网络渗透

内网渗透之端口转发、映射、代理 裁决 / 2019-09-18 09:22:14 / 浏览数 13714 渗透测试 渗透测试 顶(7) 踩(0) 端口转发&端口映射 0x01 什么是端口转发 端口转发（Port forwarding），有时被叫做隧道，是安全壳（SSH）为网络安全通信使用的一种方法。端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为，其使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址（局域网内部）上的一个端口。 普通话：端口转发就是将一个端口，这个端口可以本机的端口也可以是本机可以访问到的任意主机的端口，转发到任意一台可以访问到的IP上，通常这个IP是公网ip 0x02 什么是端口映射 端口映射是NAT的一种，功能是把在公网的地址转翻译成私有地址， 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。 普通话：就是映射端口，就是将一个内网端口映射到公网上的某个端口，假设我自己的电脑是在内网中，没有公网 IP，但是我想提供一个端口供其他人使用，这就是端口映射 0x03 区分端口映射和端口转发 端口映射场景： 外网主机A想访问内网主机B上的服务 端口转发场景： 外网主机A已经可以任意内网主机B上的端口，但是无法访问内网主机C上的端口 此时可以将C主机的端口到B主机的端口

本文章大部分内容来自于 <内网安全攻防：渗透测试实战指南>: https://item.jd.com/12743210.html 0x00 内网基础知识 内网也指局域网(Local Area Network, LAN) , 是指在某一区域内由多台计算机互连而成的计算机组 在局域网中, 可以实现文件管理, 应用软件共享, 打印机共享, 工作组内的日程安排, 电子邮件和传真通信服务器等 工作组 将不同的计算机按功能(或部门)分别列入不同的 工作组(Work Group) 加入/创建工作组的方法 : 右键桌面 计算机 -> 属性 -> 更改设置 -> 更改 , 然后输入计算机名和想要加入的工作组名称即可 如果输入的工作组在网络中不存在, , 就相当于新建了一个工作组 设置完后重启电脑, 进入 网络 就可以看到加入工作组的成员了, 也可以 退出工作组, 修改工作组的名称即可 此时在网络中, 我们可以随时访问别人的共享资源, 别人也可以访问我们的共享资源 所以工作组并不存在真正的集中管理作用, 工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的。 域 域(Domain) : 一个具有安全边界的计算机集合(安全边界: 在两个域中, 一个域的用户无法访问另一个域中的资源). 用户想要访问域内的资源, 必须以合法的身份登录域, 而用户对域内的资源拥有什么样的权限,

目录 ARP 欺骗及其原理 ARP 欺骗实施步骤 必备工具安装 nmap 工具 dsniff 工具 driftnet 工具 ettercap 工具 ARP 欺骗测试 ARP 断网攻击 ARP 欺骗（不断网） 抓取图片 获取账号与密码 arp 缓存表对照 ARP协议： 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含 目标IP地址 的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 ARP欺骗： 地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。 实验原理 ARP协议是工作在网络层的协议，它负责将IP地址解析为MAC地址

渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意 黑客 的攻击方法，来评估 计算机网络系统 安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 换句话来说，渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。 我们认为渗透测试还具有的两个显著特点是：渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。 作为网络安全防范的一种新技术，对于网络安全组织具有实际应用价值。但要找到一家合适的公司实施渗透测试并不容易。 专业服务 渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无 漏洞 。你可以用 漏洞扫描器 完成这些任务，但往往专业人士用的是不同的工具，而且他们比较熟悉这类替代性工具。 渗透测试的作用一方面在于，解释所用工具在探查过程中所得到的结果。只要手头有 漏洞扫描器

端口渗透总结 0x00 背景 端口渗透过程中我们需要关注几个问题： 1、 端口的banner信息 2、 端口上运行的服务 3、 常见应用的默认端口 当然对于上面这些信息的获取，我们有各式各样的方法，最为常见的应该就是nmap了吧！我们也可以结合其他的端口扫描工具，比如专门的3389、1433等等的端口扫描工具； 服务默认端口 公认端口(Well Known Ports)：0-1023，他们紧密绑定了一些服务； 注册端口(Registered Ports)：1024-49151，他们松散的绑定了一些服务； 动态/私有：49152-65535，不为服务分配这些端口； 当然这些端口都可以通过修改来达到欺骗攻击者的目的，但是这就安全了吗？攻击者又可以使用什么攻击方式来攻击这些端口呢？ 还需要注明的一点是：很多木马工具也有特定的端口，本文并没有涉及到这块的内容，大家可以自己去收集收集！ 关于爆破之我见 在对这些端口进行实战讲解时，我需要先阐述一下我对爆破这个方式的一些看法； 爆破：技术最简单，需要的技术能力基本为0，工作效率与网络、硬件等相关，在我看来爆破其实是最强大的攻击方式，特别是结合一些特制的字典，结合社工我们可以在很短的时间达到最大的效果，只不过因为我们的pc或者字典不够强大，所以很多时候我们不能进行一次优秀的爆破攻击；当然现在很多web应用以及服务端口都限制了暴力破解

子域名枚举扫描器或爆破工具 https://github.com/lijiejie/subDomainsBrute(lijiejie开发的一款使用广泛的子域名爆破枚举工具) https://github.com/ring04h/wydomain (猪猪侠开发的一款域名收集全面，精准的子域名枚举工具) https://github.com/le4f/dnsmaper (子域名枚举爆破工具以及地图位置标记) https://github.com/0xbug/orangescan(提供web界面的在线子域名信息收集工具) https://github.com/TheRook/subbrute(高效精准的子域名爆破工具，同时也是扫描器中最常用的子域名API库) https://github.com/We5ter/GSDF (基于谷歌SSL透明证书的子域名查询 脚本 ) https://github.com/mandatoryprogrammer/cloudflare_enum (使用CloudFlare进行子域名枚举的 脚本 ) https://github.com/guelfoweb/knock(Knock子域名获取，可用于查找子域名接管漏洞) https://github.com/exp-db/PythonPool/tree/master/Tools/DomainSeeker

渗透中常见的网络端口 5900/TCP VNC服务 5900/UDP VNC服务 902/TCP VMware ESXI 6379/TCP Redis数据库 3306/TCP MySQL数据库 5433/TCP PostgreSQL数据库 1433/TCP SQL Server数据库 1521/TCP Oracle数据库 7001/TCP WebLogic 11211/TCP memcache服务 11211/UDP memcache服务 80/TCP http服务 443/TCP https服务 8080/TCP http服务 143/TCP IMAP服务 53/TCP DNS服务器 53/UDP DNS服务器 110/TCP POP3服务器 21/TCP ftp服务器 9090/TCP WebSphere管理端口 8081/TCP http服务 23/TCP Telnet服务 25/TCP SMTP服务器 1723/TCP PPTP VPN服务器 1723/UDP PPTP VPN服务器 500/UDP IPSec、L2TP VPN服务器 4500/UDP IPSec、 L2TP VPN服务器 1701/UDP IPSec、 L2TP VPN服务器 445/TCP smb服务 3306/TCP MySQL数据库 3389/TCP Windows远程桌面服务 22/TCP

渗透测试之进行信息收集方法 攻击的重要阶段之一就是信息收集。为了能够实施攻击，我们需要收集关于目标的基本信息。我们获得的信息越多，攻击成功的概率就越高。 　　1.1 服务枚举 在这个中，我们将会展示一些服务枚举的小技巧。枚举是我们从网络收集信息的过程。 我们将要研究DNS枚举和SNMP枚举技术。DNS枚举是定位某个组织的所有DNS服务器和DNS条目的过程。DNS枚举允许我们收集有关该组织的重要信息，例如用户名、计算机名称、IP地址以及其它。为了完成这些任务我们会使用DNSenum。对于SNMP枚举，我们会使用叫做SnmpEnum的工具，它是一个强大的SNMP枚举工具，允许我们分析网络上的SNMP流量。 操作步骤 让我们以DNS枚举作为开始： 　　1. 我们使用DNSenum进行DNS枚举。为了开始DNS枚举，打开Gnome终端，并且输入以 下命令： cd /usr/bin ./dnsenum --enum adomainnameontheinternet.com 请不要在不属于你的公共网站或者不是你自己的服务器上运行这个工具。这里我们 将 adomainnameontheinternet.com 作为一个例子，你应该替换掉这个目标。要当心！ 　　2. 我们需要获取信息输出，例如主机、名称服务器、邮件服务器，如果幸运的话还可以得 到区域转换： 　　3.

内网渗透基础知识 小栗子 ： 小红的爸爸是一名新创业的大老板，但是也不喜欢麻烦。可能大多数大老板都是这样的吧！现在在他面前有一个大问题！他需要管理手下使用的2000+多台电脑！ 小红爸爸是不喜欢麻烦的人，如果是正常流程，他就得2000+次创建用户，绑定密码，甚至最麻烦的是每次更新变动，都要这么复杂的操作！ 概念引入： 内网： 也指局域网（Local Area Network,LAN),是指在某一区域内由多台计算机互联而成的计算机组，组范围通常在及千米以内。例如：银行、政府、网吧 工作组： 存放功能相同的一组加算计的列表 创建方法： 计算机——属性——更改设置——更改——然后在计算机名称 ，然后在工作组一栏输入到想要所属的工作组，如果输入的工作组并不存在，即为新建（当然只有此电脑在该工作组内）。windows会提示需要重启，重启后进入网络，即可查看工作组中的成员了。 域（Domain）： 一个有安全边界（两个域中一个域中的用户无法访问另一个域的资源）的计算机集合 域控制器（Domain Controller，DC）： 如果说域是一个企业，那么DC即为门卫 实质： 域渗透 实际上就是要 获得DC的使用控制权！ 域内的几个环境： 单域： 至少有一个DC，另一个作为备份的DC。否则一旦错误，岂不是要瞬间瘫痪 父域和子域： 出于管理及其他的需求，需要在网络中划分多个域！，第一个域为父域

互联网渗透测试之Wireshark的高级应用 1.1说明 Wireshark的一些高级特性 TCP协议，想要查看Tcp流中的应用层数据，"Following TCP streams"功能将会很有用。如果你项查看telnet流中的密码，或者你想尝试弄明白一个数据流。或者你仅仅只需要一个显示过滤来显示某个TCP流的包。这些都可以通过Wireshark的"Following TCP streams"功能来实现。 TCP包，然后选择Wireshark工具栏菜单的"Following TCP Streams"选项(或者使用包列表鼠标右键的上下文菜单)。然后，Wireshark就会创建合适的显示过滤器，并弹出一个对话框显示TCP流的所有数据。如所示 注意 值得注意的是：Follow Tcp Stream会装入一个显示过滤来选择你已经选择的Tcp流的所有包。 图 A到B的通信标记为红色，从B到A的通信标记为蓝色。当然，如果你喜欢的话你可以从"Edit/Preferences"菜单项的"Colores"修改颜色。 XXX - What about line wrapping (maximum line length) and CRNL conversions? TCP流不能实时更新。想得到最近的内容需要重新打开对话框。 你可以在此对话框执行如下操作： Save As 以当前选择格式保存流数据。