Web狗的近源渗透记录

朋友回老家了 目前在找工作 有合适的可以联系联系
source: https://blog.dp7.xyz/post/IU7CgSD95M/
author:14u9h

Excerpt

在我刚入行的时候，带头大哥总CPU我说：“作为一线的渗透测试人员，除了生孩子不会，其他东西都得会一些。”，时过境迁，我深以为然。

对网络安全越来越重视的今天，Web狗越来越难以生存，我深谙出奇招方能致奇胜的思想，于是，一名Web狗开始了近源渗透之旅。  (Ps：记录一下使用过的近源手段，非常基础，不喜勿喷。  开始前叠层Buff：一知半解半桶水，如有错误恳请斧正。)

0x1 WIFI

0x1.1 WI-FI万能钥匙

无论是有密级的机关，还是小微企业，Wi-Fi万能钥匙总是能给人带来意想不到的惊喜，而现在的手机，无论安卓还是苹果，再也不用root后翻目录找连上的Wi-Fi密码了。  

0x1.2 Aircrack-ng

眼下在企业中几乎碰不到WPE和WPA的热点，基本都是WPA2的，这里只写WPA2的破解。

软件与硬件

airport(2024年，官方停用了airport命令行工具，目前没有找到替代品，无奈启用虚拟机)

1、虚拟机安装kali系统

2、Aircrack-ng

3、免驱动无线网卡

抓取无线数据包

1、启动监听模式

iwconfig    // 插入无线网卡后，连接至虚拟机中，通过iwconfig查看网卡名称

sudo airmon-ng start wlan0    // 启动网卡的监听模式，网卡名称为"wlan0"

iwconfig    // 再次查看网卡信息，现在应该是Monitor(监听)模式了

2、查看附近热点信息

sudo airodump-ng wlan0mon // "wlan0mon"为启用监听模式后的网卡名

 主要参数含义：

1. BSSID：为目标的mac地址

2. PWR：与目标的距离，该值越大，距离越近

3. CH：信道

4. ENC：加密方式，可以看到，都是wpa2的

5. ESSID：wifi的名称

3、捕获握手包

sudo airodump-ng --bssid XX:XX:XX:XX -c 11 -w output wlan0mon

# 不加--bssid XX:XX:XX:XX -c 11，则捕获附近全部热点数据包，如果附近的热点比较干净(企业大院)，则可以使用这种广撒网的方式捕获。

参数含义：

• --bssid是ap的BSSID

• -c指的是信道

• -w保存的文件名

• wlan0mon为网卡名称

这是可能捕获到认证握手包：  

 这是没有捕获到认证握手包：  

 上图，下面那一栏表示有一个客户端连接热点，这个时候或许有几率抓到认证握手包了，若抓包过程中一直没有新的客户端连接进来，则可以尝试ack攻击，使已经连接上的设备断开重连。

4、ACK攻击

2.4GHz：
sudo aireplay-ng -0 90 -a mac1 -c mac2 wlan0mon

5GHz：
sudo aireplay-ng -0 90 -a mac1 -c mac2 -D wlan0mon


# aireplay-ng -0 攻击次数 -a 路由器MAC地址 -c 目标MAC地址
# -0 90 意思是攻击90次，一般尽量在60-100之间不易过多，不宜过少。若过少会发生''Packets contained no EAPOL data; unable to process this AP''错误即抓取不到数据包
# 如果不使用-c参数指定受害者MAC地址，那么就是对AP下面所有的终端进行攻击

抓到认证包后可以先尝试跑一下密码，以防出现误报，确认本地能跑密码后，发回给后台的小伙伴跑字典。

Aircrack-ng跑密码

重要的还得看字典：

aircrack-ng -w pass.txt output.cap

参数说明：

• -w：跟密码字典

• pass.txt：密码字典文件

• output.cap：捕获到的数据包

 这是没有捕获到身份认证的数据包：  

结束后关掉监听模式

sudo airmon-ng stop wlan0mon

启动网络

service network-manager start

0x2 终端机

0x2.1 Windows系统

这里只写终端机的绕过，背后的网线归到暴露的网口类。

左右边缘向中间划动

此举为调出隐藏在边缘的虚拟键盘，此类终端在实战中相对常见

未响应退出程序

在终端机进行工作时，比如打印票据，多次连续点击程序，可造成程序进程未响应，点退出程序即可看到桌面  

打印绕过

还没遇到过，找的网图，大概就是焦点选中文字后长按，调出“打印”功能，或者其他能调用“打印”的地方，从而进入到资源管理器绕过。  

超链接绕过

没记录图片，找的网图，终端机上常见的超链接有url和邮件地址，大概就是通过超链接调用邮箱和浏览器程序。  

重启大法

注意⚠️：运气好就遇到空密码或者设置本机自动登录的机器，运气不好就干瞪着锁屏界面  

厂商后门

有时候厂商为了调试方便，会给自助终端机留下后门，这里记录遇到的后门方式，不限期更新。  连续点击logo

0x2.2 Android系统

目前还没见到过iOS或者鸿蒙系统的自助机，以后或许会见到。

门禁面板

为什么要单独拿出来写呢，因为首先门禁面板一般都在室外，若接入的还是内网，则有可能直捣黄龙，唯一要注意的是，找个人少的门，以及授权进行。  底部上滑和顶部下拉可尝试退出应用程序的置顶显示。  开启面板热点：  

0x3 暴露的网口/线

这个没啥好说的，闲置的口、终端机后面的口以及终端机里面的口，最离谱的是某目标下属商场搞活动而牵出来的网线，掏出连接器就是干，当然这些都不是重点。  

 终端机开着散热：  

0x3.1 来点硬件

1、充电宝提供电源  2、4G工控路由器  这是第一次尝试借用已有硬件进行近源，使用的4G工控路由器，口红大小，开始没弄懂它的拓扑，弄懂了以后才知道它得改网关，最大化利用最多只能通同网段设备，只能祈祷同网段下有软柿子可以捏作为跳板打出去。  只能算迈出去半步吧，后面还得自己折腾个可双网的系统。  

0x3.2 来点软件

Wireshark

信息收集

插入网线后，即便静态IP没有配置，也能抓到路由那边广播出来的流量，可以使用Wireshark大致确认有哪些网段、是什么设备、确认网关IP、物理地址信息，比主动探测能惊动设备的概率小多了  

绕过绑定Mac

网线直插孤x设备可以抓到它配置的IP地址和网卡物理地址，直接狸猫换太子，拔掉终端机网线伪冒它的IP和Mac地址macOS更改网卡物理地址：

sudo ifconfig [网卡名] ether [Mac地址]

抓取孤x设备流量如图：

0x4 突破门禁

0x4.1 密码按印

在一些重要场所内，会单独给房间安装密码门禁，有时候按的多了就会留下印子，特别是过惯了苦日子的国人不舍得撕掉保护膜，手印更明显，更或许所有门禁密码都是通用的。  

0x4.2 感应门禁

见到许多单位门口有人脸/指纹/密码/NFC门禁，但内侧搭配着感应器，简直就是摆设，记得无糖发过用喷雾打开感应门禁的视频，用不着这么麻烦，在实战中，同伙就地取材找了根细长小竹条顺着门缝顶部(感应器)捅进去晃一晃就开了。

0x5 结言

基本都是没啥技术含量的东西，线下近源就讲究个小心试探大胆操作，小心试探是指操作之前观察目标单位的安保力量和警惕性，比如闯门后会不会遇到盘查，应对(必须合理并留有出错余地)后对方会不会有更谨慎的动作，比如当场电话确认，这样基本就能判断该撤还是可以继续；大胆操作，是指确认环境安全后把目标公司当自己家，把目标员工当自己同事，当然这一切的前提是小心试探后；最重要的是，快打快撤，待的时间越长，人的警惕性和盘查的决心就越大，遇到警惕性更高的员工几率更大。

最最重要的，联络人最好能在五分钟内路程到场，不然被发现后带离关几小时再让通信就不好玩了渗透手段千万条，授权守法第一条。渗透测试不规范，亲人女友两行泪。最后祝大家，工作顺利。