对内网入侵的一个小总结,大多是参考一叶知安的文章:一次完整的从webshell到域控的探索之路
正文开始:
大体思路:
免杀 payload 的生成,请使用 Veil
msf 在 meterpreter 下的提权尝试
msf 在 meterpreter 下的 bypassuac 尝试
内网渗透测试过程中的信息关联
meterpreter 的路由添加以及相关扫描
Powershell 在 meterpreter下面的使用
Meterpreter 的 post 模块使用
Msf 的 custom 自己生成的 payload的使用
进程注入窃取令牌
Meterpreter反弹:1.普通反弹,payload
2.上传失败,可以选择 powershell 的 meterpreter 的模块来实现
3.反弹失败(或者反弹成功无法建立会话),尝试 meterpreter 的 reverse_https 模块
提权:1.漏洞利用模块:ms15-05等(可以在github上查找资源)
2. 尝试当前账号 Bypassuac 测试(uac:windows的账户控制机制):msf自带bypassuac
提权成功与否都不能阻止我们对于内网环境的进一步探测和信息收集:
1. 收集域里面的相关信息,包括所有的用户,所有的电脑,以及相关关键的组的信息。
主要命令:
net user /domain#查看域用户
Net group "domaincomputers" /domain#查看域用户工作主机
net group "domainadmins" /domain #查看域管理员
net localgroup administrators#查看本机角色
net view /domain#查看某域计算机列表(后面添加域名称)
net "domain admins"/domain#查询管理员
2.收集 sqlserver 的相关信息,如果有机器使用了 sql server 的话,恰巧用户是当前的域用户的话,我们在此可以使用 sqlcmd 的信息收集,以及扫描攻击。
主要目的:也就是获取数据库信息,不仅限于sqlserver,还有mysql等
内网渗透的继续深入:
1.使用meterpreter的目前权限来添加路由进行弱口令扫描
2.使用 powershell对内网进行扫描(本次渗透测试使用了,但是在这里暂时没有使用),具体来说时间比较慢一点,当然此时此刻powershell 绝对算是一个内网渗透测试又一神器
3.使用当前的用户权限架设socks4a,然后利用第一步我们获取到的信息 socks 进行内网扫描
4.使用当前用户的权限,对域里面的电脑进行 IPC,或者 DIR 溢出(也就是 dir 其他电脑的 c 盘,如果成功表示有权限)批量测试
可采用方案流程:
1.ipc$入侵
2.上传抓明文工具(mimikatz 神器),抓取密码
3.使用 meterpreter 的 ps,查看相关用户的进程列表
4.尝试使用域令牌假冒
Use incongnito
list_token -u
Impersonate_token xxxxxx
基于smb服务的快速扩张(思路):
1.使用当前已获取的用户权限,快速的进行扫描。(net time可以获取域控的IP段)
2 smb_login 扫描
3 端口转发进内网
详细步骤:
1.msf添加路由 route add ip mask sessionid
2.smb_login 模块或者使用psexec_scanner
3.meterpreter 端口转发
4.msf的 socks4a 模块
域控获取思路:
1.修改注册表等待域控管理员再次登录来抓取(黄花菜都会凉的)
2.通过 PowerUp 的进程来注入获取域权限(没使用过暂时放弃),当然此处也可以写类似外挂的功能注入进程获取权限
3.msf的令牌窃取功能(参见上文)
具体实现可利用:
1.IPC入侵反弹回话,getsystem
2.Ps 查看域管理所在的进程
3.Migrate pid 注入进程
4.继续经典的 IPC$到域控
5.加域管账户:
a)Net user username password /ad/domain
b)Net group "domainadmins" username /ad /domain
登录域控:
1.端口转发或者 socks 登录域控远程桌面
2.登录对方内网的一台电脑使用 psexec 来反弹 shell
3.使用 msf 的 psexec 反弹 meterpreter
Psexec反弹:
1.msf 中 psexec 模块的使用
2.custom 模块的使用,配合meterpreter,在 payload 不免杀的情况下如何使用自己 Veil生成的 payload
所有用户hash获取:
1.msf 有两个模块可以使用,一个是 hashdump,此模块只能导出本地的 hash,,另外一个是 smart_hashdump,此模块可以用来导出域用户的 hash.
2.powershell 有可以直接导出的模块
3wce,mimikatz 等神器的使用
痕迹清除:
1.删除上传的工具
2.删除之前添加的域管理账号
3.删除自己所有的操作记录
a) Logoff(windows-powershell)
b) Clearev(sessions)
4.关闭所有的 meterpreter:sessions -K
参考资料:
原文地址:https://www.secpulse.com/archives/51092.html
Metaspolit内网渗透相关:http://www.topjishu.com/8319.html
bypassuac参考:http://www.freebuf.com/sectool/95661.html
位于meterpreter内的可交互式powershell:http://bobao.360.cn/learning/detail/488.html
IPC经典入侵教程:http://www.xfocus.net/articles/200303/493.html
令牌仿冒攻击:http://blog.csdn.net/feier7501/article/details/8851944
简单实战:https://bbs.ichunqiu.com/thread-16607-1-1.html
https://www.secpulse.com/archives/48412.html
https://www.secpulse.com/archives/50590.html
2188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
