时候该做什么操作?这个“思路”才是渗透成功的关键。
01 — 免责声明
本实验仅限学术研究,参与者需遵守法律法规,操作过程中产生的任何风险、损失与本人无关。请确保合法合规使用,避免任何违法行为。第一部分的正文内容从这里开始。
02 — 思维导图
就外部打点来说,技术就那些,能够拿下站点的方式也就那些,这里就不多说了。我们主要来说一下内网渗透这一块的,咱们先来看一下简单的思维导图,总的来说很简单,内网渗透的本质其实就是获取域最高权限,中间不管是用什么办法都是为了获取最高权限。
03 — 信息收集思路
想好了内网渗透的最终目的,就是为了账号密码,到了信息收集这里也就很简单了,也是为了找账号密码,当然还有网络环境,判断当前机器所处环境。当拿到了一个webshell后,一定要把这个webshell的价值榨取干净
1.webshell本地的信息收集
webshell本地的信息收集一般包括:
基本的信息:IP地址(当前shell所处网络环境)、当前shell权限(决定是否需要提权)、系统版本(判断是linux还是windows)、系统进程(判断是否安装杀软、EDR)、安装的软件(判断是否安装杀软、EDR)。
这里主要看下安装了哪些软件,关注下用的什么杀软和EDR,在后面做操作需要规避杀软和EDR。
密码:这个就很重要了,这里就会想,哪里有密码,有哪些密码,带着这些疑问,就会去找对应的文件。
这里大概就理一下:数据库里面的密码、软件里面的密码、系统密码(这个需要取dump),浏览器记录密码。
这里就会去找对应文件:网站配置文件,比如iis配置文件(里面包含数据库账号密码,有些网站源码里面也有账号密码,要仔细看);安装软件的配置文件,例如VNC,mobaxterm,kepass等等(这里就要去分析安装了哪些软件,需要仔细分析配置文件,有些还需要解密);浏览器的
2.网络环境分析
对网络环境的分析主要是对当前webshell所处的环境有大大概的了解,针对不同的环境,后续的操作都不一样,先要有个大体的判断。一般内网有几种网络结构:
- 所处环境直接在核心区。(这种情况最安逸)
- 所处区域为DMZ里面,但是有部分机器可通核心区。
- 所处区域为工作组,可通DMZ部分区域、DMZ部分机器通核心区。
基本上以上信息通过对域的信任域信进行信息收集可以大体判断出来,当前是在核心区还是DMZ区域。
3.域信息收集
域信息收集很简单,就几条windows自带命令:
域机器信息:net group “domain computers” /domain
域组信息:net group /domain
域用户信息:net user /domain
信任域信息:nltest /domain_trusts
域管理员信息: net group “domain admins” /domain
域控信息: net group “domain controllers” /domain
04 — 权限提升
收集完一些信息过后,基本上可以判断需不需要提权,并不是所有的情况下都需要提权的,毕竟提权过程容易受到杀软和EDR的照顾
本人觉得以下情况可以暂时不考虑提权:
- 系统是windows情况下,收集到的账号密码,足够进行横向渗透,可以暂时先不考虑提权。
- 系统是linux情况下,可以不用考虑。
这里可以推荐看下这篇文章,介绍了大部分的提权方式:
https://www.cnblogs.com/sfsec/p/15162635.html
05 — 横向移动
记住我们的最终目的,还是找到域的管理权限,到了这一步,说明通过简单的信息收集并没有找到相应的权限。一般需要进行以下的操作了:
1.首先需要代理内网(简称内网穿透)
内网穿透一般又分为正向代理和反向代理,工具有很多就不介绍工具的使用了,可以在下一篇介绍。
正向代理工具:Neo-reGeorg。
反向代理工具:frp,sockes等等。
2.有域账号密码,但非管理员情况
通过smb连接,看域内其它机器开放的共享,特别是域控和文件服务器的共享,linux和windows都可以看,命令不一样而且,运气好的情况这里就能直接找到域管理员账号密码。
特别注意的点:
- 在域控的共享下,有个目录“\sysvol\域名”,里面有一些bat脚本和xml文件。
- 主要关注一下脚本文件、xml文件、txt文件,配置文件,总之一切可能存在密码的地方。始终不能忘了自己目的。
3.有本地管理账号密码或者域账号有部分机器权限情况
还是一个目的,为了搞更多的账号密码。使用该密码爆破其它域内机器(一般密码都一样),登录其它机器取内存,抓取密码,总有一台有域管理员在。
当然这其中会用到很多技术,例如远程执行命令,dump lsass等。
4.以上啥都没有情况下(最糟糕的情况)
这里想想啥都没有,还能干啥,只能把内网当外网再打一遍咯,不过内网端口等会开很多,打下来概率很大。这里当然又会用到很多工具,fscan类似,可以扫描端口,又能扫描漏洞,不过在防护较严的内网容易被发现。
一般操作流程:
- 扫描内网端口:扫描些常见的端口即可,例如:80,443,8080,389,8443,7001,7002,1433等。
- 打内网网站:通过端口扫描结果,又像外网一样打一次。
- 获取到另外一台机器权限后,重复以上所有操作。没错,就是这样。
06 — 总结
这篇文章,字数较多,能看到这个地方的给你点个赞,都看到这个地方了点个关注呗。
学习资料
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
从零到精通完整闭环:基础攻防→渗透测试→应急响应→CTF实战,5大模块200+课时,比大学教材更贴近企业实战!”
- 涵盖渗透测试案例分析与实战技巧,直接对应面试真题;
- 包含CTF竞赛基础与HW行动攻防对抗实录,丰富你的简历项目经验;
- 深入十大安全漏洞与利用技巧,掌握这些高阶技能,实战SRC挖洞赚钱。
🎁实战教学,专属靶场:掌握这些高阶技能,谈薪更有底气。无论你是找渗透测试岗还是安全服务岗,这些项目都是加分项。
👇扫描下方图片,补齐实战短板,拿下心仪Offer:
