⑴ 內網滲透--對不出網目標的打法
配置網路
在VM虛擬機中按照下邊的網路拓撲進行配置網路。網路拓撲圖如下:
win7具有雙網卡,其中外網ip是192.168.8.133,內網網段是52。三台機器彼此互通,但是win server 2008和win2003不通外網。用我mac作為攻擊機,來對這個靶場環境進行滲透測試。
外網打點
在win7這台靶機上,使用PHPStudy讓網站可以運行起來。在攻擊機上,訪問 http://192.168.8.133 可以看到是一個phpStudy 探針。對這網站進行滲透,因為本文主要寫在內網滲透過程中對不出網主機的滲透,所以此處外網打點就不寫的很詳細了。
針對此靶場進行外網滲透拿許可權大致有這幾種方法:
通過phpmyadmin弱口令,進入phpmyadmin後台。然後知識點就變成了,通過phpmyadmin進行getshell,這個點又分為,得到網站絕對路徑後,使用select into outfile的方式寫shell和利用日誌寫shell。在此處,我是使用日誌寫shell的方法拿到許可權。因為secure_file_priv配置為null,禁止修改目錄下的文件,也就不能使用into outfile的方式寫入shell。
通過目錄掃描可以掃出beifen.rar,備份文件。在源碼中可以找到登陸後台的賬號密碼:admin/123456和登陸路徑/index.php?r=admin,在前台模板文件中添加一句話木馬連接也可獲取shell。
獲得webshell的信息收集
通過外網打點獲得的webshell,可以進行一波信息收集,摸清我是誰?我在哪?有沒有內網環境?有沒有殺軟?通過拿到webshell後的信息收集的結果來評估一下有沒有必要繼續深入或者初步了解繼續深入的話需要哪些手段。
我是誰?
蟻劍已經給出基礎信息
我在哪?
使用ipconfig /all 看一下網路信息
目標有兩個網卡,並且存在域環境,那麼就有打它內網的必要了。
有沒有殺軟?
tasklist查看一下進程信息
根據進程查一下是否有殺軟
目標沒有使用殺軟,還有域環境那麼讓它直接cs上線。
內網滲透
cs上線
內網信息收集
信息收集每個人都有自己的習慣,信息收集的順序和信息收集的項目也都不太一樣,只要根據自己的習慣和嗅覺,針對目標具體情況進行收集,以求盡快的拿下目標就好。信息收集的越全面突破口也就會越多,考慮到篇幅和文章內容匹配度等因素,此處並沒有寫出大量信息收集方法。
使用cs自帶的net view查看域信息。
使用cs自帶功能進行埠掃描,分別對8和52兩個網段進行掃描進行完這兩個步驟以後,cs會把掃到的目標列出來。
因為拿到的是管理員許可權,可以先抓一波密碼。用 cs 的 hashmp 讀內存密碼,用 mimikatz 讀注冊表密碼:logonpasswords。
此處打碼的地方是因為配置靶機登陸時靶機提示重置密碼,我給靶機改了個包含個人信息的密碼。蠢哭。拿到密碼後,目標主機沒有開啟防火牆,可以使用cs自帶的psexec做一波橫向,因為抓到很多域中機器密碼,域控密碼也抓到了。
內網橫向(通過登錄憑證)
這個靶機設置的比較簡單,抓到密碼後,因為抓到了域控登陸的憑證,那麼使用psexec即可橫向內網所有機器。因為,另外兩台內網的機器不出網,那麼就到了本文著重練習的點了,打不出網的機器。
不出網機器上線一般有以下幾種方式:
使用smb beacon
配置listener通過HTTP代理上線
使用pystinger搭建socks4代理
這幾種方式之前有師傅也在先知寫過 《不出網主機上線方法》 。此處我採用的SMB beacon這個方法。
SMB Beacon使用命名管道通過父級Beacon進行通訊,當兩個Beacons鏈接後,子Beacon從父Beacon獲取到任務並發送。因為鏈接的Beacons使用Windows命名管道進行通信,此流量封裝在SMB協議中,所以SMB beacon相對隱蔽。SMB beacon不能直接生成可用載荷, 只能使用 PsExec 或 Stageless Payload 上線。
首先得到內網中一台主機的beacon,抓取密碼後進行smb噴射,得到另一台開放445埠的機器上的administrator賬戶密碼,在目標機器不出網的情況下,可以使用Smb beacon使目標主機上線
使用條件
具有 SMB Beacon 的主機必須接受 445 埠上的連接。
只能鏈接由同一個 Cobalt Strike 實例管理的 Beacon。
利用這種beacon橫移必須有目標主機的管理員許可權或者說是擁有具有管理員許可權的憑據。
使用方法:
1.建立smb的listener
2.在cs中使用psexec進行橫向移動,選擇現有的beacon作為跳板,這里憑據必須是administrator ,即擁有目標主機管理員許可權
3.連接成功,可以看到smb beacon上線的主機右側有∞∞標識
使用這種方法上線的機器,主要是通過出網機作為一個中間人,不出網主機成功上線後,如果出網機一斷開,這個不出網主機也會斷。
內網橫向(通過ms-17010)
在拿下win7的時候,可以給它傳一個fscan,給win7做一個內網大保健。上傳fscan後,運行掃一下內網。
發現存在ms17010。
ms17010常見的幾種打法:
msf
ladon/ladon_ms17010
從msf分離出的exe
nessus里的exe
cs插件
這幾種打法,我在這個環境中都做過嘗試。過程就不一一敘述了,直接說我測試的結果。msf是最穩定的,但是打起來有稍許的麻煩因為要設置監聽模塊和選擇攻擊模塊等配置。ladon_ms17010方便但是不太穩有時候會打不成功。cs插件也不穩,並且在這種不出網網路不穩定的情況下成功率會變的更低。
這個圖片的ip可能跟上邊配置符不起來,因為我在測試過程中,網斷過幾次,ip就變了。所以,在打的時候,如果ladon和分離出的exe沒有打成,不要輕易放棄,用msf在打打試試,畢竟工具就是工具,不能過分依賴某個工具。
在這種不出網的情況下,可以優先考慮使用從msf分離出的exe和ladon_ms17010來打,打成功會直接通過自定義的dll新建一個用戶並加入管理員組,開啟3389埠。根據實際情況,可考慮在合適的時間段和條件下直接遠程登入,翻一下敏感數據,往往會因為運維人員的很多「好習慣」而給滲透帶來很多便利,比如說「密碼本.txt」。
msf打不出網機器的ms17010
msf在單兵作戰的時候還是很穩定很香的。首先,讓出網機器先在msf上線,可以用cs直接傳遞會話,或者生成個msf馬直接運行一下。在這的方法就很多了。win7在msf上線後,因為我們已經提前知道了,存在52這個不出網的段,那麼就需要在msf中添加路由。
查看路由
run get_local_subnets
添加路由
run autoroute -s 192.168.52.0/24
查看添加的路由
run autoroute -p
把shell切換到後台,然後使用ms17010模塊進行漏洞利用,監聽時使用正向監聽,即可
小貼士:
漏洞檢測方法:
use auxiliary/scanner/smb/smb_ms17_010
之後設置一下目標ip和線程即可,這里因為已經掃出存在漏洞的機器了,也就不在敘述。
漏洞利用常使用的是:
auxiliary/admin/smb/ms17_010_command
exploit/windows/smb/ms17_010_eternalblue
exploit/windows/smb/ms17_010_psexec
這里的第一個和第三個模塊需要目標開啟命名管道,並且比較穩定。第二個模塊只要存在漏洞即可,但是會有概率把目標打藍屏,而且殺軟攔截也會比較嚴格,如果有殺軟就基本可以放棄這個模塊了。
在打ms17010的時候,不妨使用auxiliary/admin/smb/ms17_010_command模塊探測一下是否可以使用命名管道。
use auxiliary/admin/smb/ms17_010_commandsetrhosts192.168.164.156192.168.164.161setcommandtasklistshow optionsrun
如果命令執行成功的話就可以優先考慮
auxiliary/admin/smb/ms17_010_commandexploit/windows/smb/ms17_010_psexec
這兩個模塊進行利用。
我在上邊打得時候因為目標機器沒有殺軟就直接使用exploit/windows/smb/ms17_010_eternalblue來打了,期間為了測試打過多次,確實出現了把目標機器打重啟的情況。
總結
這個靶場設計的技能點比較基礎,外網打點獲得shell後,直接可以通過cs上線,在管理員許可權下,抓取密碼,新建一個smb beacon然後使用psexec對內網兩台不出網的機器進行橫向。