內網橫向滲透思路

滲透測試的本質就是信息收集！

簡介

什麼是橫向滲透

橫向滲透，就是在已經攻佔部分內網主機的前提下，利用既有的資源嘗試獲取更多的憑據、更高的權限，進而達到控制整個內網、擁有最高權限、發動 APT （高級持續性威脅攻擊）的目的。

在滲透行動中，目標往往是獲得整個內網的控制權，從而發動 APT（高級持續性威脅）攻擊。但在更多時候，我們的起點只是一兩臺通過 0day / 1day 漏洞攻陷的機器。

在橫向滲透中，最先得到的主機，以及之後新得到的主機，會成爲突破口、跳板。如同一個不斷擴大的圓形，獲得的主機越多，圓能觸及之處越大，讓其周遭的「橫向」部分由未知成爲已知。

內網的優勢

在發動橫向滲透時，你已經拿到了目標內網中至少一臺機子，即已經進入對方的內網環境。在內網網絡環境，你至少會有以下優勢：

• 更小的防火牆阻力： 內網之間的訪問不需要經過 ISP 防火牆、出口網關防火牆的審查，往往對敏感端口（如445）的訪問更加容易，流量也更不容易被檢測到。
• 同一子網的特殊特性： 在內網中，同一子網之間的主機通信通過 MAC 地址進行，因而更容易發動 ARP 相關的攻擊（前提爲主機與網關未進行 ARP 鎖定等）。
• 與管理員同行： 你和管理員在同一個網絡環境乃至同一臺機器上操作，這讓你更容易監測管理員的行爲。

內網的注意之處

• 內網防火牆與殺毒軟件： 內網一樣能有防火牆、流量監控，而殺毒軟件更是很多服務器的標配（360也算）。在進行攻擊時，不能全然忽略這些安全措施，否則很容易觸發警報。

• 與管理員同行： 對，與管理員同行既是機遇，也是風險。最常見的劇情是手抖把管理員的遠程桌面連接踢了，或者滲透工具還在打開狀態，遠程桌面會話被管理員搶了。這狗血劇情我多次遇到，管理員後來改了密碼，所幸留了後門重獲權限，而且還掌握了新的密碼（算是收穫吧）。

• 蜜罐類： 蜜罐不一定非要套出你的東西，只需要感知你的存在，便能夠治你了。

橫向滲透的常用招數

常用姿勢可以分爲數據挖掘類、後門類、攻擊類三大類，其危險性逐級遞增。

數據挖掘類

這一類姿勢注重的是主機上已保存的憑據等信息。在其中可能發現：

• 其他主機的憑據
• 更高權限的憑據
• 能夠利用的憑據
• 有用的資料、文檔

拿到這些各種憑證後，充實了自己的密碼庫，方便以後可以撞庫。

1. 保存的密碼

由於人的惰性，管理員可能習慣了任何登錄都勾選了保存密碼，方便下一次登錄
常見保存的密碼：

• 瀏覽器保存的密碼
• 遠程桌面客戶端保存的密碼
• VNC 客戶端保存的密碼
• 數據庫客戶端保存的密碼
• VPN 連接保存的密碼

利用方式：
使用各種保存的密碼對應的提取工具（有的甚至不需要提取工具，直接在配置文件裏明文儲存的），得到更多的憑據。

2. Windows 緩存的憑據

*Windows 10、Windows Server 2016 以前，任何 已登錄 * 的賬戶都會在內存裏緩存明文密碼，據說是爲了向下兼容性。而只要你有機子的管理員權限，就能夠把它們從內存裏面扯出來。

這樣，如果你看到系統已經登錄了其他用戶，或者你當前是 0day 拿到的 SYSTEM 權限不知道管理員密碼而管理員帳戶在線，就可以用工具把他們的密碼拖出來，充實密碼庫。

最新的系統（Windows 10、Windows Server 2016）中，明文密碼緩存默認關閉，但仍然可以通過修改註冊表相應配置開啓。

開啓Wdigest Auth，命令如下
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
 
關閉Wdigest Auth，命令如下
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

利用方式：

使用 mimikatz 提取內存中緩存的明文密碼，得到更多憑據。對於虛擬機，可以 dump 其內存並用相關工具提取。

3. Hash Dump

有時候你能夠以某個管理員帳戶登錄 Windows 系統，但是其他管理員賬戶並不在線，那就不能直接提取明文密碼了。但是依然可以使用工具，雖然得不到明文，但是可以得到密碼的 hash。

破解 Windows 的密碼 hash 難度差異很大。對於Windows Server 2008 以前的系統，儲存密碼加密算法較弱，一個密碼同時以 NTLM 與 LM 兩種形式儲存。以現有的彩虹表水平，14位（可能有誤）以內的 NTLM 與 LM 哈希對可以秒破，無論其複雜度。但是對於之後的系統，默認只有 NTLM 哈希，只有簡單的能破解。

當然破解不出來，如果在域中的話，hash值可以作爲 憑據 使用。

4. 歷史記錄與 Cookies

與「保存密碼」一樣，「自動登錄」也是一個具有誘惑力的框框。看看網管瀏覽器的歷史記錄，能不能發現一些奇怪的網址？

利用方式：

可以直接提取 cookies 並分析，但建議以瀏覽記錄爲導向。

5. 數據庫憑據

數據庫憑據，除了第一個中在數據庫管理工具中偷懶保存的憑據，還有一些實在是不得不保存的：比如的確需要連接到一個數據庫。

而拿到數據庫憑據，不光可以充實密碼庫、拖庫和刪庫跑路，如果是遠程數據庫，還可能拿下另一臺主機。

很多情況下，拿到數據庫的管理員賬戶，可以得到機子的管理員權限。就可以利用sqlmap通過數據庫的管理員權限獲取交互式shell。

利用方式：

尋找各種軟件的配置文件、網站的配置文件（config.php等），挖掘其中的數據庫憑據。

6. Linux 的 bash 日誌

Linux 的 bash 也會出賣你的……你看看你主目錄下有啥？看不到？給 ls 加上 -al 參數再看看。一個名叫 .bash_history 的文件記錄了你所有在 bash 裏的輸入。或者直接history命令查看，命令不行再利用cat查看.bash_history文件。

所以在拿到 shell 的情況下，就能很容易看到當前用戶執行過的命令。要是裏面有密碼，那就爽歪歪了。

7. 密碼本

對，就是管理員把相關密碼寫在文本、文檔裏面來幫助記憶。這也不是沒可能，至少有人就這樣幹過。

利用方式：

全盤尋找奇怪的小本子，運氣好能撿到一堆憑據。

8. 資料文檔

資料文檔往往不包含憑據，但是能提供更多網絡架構之類的線索，爲 APT 提供方便。

利用方式：

全盤尋找資料文檔，常常與服務安裝包或服務程序放在一起。

9. 臨時文件

下載目錄、QQ 下載文件裏面都可能藏着有趣的東西。對我說的就是 QQ，你會遇到裝 QQ 的服務器的。

找就完事兒。

後門類

這裏的姿勢主要是在已攻佔的主機上安裝一些自己的後門程序，從而達到保有-擴展的目的。

1. 保留後門

最煩人的事之一，就是鍋裏的鴨子飛了，拿到手的服務器跑了。曾經擁有卻不曾珍惜，直到失去才後悔莫及。多個主機多條路，保持已有的權限是很重要的。

方法的話很多，各種後門，不管是正向的，反向的，我一般用的是cs的後門，也可以用meterpreter生成的後門程序，還可以將後門程序綁定在一個應用程序上。有一個好用又簡單的方法：關閉 Windows 遠程桌面的強制網絡級別的身份認證（對於 Windows 2008 及以後的系統），然後把輔助工具裏的放大鏡或者屏幕鍵盤什麼的程序換成後門程序，乃至直接換成 cmd.exe，這樣就能夠在用不支持 NLA (網絡級別的身份認證) 的客戶端時進入登錄界面，打開輔助工具，得到一個 SYSTEM 權限的 shell。

2. 鍵盤記錄器

有的網管剋制住了保存密碼的慾望，不過一旦部署了鍵盤記錄器，只要他輸入了密碼就嗚呼哀哉了。理想的鍵盤記錄器應該自動啓動、隱藏運行，然而現成的都不怎麼符合。

攻擊類

1. ARP 污染中間人攻擊

因爲同一子網內的主機之間的通信是二層的，所以在沒有 ARP 表防污染措施的情況下，可以通過 ARP 協議固有的缺陷進行 ARP 污染，從而中間人攻擊。

污染成功後可以進行如下操作：

• 監聽網絡流量：

你可以監聽到所有目標服務器到網關（或其他被污染目標）之間的所有網絡流量。例如目標是一臺沒有使用 HTTPS 的網頁登錄服務器，則可以抓獲所有登錄憑據。

• 篡改網絡流量：

你可以對網絡流量進行任意篡改，實現增添刪減流量內容，或者替換 SSL 證書監聽加密通信。當然你的 SSL 證書不被接受的話很容易觸發警告。

2. 系統漏洞掃描

**對於在內網環境中沒有暴露在公網上的主機而言，網管很容易放鬆警惕。**尤其是對於純內網的機器，打補丁、軟件升級較爲繁瑣，導致可能大量 系統 漏洞沒有修補。於是可以進行漏洞掃描，用系統漏洞輕鬆拿下新的主機。

比如ms17-010，還有CVE-2019-0708等

3. 反向滲透

反向滲透，即在被攻佔的主機上放置特殊程序，導致之後連上此服務器的主機（如網關機）被攻擊。

這種操作包括但不限於使用病毒並祈求管理員把它下載下來並運行。也有利用協議漏洞或缺陷實現的。一個例子是 RDPInception。

如用beef在網頁上放個鉤子。

4. 各個端口服務

對針對性的端口進行收集，然後利用，比如內網中的80端口的web服務，一般內網的web特別的弱，嘗試一些web漏洞有可能就可以拿下，還有445、3389和一些redis服務、數據庫等這些服務的端口，如果有可以進行一些對應的操作。

5. 撞庫

怎能忘了撞庫！人都有惰性，網管也是人，他們總是傾向於在不同系統上使用同一個密碼，或者有規律的密碼。

利用自己在內網中收集到的密碼庫，還有一些弱密碼，拿去給每個內網機子或者一些服務撞庫，說不定就可以登錄進去。

6. 社工方法

社工這裏就不做詳細講解，就是在已知信息的網關或者相關人上利用自己的手段從這些人口中套出重要銘感信息。

7.與網管錯峯

在系統日誌裏面，你可以知道網管的在線高峯期是哪些，從而避開這些時間段，儘量減少撞車的可能。