横向移动
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,控制域环境下的全部机器。
目的:拿下集权设备,域控、堡垒机、运维机...,没有集权设备就尽可能多的拿下机器和数据。
弱口令
内网中防护相比于外网会弱很多,因此也会存在大量的各类服务的弱口令。
推荐工具列表:
- MSF
search _login
- 超级弱口令检查工具
- CrackMapExec
- NetExec
- PsMapExec
漏洞
和上面一样,内网防护比较弱,所以漏洞可能也不咋打补丁。
方向:
WEB漏洞
- 直接用 nuclei 扫rce的
系统漏洞(可能会蓝屏,且流量大)
- MS17-010(永恒之蓝)
- CVE-2019-0708(bluekeep)
- CVE-2020-0796(永恒之黑)
- 域控漏洞(复现参考《域控相关漏洞》)
- CVE-2014-6324(MS14-068)
- CVE-2020-1472(Zerologon)
- CVE-2021-1675/CVE-2021-34527(PrintNightMare)
- CVE-2021-42287&CVE-2021-42278
- CVE-2022-26923(ADCS)
- exchange漏洞(复现参考《exchange相关漏洞》)
- CVE-2018-8581
- CVE-2020-0688
- CVE-2020-17144
- CVE-2020-16875
- CVE-2021-26855/CVE-2021-27065(ProxyLogon)
- CVE-2021-34473(ProxyShell)
- CVE-2022-41040/CVE-2022-41082(ProxyNotShell)
Hash传递(PTH)
Hash传递攻击,也称为Pass the Hash (PTH),内网横向最常用的手段之一。
攻击者获取目标系统用户的密码哈希值(通常是NTLM Hash),然后直接使用该哈希值进行身份验证,绕过了明文密码的需求。
原理: 由于整个NTLM认证的过程中都是用的NTLM Hash去加密,所以我们拿到了Hash,其实也相当于变相拿到了密码,只不过不是明文的而已。
利用场景:
- 目标机>=win server 2012时,lsass.exe进程中是抓不到明文密码,只能拿到Hash
- 随着信息安全意识的提高,弱口令情况逐渐降低,我们经常会遇到拿到Hash却解不开的情况,只能去传递Hash
具体可参考《Hash传递》
票据传递(PTT)
票据传递攻击(PTT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法;常见的用途可能是使用 MS14-068、黄金票据、白银票据;其中MS14-068可用来横向获取域内主机权限,黄金票据、白银票据则可以用来对域控进行权限维持。
具体可参考《Kerberos协议-黄金票据》、《Kerberos协议-白银票据》、《Kerberos协议-MS14-068》)
NTLM Relay
之前在《NTLM协议》中介绍了NTLM认证的过程以及Net-NTLM Hash。
NTLM Relay是一种中间人攻击方法,利用NTLM认证漏洞,将客户端的认证请求中继给目标服务器,从而获取权限或执行恶意操作。这种攻击技术可以用于获取Net-NTLM哈希并进一步提升攻击权限。
具体可参考《NTLM Relay》
已知账号密码
一些情况下如拿到密码本了,但我们仍然需要上到服务器上去翻东西,这里就总结一些常见的方法。
具体可参考《已知账号密码横向》
委派
在内网渗透中,委派是一种授权机制,在Kerberos认证中涉及,允许将域内用户的权限委派给服务账号,使其能以用户的权限在域内展开活动,为多跳认证提供了便利。简单来说,当用户A访问服务B时,服务B可以使用A用户的凭证去访问服务C。
委派攻击通常出现在域环境中,若委派配置不正确或滥用委派,可能导致域管理员权限被获取,甚至制作深度隐藏的后门。
在实战中,通常只有域控是非约束委派的
其中非约束委派和约束委派常用于获取权限,但条件较为苛刻,基于资源的约束委派常用于提权和权限维持。
具体可参考《委派》
其他
列举一些个人感觉比较鸡肋的。