文章来源: 靶机狂魔
邮件打点 到 核心网 【域】 渗透 到 指定工控产线监控 实战科普
这是一份近似教科书的横向渗透手记
不是很高精尖,但是用心记录整理了
希望可以帮到大家实战方面
谨慎阅读
谨慎传播
本文意不在传播教授任何违法入侵手段与相关技术
仅记录使用
一概发现与本文相关技术延伸的影响,与本文无关
0x01:从一封钓鱼邮件开始,首先, 准备好自己的 钓鱼信内容 及 免杀钓鱼马 【此处直接用的 64位exe payload】
0x02:快速维稳五件套 【上面主要还是在进行初期的搜集信息,接着再来看如何快速稳固保持权限】
0x03:搜集存放在GPP目录中的各类明文账号密码
0x04:尝试抓取所有已控机器本地的系统明文账号 密码 / 密码hash 【注意免杀的问题】
0x05:经过上面的一系列初步搜集,整理汇总出的各类 明文密码 / 密码hash
0x06:快速抓取当前域 【xxxx.com域】 内的 所有 用户, 组, 会话, 机器 数据 【BloodHound】
0x07:一键获取当前域 【xxxx.com域】 内的所有spn记录
0x08:快速获取当前域 【xxxx.com域】内的所有服务用户票证hash
0x09:如何更高效的进行内网存活探测及敏感资产搜集分析
0x10:大规模快速获取内网所有web服务banner 【主要也是想通过这种方式来快速定位识别 出目标内网所有关键的web业务系统指纹,并根据此来决定下一步的具体入手点】
0x11:对目标所有内网段进行批量smb弱口令探测
0x12:内网批量远程抓 明文密码 / hash
0x13:搜集所有已控机器上的各类明文密码数据 【注意,此处包含大量的在线 / 离线密码解密技巧】
0x14:汇总梳理上面抓到的各类账号密码 【hash】 尝试对内网进行二次批量smb弱口令探测
0x15:如下,按Getshell的难易程度来分批次对目标内网的各类基础服务进行批量弱口令探测
0x16:基于前面已有的各类系统管理员账号密码,大规模批量获取远程机器上的所有进程列表
0x17:基于上面已有的各种账号密码,开始大规模的横向搜集
0x18:针对内网部分 "脱网机" 的反向beacon上线
0x19:远程导出xxxx.com域控ntds.dit
0x20:远程导出xxxx.com域控中的完整dns记录
0x21:远程导出xxxx.com域内完整ldap数据库
0x22:远程导出xxxx.com域控中所有域用户的成功登录日志记录
0x23:横向控制产线监控机
0x24:快速抓取xxxx1.cn域内所有数据
0x25:获取 xxxx1.cn域内的所有域控位置和域管列表
0x26:导出 xxxx1.cn域内的所有 spn记录
0x27:快速抓xxxx1.cn域内服务票据hash
0x28:远程导出xxxx1.cn域控ntds.dit
0x29:远程导出xxxx1.cn域控中的完整dns记录
0x30:远程导出xxxx1.cn域内完整ldap数据库
0x31:远程导出xxxx1.cn域控中所有域用户的成功登录日志
0x32:横向控制xxxx1.cn域内运维个人机
0x33:无痕脱邮件
0x34:以下都是从目标机器上拖下来的部分完整目标内部的 网络拓扑结构, 详细资产分布图 及 目标技术人员整体组织架构情况
0x35:最后,来看下真正的产线监控
0x36:针对实战过程中所遇到的各种问题汇总及对应的解决办法梳理
0x37:总结
推荐文章++++