本章节内容主要是介绍在内网中该一些常见的端口。
文章内容主要摘自某红队系列丛书,将市面上现在流传的 redteam 系列书籍进行一个学习记录。
Port:445
SMB(Server Message Block)Windows协议族,主要功能为文件打印共享服务,简单来讲就是共享文件夹
该端口也是近年来内网横向扩展中比较火的端口,大名鼎鼎的永恒之蓝漏洞就是利用该端口,操作为扫描其是否存在MS17-010漏洞。正常情况下,其命令主要是建立IPC服务空会话
net use \\192.168.1.2
远程本地认证
net use \\192.168.1.2 /user:a\username password
注:a/username 中 a 为工作组情况下的机器命名,可以为任意字符,例如 workgroup/username
域 test.local 远程认证
net use \\192.168.1.2 /user:test\username password
Port:137、138、139
NetBios端口,137、138为UDP端口,主要用于内网传输文件,而NetBios/SMB服务器的获取主要是通过139端口的
Port:135
该端口主要使用DCOM和RPC(Remote Procedure Call)服务,我们利用这个端口主要做WMI(Windos Management Instrumentation)管理工具的远程操作
- 使用时需要开启wmic服务
- 几乎所有的命令都是管理员权限
- 如果出现”Invalid Global Switch”,需要使用双引号把该加的地方都加上
- 远程系统的本地安全策略的”网络访问:本地账户的共享和安全模式”应设为”经典-本地用户以自己的身份验证”
- 防火墙最好是关闭状态
同时,wmic还有很多版本 类似于 python版本、Powershell版本和exe版本等等
该端口还可以验证是否开启Exchange Server
Port:53
该端口为DNS服务端口,只要提供域名解析服务使用,该端口在渗透过程中可以寻找一下DNS域传送漏洞,在内网中可以使用DNS协议进行通信传输,隐蔽性更加好,参考文章:
- dns隧道之dns2tcp
- dns隧道之dnscat2
Port:389
用于LADP(轻量级目录访问协议),属于TCP/IP协议,在域过程中一般出现在域控上出现该端口,进行权限认证服务,如果拥有对该域的用户,且担心net或者其他爆破方法不可行的情况,可以尝试使用LADP端口进行爆破
工具可以使用类似于hydra等开源项目
Port:88
该端口主要开启kerberos服务,属于TCP/IP协议,主要任务是监听KDC的票据请求,该协议在渗透过程中可以进行黄金票据和白银票据的伪造,以横向扩展某些服务
Port:5985
该端口主要介绍WinRM服务,WinRM是Windows对WS-Management的实现,WinRM允许远程用户使用工具和脚本对Windows服务进行管理并获取数据。并且WinRM服务自Windows Vista开始成为Windows的默认组件
条件:
- Windows Vista上必须手动启动,而Windows Server 2008中服务是默认开启的
- 服务在后台开启,但端口还没有开启监听,所以需要开启端口
- 使用 winrm quickconfig 对WinRM进行配置,开启HTTP和HTTPS监听,且需要开启防火墙
