內(nèi)網(wǎng)滲透怎么進(jìn)行網(wǎng)絡(luò)環(huán)境判斷

　　對(duì)于一個(gè)內(nèi)網(wǎng)來(lái)說(shuō)，當(dāng)我們拿到了一個(gè)機(jī)器(例如webshell)之后，首要的就是內(nèi)網(wǎng)信息的探測(cè)，而網(wǎng)絡(luò)環(huán)境的判斷則是其中一個(gè)重點(diǎn)。這里的判斷我分為三種。一種是機(jī)器所處位置區(qū)域的判斷，一種是機(jī)器角色的判斷，還有一種是進(jìn)出口流量是否連通的判斷，是否出的去，進(jìn)的來(lái)。

　　位置的判斷

　　位置判斷是指機(jī)器處于網(wǎng)絡(luò)拓?fù)渲械哪硞�(gè)區(qū)域，是在DMZ區(qū)，辦公網(wǎng)，還是核心區(qū)，核心DB等多個(gè)位置，當(dāng)然這里的區(qū)域并不是絕對(duì)的，只是大概的一個(gè)環(huán)境，不同的地方網(wǎng)絡(luò)環(huán)境不一樣，區(qū)域的界限也不一定明顯。

　　多數(shù)情況下在外圍Web中我們拿到權(quán)限多數(shù)是在DMZ區(qū)，不屬于正式的內(nèi)網(wǎng)，如果是布置好的話，DMZ區(qū)會(huì)處于一種內(nèi)網(wǎng)能訪問(wèn)DMZ，而DMZ訪問(wèn)不了內(nèi)網(wǎng)的一種狀態(tài)。例如DMZ區(qū)的服務(wù)器訪問(wèn)不了管理員機(jī)器所處的內(nèi)網(wǎng)機(jī)器。

　　辦公網(wǎng)，顧名思義是辦公人員所處的網(wǎng)絡(luò)，例如一般辦公人員，服務(wù)器管理員等等，能夠滲透進(jìn)辦公網(wǎng)將對(duì)后續(xù)的滲透起到很大的幫助。一般情況剛開(kāi)始是很少會(huì)直接到達(dá)辦公網(wǎng)段的，除非是進(jìn)行釣魚(yú)種馬啥的。

　　核心區(qū)，例如域控，核心生產(chǎn)機(jī)器等等，這些都在后續(xù)的滲透才會(huì)慢慢接觸到。

　　角色的判斷

　　了解自己的機(jī)器會(huì)是什么角色，會(huì)對(duì)我們后續(xù)的進(jìn)程起到一個(gè)很好的推進(jìn)作用。

　　假如是服務(wù)器，看看自己是否是普通Web服務(wù)器，是開(kāi)發(fā)測(cè)試服務(wù)器，公共服務(wù)器，文件服務(wù)器，還是代理服務(wù)器，DNS服務(wù)器、存儲(chǔ)服務(wù)器等等。

　　具體的判斷要通過(guò)對(duì)機(jī)器內(nèi)的主機(jī)名、文件、網(wǎng)絡(luò)連接等多種情況進(jìn)行綜合判斷。

　　例如通過(guò)主機(jī)名是最好判斷的，開(kāi)發(fā)服務(wù)器就是dev , Web服務(wù)器可能是web或者app,存儲(chǔ)服務(wù)器可能是NAS，文件服務(wù)器可能是fileserver等等。

　　例如通過(guò)網(wǎng)絡(luò)連接進(jìn)行判斷，代理服務(wù)器可能就會(huì)有很多機(jī)器來(lái)連代理端口，更新服務(wù)器(例如WSUS)可能開(kāi)放了更新端口8530，DNS服務(wù)器開(kāi)放了53端口等等，當(dāng)然不能一概而論，必須進(jìn)行綜合判斷。

　　連通性的判斷

　　這里是指機(jī)器能否外面進(jìn)的來(lái)，能否出的去。這與我們后續(xù)的上馬或者做代理息息相關(guān)。這里的判斷主要有兩種，一種是端口，一種是協(xié)議。我們著重于是否出的去。

　　1. 協(xié)議的判斷

　　主要是看能夠通過(guò)什么協(xié)議出去，主要有tcphttpdnsicmp等協(xié)議。常見(jiàn)判斷手法如下：

　　[+]tcp協(xié)議

　　[+]dns協(xié)議

　　[+]http協(xié)議

　　[+]icmp協(xié)議

　　2. 端口的判斷

　　外網(wǎng)vps做監(jiān)聽(tīng)，內(nèi)網(wǎng)機(jī)器測(cè)試常見(jiàn)端口，或直接使用端口掃描器進(jìn)行掃描。

　　常見(jiàn)能出去的端口有80,8080,443,53,110,123等。

　　3. 額外情況--代理服務(wù)器

　　還有一種是機(jī)器不能直接出來(lái)的，需要進(jìn)行代理設(shè)置，這種多數(shù)是為了辦公網(wǎng)段得辦公人員進(jìn)行上網(wǎng)用的。

　　常用的判斷手法與情況如下：

　　[+]查看網(wǎng)絡(luò)連接看是否有連接其他機(jī)器的8080(不絕對(duì))等端口，嘗試ping –n 1 –a ip

　　[+]是否有hostname類似于proxy的機(jī)器

　　[+]IE直接代理情況

　　可以通過(guò)查詢注冊(cè)表得到：

　　[+]通過(guò)pac文件自動(dòng)代理情況

　　我們可以通過(guò)pac文件的路徑(可能是本地路徑或遠(yuǎn)程路徑)將pac文件下載回來(lái)查看，例如某pac文件如下：從中我們能看到其帶來(lái)服務(wù)器為172.16.10.168:8080

　　最終我們可以利用curl進(jìn)行確定。