初探内网渗透手法及蓝队视角下的应急响应
💡
原文中文,约6300字,阅读约需15分钟。
📝
内容提要
本文总结了内网渗透中常见的利用手法,包括信息收集、IPC连接、密码喷洒、计划任务执行、WMI、PsExec、SMB、WinRM等。文章提供了具体的命令和操作步骤,并介绍了一些排查攻击的方法。
🎯
关键要点
- 内网渗透常见利用手法包括信息收集、IPC连接、密码喷洒、计划任务执行、WMI、PsExec、SMB、WinRM等。
- 信息收集命令包括net computers、net domain、net dclist、net sessions等。
- IPC连接需要目标机器的账号和密码,且目标机器需开启admin$共享和139、445端口。
- 密码喷洒是对多个域内用户使用同一密码进行枚举,避免引起警觉。
- 计划任务可以通过schtasks命令创建和执行,需注意相关事件ID的排查。
- WMI提供隐蔽的命令执行方式,利用条件包括开放135端口和admin$共享。
- PsExec和SMB服务可用于远程执行命令,需开放445端口并获取目标机器的账号和密码。
- WinRM用于通过WSMan与远程计算机建立会话,需开启WinRM服务并使用相应端口。
❓
延伸问答
内网渗透常用的手法有哪些?
内网渗透常用的手法包括信息收集、IPC连接、密码喷洒、计划任务执行、WMI、PsExec、SMB和WinRM等。
如何进行信息收集?
可以使用命令如net computers、net domain、net dclist和net sessions等进行信息收集。
什么是密码喷洒?
密码喷洒是对多个域内用户使用同一密码进行枚举,以避免引起警觉。
如何利用IPC连接进行渗透?
IPC连接需要目标机器的账号和密码,且目标机器需开启admin$共享和139、445端口。
计划任务执行的命令是什么?
可以使用schtasks命令创建和执行计划任务,例如:schtasks /create /s 10.10.10.138 /ru "Administrator" /tn "CS" /sc minute /mo 5 /tr "c:\artifact.exe"。
WMI的利用条件是什么?
WMI的利用条件包括目标机器开放135端口、admin$共享和获取目标机器的账号和密码。
➡️
