适合安全运维及安全测试人员的内网安全检查和渗透总结

1.1攻击思路

有2种思路：

攻击外网服务器，获取外网服务器的权限，接着利用入侵成功的外网服务器作为跳板，攻击内网其他服务器，最后获得敏感数据，并将数据传递到攻击者，看情况安装长期后门，实现长期控制和获得敏感数据的方式；

攻击办公网的系统、办公网电脑、办公网无线等方式，一般是采用社工，实现控制办公电脑，再用获得的办公网数据，可能是内网的各种登录账号和密码，再获取办公网或者生产网的有用数据。

一般内网安全检查使用第一种思路，实际的攻击2种思路结合实现。

1.2敏感资料/数据/信息

高管/系统管理员/财务/人事/业务人员的个人电脑

文件服务器/共享服务器

邮件服务器

OA服务器

数据库服务器

1.3攻击过程

按照第一种思路，个人认为可以分为4个阶段：

信息收集

漏洞验证/漏洞攻击

后渗透

日志清理

第二种思路，社工的比重更大一些，本篇不多做介绍。

该阶段识别内网存活的主机IP，运行端口扫描和漏洞扫描获取可以利用的漏洞

2.1主机发现

使用端口扫描工具可以实现主机发现的功能，但也有些动作小的主机发现工具（Kali），可以有效的发现存活主机。自己写个ping的循环脚本也可以。

不受限的测试直接端口扫描了。

2.2端口扫描

有授权的情况下直接使用nmap、masscan等端口扫描工具直接获取开放的端口信息。

作为跳板机可以使用Metasploit做端口扫描，也可以在跳板主机上上传端口扫描工具，使用工具扫描。

入侵到服务器上也可以根据服务器的环境使用自定义的端口扫描脚本扫描端口。

python3的端口扫描脚本

TorunTCP_connectconcurrentlyoutput={}Spawningthreadstoscanportsforiinrange(10000):t=(target=TCP_connect,args=(host_ip,i,delay,output))(t)Lockingthescriptuntilallthreadscompleteforiinrange(10000):threads[i].join()3.4.2文件传输
几个思路
使用端口转发直接传送数据；
搭建FTP、HTTP协议；
上传到云端再下载；
3.5制作后门/木马程序
一般用Matisploit的msfvenom，使用参考：
4日志清理
这部分对于安全检查、或授权渗透测试工作不是重点，通常也不考虑。
在做日志清理前需要了解以下的内容：
攻击和入侵很难完全删除痕迹，没有日志记录本身就是一种入侵特征；
删除或清理入侵系统的本地日志不代表删除了痕迹，在网络设备、安全设备、集中化日志系统上仍然留存记录；
留存的后门本身会有攻击者的信息；
使用的代理或跳板可能会被反向入侵;
在操作前检查是否有管理员登录；
删除上传的工具，使用磁盘覆写的功能删除；
Windows日志类型
web日志：IIS、Apache以及其它web日志
操作日志：3389登录列表、最近访问文件、IE等浏览
器访问日志、文件访问日志
登陆日志：系统应用日志-安全日志等
攻击前和状态还原，尽量保持一致
Linux操作日志
Linux历史操作
unsetHISTORYHISTFILEHISTSAVEHISTZONEHISTORYHISTLOG;exportHISTFILE=/dev/null;
SSHD登陆记录
删除~/.ssh/known_hosts中记录
修改文件时间戳
touch–r原文件要修改文件
删除临时使用文件，尤其是tmp目录
logtamper
5工具和其他
内网使用工具渗透的一些原则
使用适合自己的工具，工具没必要收集太多，够用就行；
能根据实际情况编写适用的工具；
不能确保安全的工具均要在虚拟机中运行（很
多捆绑病毒木马）；
做安全检查的话，尽量使用GitHub上开源的工具。
工具介绍
个人习惯使用kali自带工具，特定POC先从Github上搜索。
推荐一个工具介绍的网站：
渗透注意事项
检查内网监控防范系统
谨慎使用ARP软件和大面积扫描软件
使用目标网络中无空闲机器，作为打包对象
使用内网大流量机器作为传输对象，如wsus服务
使用临时机器打包、数据传输，不要使用已控机器，可利用wmi脚本或wmic远程操作
渗透注意事项
禁止使用
打包时避开用户工作时间
控制卷包大小100M
选择用户常用压缩软件
错峰下载数据
控制传输流量
清除所有操作日志
登录主机前先看看管理员是否在