王健宇's BLOG

内网渗透思路初步总结

2014-5-19 王健宇 日志

我一般来说，内网渗透，首先通过C段或者是收集信息知道某个目标在一个内网，收集信息的话可以从web层面，可以从客户端（我以前就遇到过一个客户端中，有些配置文件，直接存储了一些敏感信息，可以直接连接数据库之类的），然后找到一个薄弱环节进入到内网。（这里就不细说了）
进入内网以后第一步也是收集信息，首先傀儡机开放什么端口什么服务，收集起来以后把系统hash，mysql hash，mssql hash什么的都给导出来解密，这步有些是可以直接抓明文的；然后整理成字典，如果有web，分析web连接的数据库信息什么的有没有连接内网中别的网段，通过内网子网掩码计算出目前这个内网网段的IP范围，通过tracert等命令可以了解到内网上外网会经过哪些内网网段，然后就可以初步判断出内网的结构，运气好的话可以通过弱口令等方法拿到路由器权限，拿到路由权限show-config就可以了解到内网全部结构了；再用nmap扫描1-65535端口开放信息，服务指纹识别内网中开放的服务并记录，用整理的字典加上弱口令字典去暴力破解每个服务(ftp，smb，rdp，ssh，telnet，mysql，mssql，oracle，db2，sybase等)，在傀儡机可以安装个nessus或者x-scan来进行漏洞扫描，比较差的内网就可以直接用ms08-067等工具远程溢出，如果内网其他机器有web也可以尝试把web拿下，可以多在傀儡机硬盘里面翻翻资料，也许有意想不到的收获，还可以使用arp欺骗来劫持其他服务器的网络数据包，挂马控制内网管理员，用户等来扩大战果。最好能搞定内网中的邮件系统，那样可以直接翻每个人的邮件了解到很多信息，如果拿不到只要通过各种方法拿到一个管理员的邮箱可以尝试挖掘个邮箱的xss，通过邮箱xss盗取cookies和挂马，还有好多好多都是随目标的结构来判断的，反正最终目的就是要拿到我们所想要的。

有什么错误的欢迎指正，大家还有什么好的思路也欢迎一起交流。