社工个人电脑到内网渗透系列

admin 7月前 158

0x1 信息收集

收集企业相关信息,公司性质,包含业务,下属公司,年盈利,公司分布,甚至是员工信息。

收集域名及邮件相关信息,收集该公司以及下属公司的域名,二级,三级等域名,收集员工信息,邮件,等。最好将域名分布比较集中地c段也进行扫描。

把收集的信息整理成文档,方便自己和基友查询,能在你大脑中留下印象,对该企业有个大体,初步的了解。知己知彼嘛,然后,然后就日了她。给她高潮,让你享受。

0x2 初步攻击

把收集的站点一个个排查,我常用的方法是先ping 各个域名,然后查询器ip,(其中也许有cdn,这个需要自己排除)把ip和域名整理成列表。大体就能看出其域名对应ip分布,为下一步渗透带来不少便利。

域名和ip都整理好了,就就行各种xxoo,这就是展示你各种yd技穷的时候到了,各种上传,各种注射,这个弱口令,甚至是各种远程溢出。这些都要靠自己长期积累,学习。

0x3 初入内网

当你从dmz或者个人机进入内网的时候,接下来就是高潮前戏,能不能让她性福,能不能给你带来快感,就要靠你的人品+技术+运气+经验。

当从个人机进入内网后,最好将数据代理出来,进行渗透,个人机登录3389什么的比较操蛋,当你进入dmz的时候,可以找台没人用的机器,继续渗透。

0x4 深入内网,高潮不断

现在已经进入内网,想要高潮就要找到域管理员的账号,密码。思路,管理员一般会管理不同的服务器,比如域控,邮件,一些重要的web服务器,一些重要的sql服务器。

从这些web,sql,入手比较简单。常见的web后台弱口令登录,sql弱口令登录。甚至是内网补丁很少的情况下可以试试远程溢出,前提是你又0day才行啊。

0x5 高潮以后,让她平息

你让她性福了,她让你高潮了,剩下的就是让她成为你的人,让你以后继续蹂躏她,还让她对你死心塌地。

拿到域管理员的账号,密码以后,就去域控抓hash,找台2003的服务器抓hash比较好,03以后windows默认采用nt hash 存储hash,对以后hash破解比较操蛋。至于抓hash的工具,要看自己长年累月的积累,更新。

hash搞到以后,剩下的就是种植后门,清理各种记录什么的了。

种植后门建议采用不同的方式,比如webshell,远控,vpn接入什么的。

最后是清理日志,把使用的各种工具清理干净,让管理员觉得从来没有发生过。

下面和大家分享下我和基友群p的经验。

话所某个月黑风高的夜晚,突然基友给我发来了一个站点,说有性趣就一起来日她。刚好闲来没事,就一起上了。(至于目标信息就不公布了。)

把基友发来的站看了下,挺大,全球性的企业。初步估计是域结构,有可能有多个域。

把域名对应的ip,收集整理,收集公司信息,设计业务,下属公司等等。

从收集的站点中找到对应的ip,把ip分类,找到3个主要的ip段,对着3个ip段,c段扫描,渗透,从注射,上传,后台弱口令都没有什么突破。又对其他域名继续渗透,全部没有结果,没有一个web拿下来的。看来管理员是对其做了不少的安全措施啊,还有些站直接是禁止执行脚本的。卧槽,看来管理员还是有点意识的啊。话说从web已经没有什么希望了。走社工吧。

初次牵手

把收集的信息继续分析,整理。打算从销售着手,其下属A公司,销售X产品。去百度了解下X产品的一些性能啊,规格啊。然后联系A公司的客服,说要购买X产品,A公司的客服给了我以后邮箱,说联系B。然后就和B迅速而火热的聊了起来。把购买X产品的事情聊的差不多的时候,还聊了些音乐啊,生活什么之类的。当把配好的马儿发送过去的时候,她说,她的邮箱接收不了,不久看到退信消息,估计对方的邮件网关给拦截。经过测试发现对方的邮件网关比较变态,拦截任何exe,bat,等可执行文件。卧槽,对于没有office 0day的我来说,从邮件发马这条路也死了。肿么办,肿么办啊。。。。先前说我是某公司的采购经理,对啊,把这个公司日了,然后在上门放马也许可行。经过一番折腾,这个公司终于搞定。对那个销售说,由于我们公司的网络出现问题,邮件发送失败。我们公司的网络管理员已经把采购文件放到网上了,请您下载。于是把下载地址给她。过了好久,还是没看见马儿上线,卧槽,你tmd是在逗我啊? 我问她怎么回事,她说她打开了,也很正常。从她的描述来说,她应该运行我们的马儿,而且没有被杀。也许是数据出不来,卧槽,这太尼玛坑了啊。然后问她要了其他几个销售的邮箱逐个社工。终于尼玛有个上线了,一阵激动。一看,卧槽,我和我的小伙伴都惊呆了,原来上线的这个人用的是3g网卡,难怪能上线,也许对方没有对无线网络进行限制吧。运气,十足的运气+人品啊

总算牵到手了,能不能搞上床还的看下面是否坚挺。把她的数据代理出来,对内网进行端口扫描,1433,3389。对扫到的1433进行弱口令猜解,尼玛,没有一个对的啊。。。。然后社工3389(当前可以看到只有一个域,),大概在猜了4-5台以后,还真有台猜进去了,(猜解本地登录的账号,密码)用户名Administrator,密码password,尼玛,这样的运气完全可以去买彩票了啊。这是台web,然后各种抓取hash,密码,没有搞到域管理员的,但是搞到一些权限比较大的管理员。用这些管理员登录其他机器,进一步渗透,终于拿到域管理员的账号,密码。域控神马的一切都不在话下。

尝试初吻

从现在的情况来看,我们拿到一个域,而且机器比较少,从他们公司规模来看,肯定不止一个域。基友从网络管理员的邮件中发现一张拓扑图,发现连接总部的ip,尼玛啊,又是个内网,估计还比较大。这个小心让我小小的心脏又一次激动一番。把那个ip的c段一番扫描,发现有不少开了3389,80,1433,8080神马的。一番xxoo以后,木有搞定。把ip范围扩大,进一步扫描,主要对1433开放的机器进行渗透,终于一番折腾以后,拿下一台服务器。尼玛,又是一番抓hash,抓密码。终于,成功拿到另一个域的账号密码,尼玛不容易啊。让后登录这台服务器,从登录界面来看,果然证实了前面的猜想,多个域。然后使用这个账号,登录tomcat的机器,把tomcat的账号,密码收集,整理,发现其规律。tomcat的账号是admin,密码是password加某些数字。然后社工tomcat,成功拿下几台,从里面抓取hash,成功得到管理员的账号,密码。然后登录域控制,抓取hash。

初吻的甜蜜总是让人迷醉,但是坚挺的小弟弟,总是让你想进一步发展。

现在搞定的域已经有两个了,就叫AA,AB吧,以此类推。现在要搞定的是AC,AD,AE。在搞定的AB域中,登录一台2003的服务器,打开域信任关系,发现AA没有在信任列表里面,AB,AC,AD,AE有信任关系,使用AB域的管理员登录AC域。发现登录不了,说不在远程组,卧槽啊,你这不是坑爹吗,而且是往死里坑啊。

舌吻不断,高潮连连

继续查看信任关系,发现AE域是总域,AB,AC,AD都是其下属域。想办法吧AE域搞定,一切不就ok了。查看AE域的用户,少的可怜,去去十几个,不过好像权限都比较大,看到一个很眼熟,好像在AB域见过,在AB域查找这个账号,果然存在,社工下,万一密码一样呢,岂不是少费不少功夫,直接高潮,就像下了催情药一样啊。想着就爽。把AB域的那种账号hash破解,让后登录AE域,果然进去了,尼玛,这样我就进去了,太容易了吧。然后一阵xxoo,各种hash,密码到手。用AE域得到的账号,登录AC,AD,域,把AC,AD域的hash搞定。

高潮消退,温情犹存

现在AA,AB,AC,AD,AE都已经搞定,内网渗透到此结束,剩下的就是后门的种植。


最新回复 (0)
返回
发新帖