内网渗透-内网横向渗透

0x00 前言

当你获得内网内的一台机器权限后,需要利用现有的资源尝试获取更多的凭证与权限，进而达到控制整个内网、拥有最高权限、发动 APT （高级持续性威胁攻击）等目地,这就是内网横向

0x01 内网横向需要注意的点

当进行内网横向攻击前，需要对可能出现的问题进行预防。

权限丢失

webshell被发现，网站关站，木马后门被发现，主机改为不出网环境等。当遇到这些问题，需要做好应对措施，多方位的做好权限维持。

内网防火墙与杀毒软件

内网防火墙，内网态势感知，内网流量监控，ids，ips等安全设备都会给横向攻击的开展造成很大的麻烦，应对措施有，对传输流量进行加密，修改cs流量特征，禁止大规模内网探测扫描等等。

内网蜜罐主机，蜜罐系统

近年来攻防演练越来越多的防守方启用蜜罐主机，蜜罐系统，一旦蜜罐捕捉到攻击行为，并及时发现和处置，会导致权限丢失，前功尽弃。

运维管理人员

内网横向攻击尽可能与运维管理人员的工作时间错开，尽量避免长时间登录administrator用户，如激活guest用户登录。降低被发现的几率。

0x02 内网信息收集

这部分参考上篇的内网信息收集

0x03 主机横向

收集密码信息、通过rdp和ssh进行主机横向

内网hash/明文密码获取

• mimikatz抓取当前主机用户的hash密码
• 获取rdp连接保存的密码
  shell dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

pth

pth，指Pass-The-Hash，当目标机系统>=win server 2012时，无法通过lsass.exe进程中是抓取明文密码，且随着信息安全意识的提高，弱口令越来越少，经常会遇到拿到hash却解不开的情况。

• cs/msf/impacket_smbexec
• pth登录远程rdp
• rdp劫持

0x03 未授权访问横向

默认密码为空或者不存在密码校验

常见的未授权访问服务有：

• Redis 未授权访问漏洞
• MongoDB 未授权访问漏洞
• Jenkins 未授权访问漏洞
• Memcached 未授权访问漏洞
• JBOSS 未授权访问漏洞
• VNC 未授权访问漏洞
• Docker 未授权访问漏洞
• ZooKeeper 未授权访问漏洞
• Rsync 未授权访问漏洞
• Atlassian Crowd 未授权访问漏洞
• CouchDB 未授权访问漏洞
• Elasticsearch 未授权访问漏洞
• Hadoop 未授权访问漏洞
• Jupyter Notebook 未授权访问漏洞

0x04 弱口令横向

• tomcat/weblogic/jboss弱口令
• FTP弱口令
• Telnet弱口令
• Axis2
  • 默认账号admin密码axis2

0x05 数据库横向

通过信息收集查找配置文件中数据库连接地址、账户密码信息。
常见的配置文件有 web.config、config.php、db.properties 等等
然后按照数据库存在的漏洞写shell等来进一步攻击

0x06 命令执行rce

• shiro反序列化