基础命令使用 [ win篇 ]

发表于 2017-11-05 | 更新于: 2017-12-02 | 分类于 win cmd

字数统计: 4,001 | 阅读时长 ≈ 17

0x01 基础命令使用:

演示环境:

1 2	win2008R2cn ip: 192.168.3.23 假设为入侵者机器 win2012R2cn ip: 192.168.3.122 假设为目标机器

# whoami /all			  查当前用户在目标系统中的具体权限,这可能会成为你一上来的习惯性动作 ^_^
# query user			  查当前机器中正在线的用户,注意管理员此时在不在
# hostname			  查当前机器的机器名,知道当前机器是干啥的
# net user 			  查当前机器中所有的用户名,开始搜集准备用户名字典
# net localgroup		  查当前机器中所有的组名,了解不同组的职能,如,IT,HR,ADMIN,FILE...
# net localgroup "Administrators" 查指定组中的成员列表

查看本机ip配置:

1 2	# ipconfig /all 查看本机ip配置,观察本机是否在域内,内网段有几个,网关在哪里 # ipconfig /displaydns 查看本地DNS缓存

查看当前机器中所有的网络连接:

# net start				查看本机运行的所有服务
# netstat -ano				查看本机所有的tcp,udp端口连接及其对应的pid
# netstat -anob				查看本机所有的tcp,udp端口连接,pid及其对应的发起程序
# netstat -ano | findstr "ESTABLISHED"	查看当前正处于连接状态的端口及ip
# netstat -ano | findstr "LISTENING"	查看当前正处于监听状态的端口及ip
# netstat -ano | findstr "TIME_WAIT"

阅读全文 »

灵活击穿目标多级内网纵深 [ termite ]

发表于 2017-11-03 | 更新于: 2017-12-05 | 分类于 termite

字数统计: 914 | 阅读时长 ≈ 3

0x01 关于termite [ Earthworm的升级版 ],程序地址, http://rootkiter.com/Termite/

1
2
3

一款极度小巧灵活的跳板机,有别于传统socks代理,它对于复杂内网环境下的渗透适用性更强,操作也极为简便
废话不多说,大家可自行在实战中多多体会,工具本身其实并无好坏,大部分还在乎用工具的人,退一万步来讲,即使工具再好,也顶不住别人用的烂 ^_^
在此也非常感谢 rootkiter 的无私贡献,真心希望圈子能多一些这样少说话多做事的人 ^_^

0x02 程序分为两部分,admin[为控制端]和agent[为代理端节点],admin和agent所有选项用途均一致

1
2
3

-l 指定本地socks端口,等待远程连
-c 指定远程socks机器ip
-p 指定远程socks机器端口

0x03 此次模拟环境如下:

lnmp01	  	假设为我们自己的vps 	其公网ip为: 192.168.3.30
MidLAMP	  	目标内网的linux机器 	其内网ip为: 192.168.32.192 
win2008r2cn	目标内网的win机器 	其内网ip为: 192.168.32.134
win7cn		入侵者本地内网机器	其内网ip为: 192.168.32.168 [因为这里用虚拟机模拟的,所以内网段和目标一样]

阅读全文 »

利用icmp隧道轻松穿透 tcp/udp四层封锁

发表于 2017-11-01 | 更新于: 2017-12-05 | 分类于 icmp

字数统计: 795 | 阅读时长 ≈ 3

关于icmp 隧道使用场景简单说明:

1	两台机器间,除了允许相互ping [ 即icmp通信 ],其他的tcp/udp端口一律不允许,此时我们就可考虑利用icmp隧道进行穿透

0x01 此次用于演示的环境大致如下:

lnmp01  	ip: 192.168.3.30 	入侵者机器		
MidLAMP 	ip: 192.168.3.19	为目标linux机器,即icmp跳板机	
win2008R2cn	ip: 192.168.3.23	为目标windows机器,开启了3389
win7en 		ip: 192.168.3.17

1
2

lnmp01想访问win2008R2cn的3389,由于win2008R2cn开了防火墙且做了ip限制,没法直接从lnmp01上进行访问
虽然win2008R2cn开启了防火墙,但好在MidLAMP能ping通win2008R2cn,即没有阻断它们之间的icmp通信

阅读全文 »

内网渗透之 teamviewer隧道

发表于 2017-10-28 | 更新于: 2017-11-21 | 分类于 teamviewer

字数统计: 631 | 阅读时长 ≈ 2

0x01 关于teamviewer

1	一款优秀的远控工具,通信数据全程加密,用户量也非常庞大,想必大家早都用烂了,这里就不多废话了,咱们直奔主题...

0x02 此次实验环境:

1
2

win2008R2cn  ip: 192.168.32.134 假设为目标内网中的一台已控win服务器,已装好teamviewer且为启动状态,vpn功能也已打开
win7en 	     ip: 192.168.3.17   假设为自己本地内网中的一台普通win机器,已装好teamviewer且为启动状态,vpn功能也已打开

0x03 想实现的最终目的

1
2
3

通过teamviewer自带的vpn功能,对目标内网进行渗透
想在目标win2008R2cn和本地win7en之间通过teamviewer搭建一条专有通道,方便对目标内网进一步渗透
即通过teamviewer 实现简易的 '双内网'通信

0x04 在两端机器上安装好teamviewer,务必记得安装时,选择’高级’安装,把’vpn功能’都勾选上,主要就是用这个功能

阅读全文 »

MySQL 主从复制完全上手指南

发表于 2017-10-28 | 更新于: 2017-12-06 | 分类于 MySQL 主从复制

字数统计: 2,494 | 阅读时长 ≈ 10

0x01 在说mysql主从复制之前,我们先来大致了解一些关于不同级别的同步方案

基于文件级别的同步

非实时同步

1	scp/sftp/ftp/samba/rsync/union....

实时同步

1	NFS/inotify/sersync/lsyncd....

基于文件系统级别的同步

drbd...

基于数据库级别的同步,对于数据库而言基本都属于实时同步,但实时并不一定意味着就是同步操作,也可能是用异步的方式在操作

mysql   replication 虽然异步的,但实现的效果基本上是实时的
oracle
redis
mongodb

阅读全文 »

一键抓取目标机器上的所有明文密码

发表于 2017-10-27 | 更新于: 2017-11-08 | 分类于 LaZagne

字数统计: 174 | 阅读时长 ≈ 1

几乎支持市面上大部分常用工具,另外,脚本自身基于py,跨平台性相对较好,免杀效果也还不错,不过,实战中务必要在一个较高权限[最好是提权后的root或system]下运行,否则你很可能什么都抓不到,实战中用过几次,主要是想用它来搜集内网机器上的各种密码,但,并不是特别靠谱,有些行为还是很容易被杀软捕捉到,自己如果不会免杀,就很头疼了,更多详情大家可自行参考其github, https://github.com/AlessandroZ/LaZagne 话说回来,作为学习样本还是很不错的

阅读全文 »

截获内存中的各类https明文密码

发表于 2017-10-27 | 更新于: 2017-11-08 | 分类于 NetRipper

字数统计: 329 | 阅读时长 ≈ 1

0x01 利用 NetRipper 抓取内存中的https明文密码

优点,可以在一个相对较低的系统权限下截获加密的明文,工具已经出了有些年头了,好在作者维护一直比较勤奋,才活到了现在,它支持截获像putty,winscp,mssql,chrome,firefox,outlook中的明文密码,同时也提供了很多类型的版本,如,win cmd下的exe,msf模块,ps脚本,实战中更推荐大家直接用powershell,更多详情请自行参考其github https://github.com/NytroRST/NetRipper

1 2	# powershell -exec bypass PS> Import-Module .\Invoke-NetRipper.ps1

阅读全文 »

win & linux 本地提权脑图

发表于 2017-10-26 | 更新于: 2017-10-27 | 分类于 privilege

字数统计: 0 | 阅读时长 ≈ 1

宝刀未老之 ettercap 基础使用 [一]

发表于 2017-10-26 | 更新于: 2017-12-06 | 分类于 ettercap

字数统计: 1,528 | 阅读时长 ≈ 7

0x01 关于ettercap

ettercap 确实已经非常老了,也确实是那个时代的经典,而且差不多三四年这个项目也都没再更新过了
对于一些防护并不是特别好的内网,依然非常实用,千万不要觉得工具老就没有它的应用场地,那样你就真的错了,如果真是这样,就不会有这么多的二次深度开发了
大家可能也发现了,像这类的工具我基本都是在模拟真实的生产机器环境上编译安装的
具体原因大家想必都很清楚,像这类基于二层的arp嗅探是没法直接在远程做的,毕竟不是直接处在目标的vpn内网中
socks代理再牛逼,它也只是个基于端口的四层代理,并不是vpn,所以,是没法直接在本地嗅远程的arp的,至于GRE隧道,咱们抽空再另说
话不多讲,直奔今天的主题,ettercap基础使用,注意,此次仅仅是基础使用

0x02 开启本地的路由转发

1 2	# echo 1 > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward

0x03 基础演示环境

1
2
3

CentOS release 6.9 (Final)  x86-64 ip: 192.168.3.4  接口名称: eth2  ettercap所在机器
win2008r2 			   ip: 192.168.3.23 
win7cn				   ip: 192.168.3.8

阅读全文 »

arp攻防之arpoison

发表于 2017-10-25 | 更新于: 2017-12-06 | 分类于 arpoison

字数统计: 583 | 阅读时长 ≈ 3

0x01 依然是先开启本地的路由转发

1
2
3

# vi /etc/sysctl.conf
  net.ipv4.ip_forward=1
# sysctl -p

0x02 演示环境

centOS 6.8 x86_64	mac: 00:0C:29:C4:A0:95	ip : 192.168.3.4
win7cn 			mac: 00-0C-29-3B-BF-A8  ip : 192.168.3.8
win2008r2cn		mac: 00-0C-29-6C-55-D2  ip : 192.168.3.23
网关			mac: dc-ee-06-96-b7-b7	ip : 192.168.3.1

0x03 下载编译 arpoison

# yum install epel-release -y
# yum install libnet libnet-devel -y
# wget http://www.arpoison.net/arpoison-0.7.tar.gz
# tar xf arpoison-0.7.tar.gz
# cd arpoison-0.7
# gcc arpoison.c /usr/lib64/libnet.so -o arpoison
# cp arpoison /usr/bin/
# arpoison -h

阅读全文 »