内网渗透中常见的几个问题

访客4年前黑客文章503

  文章没有太多的技术含量,纯属胡言乱语加装逼,有些已经不适用现在的环境,所有的 *** 均经过实际环境的验证并有效实施,并不适用于所有的环境,纸上谈兵,各位当故事看看即可,仁者见仁,智者见智。

  1、防火墙穿透

  2、木马免杀穿透

  3、内网信息收集及目标定位

  4、关于文件下载

  渗透,顾名思义已经获取到目标的部分权限,需要进一步扩大战果了,这里会遇到各种各样的问题,

  比如信息收集,比如目标的查找,比如文件下载的方式,比如等等

  12345

  首先说防火墙穿透,现在的业务环境各种ids,各种ngxxx,各种waf,isa策略,各种牛逼的杀毒带防火墙一体的软硬件,websense,bluecoat为代表的网关,策略上最基础的就是黑白名单,这种是目前各大杀软厂商和waf厂商常用的。

  针对黑白名单的策略,首先是查找可信任的白名单ip,最简单有效的信任机制是各大软件服务商的域名及ip列表,比如微软,google,adobe,Yahoo,各大杀毒软件厂商以及一些系统升级的镜像源,

  如果一些信任厂商提供二级甚至三级域名服务,那么只需申请该厂商的域名即可,代表性的有早期的yahoo提供二级域名和三级域名申请,现在的google同样提供域名申请。如果需要木马上线域名配置,上线域名使用此类域名,即可绕过黑白名单机制。

  另外一种情况仅仅是针对价值更高的目标,也可能需要长久的控制目标,此时需要提前入侵一些大的软件和系统服务商,以次类机器作为上线或者反弹跳板,如windows系统升级服务器,adobe系统升级服务器,ibm 中间件升级服务器,windows邮件服务器,第三方杀毒软件厂商升级服务器等等。

  同时可以考虑入侵防火墙,路由和 *** 服务器以及f5设备,f5设备的成功率之高你永远都想象不到,永远不要瞧不起弱口令这种看起来没有技术含量的问题。通过此类设备创建ssh正向或者反向 *** ,可以藐视90%的防火墙设备。

  另外一点是内网之间的相互访问,如域间的信任关系,工作组和工作组之间的信任关系,跨vlan等。

  apt之类的,已经用烂的手法,大家也都天天听的耳朵起茧了,就不多逼逼了。

  之一种地球人都知道的就是通过入侵一些网关路由和边界设备,来进行内网间的突破,如查找内网proxy server,http proxy,sharepoint服务器,oa,项目管理平台,内网邮件服务器等,还有一种可能大家不常用到的方式是通过共享打印机来创建proxy,此 *** 仅限于hp的几种型号的打印机,通过共享打印机来创建proxy server,实现工作组和vlan之间的相互访问。

  对于木马的免杀和上线,这里只举几个简单的例子,大家可以根据自己的实际环境来进行操作。

  1、传统的免杀无外乎加花混淆加壳,这种的难度大,并且随时被k,这里介绍一种可能大家也都用烂的 *** ,考虑到很多人可能还没用过,就逼逼两句。

  杀毒软件除了杀特征还要检查文件的签名,这个时候加载各种正常的签名,如支付宝的签名,a3,安博士的签名,基本上杀毒软件就哑巴了,所以各种撸站侠在平时撸站的过程中注意积累,有牛逼的签名记得下载回来。

  2、杀毒软件也会累,小文件随意检查,大家为隐蔽性往往会把木马的体积做的很小,殊不知,这样反倒是弄巧成拙,大、大、大、大、大、大,对,做大,木马的服务端一定要做的足够大,你问我多大?300兆往上的做,不开玩笑,用空字节填充,能做多大做多大。

  关于上线,大家为了木马上线也是绞尽脑汁,各种 *** ,各种尝试,这里说几点以前用过的方式,有些现在还有效,有些可能已经失效,只做个人 *** 总结,勿喷。

  1、通过邮箱上线和控制,这一点最早是darkmoon使用的方式,服务端通过公共邮件服务器上线,接受指令进行操作,同时传回执行结果。

  3、通过https上线,这一点在cobalt strike的beacon里面有充分的体现。

  4、通过p2p协议,这样一方面可以实现木马的内网穿透和防火墙穿透,另外可以随时找到可以上线的机器作为控制端,不过目前很多工具都封锁了p2p,这种上线方式已经不再适用。

  5,通过sshagent方式上线,针对特定的环境,给木马服务端加上sshagent功能,可以实现防火墙穿透上线。

  1、传统的扫描,扫描也分两种,一种是会触发ids的,一种是不会触发ids的,控制扫描的频率和速度,可以大大降低被发现的风险,针对windows机器,可以考虑用wmi脚本和powershell脚本进行扫描,低频扫描可以很容易的绕过ids的规则,同时可以考虑使用内网管理工具使用的相同协议进行扫描探测。

  2、xss,uxss进行内网信息收集和探测,不管使用何种方式,让目标触发我们的脚本代码,获取到目标的信息。

  3、邮件定位,伪造一封让目标会回复的邮件,通过回复邮件查看原始邮件头,获取到目标的信息

  可能有人会说既然能让目标访问我们的脚本和回邮件了,干嘛不挂马,这个问题我不多说了,给你一个微笑,自己慢慢体会。

  文件下载,也分为两种,一种是一锤子买卖,下完 *** 都不擦走人的,一种是细水长流,慢慢下载的。

  之前sony事件的时候有大神提了各种神乎其神的下载文件的方式,我只回了个呵呵,因为一看就不是练家子,理论知识大于实践的,肯定没去工地搬过砖。

  1、一般的撸站侠都喜欢在夜深人静的时候或者非业务高峰期下载文件,目的是为了避开管理员的火眼金睛,其实这样真的是大错特错啊,非业务高峰时段,路由日志显示带宽一下子跑到几百兆,你看了你不蛋疼?所以,更好是在业务高峰时段,带宽流量非常大,你那几十兆几百兆甚至几个g的流量对于一天几十上百g的流量公司来说,九牛一毛都算不上,没人会注意的,完全淹没在噪声里了。

  2、之前大神说过,可以ddos目标,然后流量大的时候去下载文件回来,所以我说大神肯定没去工地搬过砖,撸站侠们都知道,撸站的时候最恨的就是正在撸的时候目标被人ddos了,整个目标的带宽都被占完了,下载文件回来就是个笑话,所以这种的就不要信了,当笑话听听就好了。

  4、文件多,持续更新的,就需要细水长流的下载了,这个时候就需要考虑隐蔽性了,有时候文件比较大,分包压缩是肯定的,这大文件在硬盘上必然比较显眼,所以需要把文件分散转移,放在哪里也是一门学问,对于有公司办公 *** 的,推荐放在更新服务器上,或者文件服务器上,一个是正常的链接通讯,不容易被管理员怀疑,另外一方面这些服务器的空间都比较大,放在上面不会特别突兀。 还有一种比较好的存储就是共享打印机,一般的打印机都有2-4g的存储空间,通过这些打印机存储可以长时间存储不被发现,文件下载的方式可以考虑https,sftp等方式进行下载。

  最后说一点,能命令行千万不要gui,不是为装逼,只是为了减少触发waf和ids报警的几率。如通过webshell访问数据和console下面通过tsql访问数据库触发的规则是完全不一样的。

  以上的逼逼叨纯属吹牛逼,切勿信以为真。

  【原文:渗透逼逼叨作者:Sh@doM 】

相关文章

内容记录怎么恢复查看 高手帮帮我查我女朋友的微信聊天记录

内容记录怎么恢复查看 高手帮帮我查我女朋友的微信聊天记录 今天小编的网站突然打开缓慢,检查发现服务器正在进行高速内网传输数据且网站打开缓慢!如下图: 本来小编以为受到了攻击导致服务器信...

lol云顶之弈10.9波比六法站位详解 波比六法装备解析

lol云顶之弈10.9波比六法站位详解 波比六法装备解析

云顶之弈10.9波比六法怎么站位呢?用什么装备呢?很多玩家都不清楚,下面小编带来一篇云顶之弈10.9波比六法站位详解 波比六法装备解析。 1.英雄推荐 阵容:波比(优3)+卡牌(优3)+佐伊(优3...

蚂蚁庄园8月25日今日答案最新 苹果和冬枣哪个维生素C含量更高?

大家日常吃的水果很多,那么哪些水果富含维生素c呢,除了大家知道的橙子,其实还有其他水果富含维c哦。蚂蚁庄园8月25日庄园小课堂的问题是【小鸡宝宝考考你,以下哪种食物的维生素C含量更高】,大家知道正确答...

抖音视频播放量低,没有播放?原来是这些原因导致的

抖音视频播放量低,没有播放?原来是这些原因导致的

有人说,抖音是目前最低成本的营销平台,也是最后的流量洼地。 如果你也跟我一样,跟很多想要做和正在做抖音的人群有接触,你一定对以下的问题很有熟悉感: 最近抖音是不是限流了,我之前的视频播放都...

GAI他需要你就像我需要你一样-GAI跟王斯然为什么

在Gai没上综艺新生日记时,大家都认为GAI就是个粗犷的大爷们,一个“没感情”的rapper,所以当GAI和老婆撒狗粮腻歪的时候,网友啪啪打脸。这还是我们认识的GAI吗?当然不是,是王斯然的专属奶GA...

古莲花池(古莲花池景点介绍)

古莲花池(古莲花池景点介绍) 在国家历史文化名城河北省保定市区直隶总督署对过,有一座风光优美的园林,这就是中国最美十大园林之一的古莲花池,它和北京的圆明园、颐和园成为中国最美十大园林中长江以北仅有的...