多重转发渗透隐藏内网

From：http://3xp10it.cc/

0x00 About

内网机器如下:

说明:1)Attacker为攻击者,有一个网卡,网段为172.16.0.0,Attacker系统为kali系统2)RD
为第一个已经渗透的目标,有两块网卡,对应172.16.0.0和7.7.7.0两个网段3)JC有两块网卡,
对应7.7.7.0和8.8.8.0两个网段,JC有ms08-067和efs bof两个漏洞,可getshell4)SK有一块网卡,
对应8.8.8.0网段,SK有vsftpd的漏洞,可getshell5)起初Attacker只拿到RD的msf的shell,
对于目标内网情况一无所知,也不知道存在7.7.7.0和8.8.8.0这两个隐藏的网段6)目标是准备通过RD
来渗透内网中7.7.7.0和8.8.8.0两个隐藏的网段.

0x01 Step1

Attacker在RD上通过webshell运行了一个reverse类型的后门,然后操作如下:

0x02 Step2

发现RD有两块网卡后,想办法渗透另一个网段7.7.7.0,首先要添加路由[不添加路由也可以直接用meterpreter shell中的模块访问 到7.7.7.x网段,添加路由的目的是为了使得msf模块可以访问到7.7.7.x网段],meterpreter shell可以访问到7.7.7.x网段,msf 中的模块不能访问到7.7.7.x网段,msf中的模块所处的ip是攻击者的ip,meterpreter shell所处的ip是RD的ip.在meterpreter中 添加路由的目的是为了给msf模块作代理,也即给Attacker作代理,但是只能给Attacker的msf模块作代理,要想给Attacker的其他 应用程序作代理,则需要在meterpreter添加路由后再运行msf的开启sock4的模块,然后再用proxychains来设置Attacker的其他 应用程序的代理为msf的开启sock4代理模块中设置的代理入口.

操作如下:

然后开始扫描7.7.7.0网段,操作如下:

arp_scanner不太够用,不能扫到端口信息[此时也可用msf自带的其他可以扫描端口的模块如auxiliary/scanner/portscan/tcp来扫 描,因为前面添加了路由,使得msf中的模块可以用meterpreter作为代理访问到7.7.7.x网段],于是用Attacker本机的nmap来扫[可以 更完全的扫描,nmap应该比msf中的扫描模块强大],首先在RD上开sockets4代理,然后用proxychains设置nmap的代理为msf模块开 启的Attacker的1080端口提供的代理,操作如下:

proxychains设置/etc/proxychains.conf如下:

nmap扫描如下:

现在发现了7.7.7.20(JC)这台机器端口开放比较多,尝试找出JC的漏洞,操作如下: 首先看看JC的80端口运行了什么cms,但是Attacker的浏览器直接访问http://172.16.0.20会无法访问,因为Attacker的网段与JC 不在同一网段,此处有个要注意的内容:

Attention:可以选择使用proxychains设置Attacker的浏览器的代理为Attacker的1080端口的socks4代理入口,也可通过在RD的meterpreter会 话中运行portfwd模块命令,portfwd命令如下:

通过访问Attacker的2323端口访问JC的80端口,结果如下:

这里的portfwd模块不只是名字上的端口转发的意思,目前笔者认为portfwd相当于半个ssh正向代理加一个
ssh反向代理组成的综合命令,ssh正向反向代理可参考这里的理解  ssh正向反向代理理解笔者认为portfwd命令之后Attacker可以通过访问Attacker本身ip的2323端口进而访问到JC的80端口期间发生了3件事

1.RD访问JC的80端口,这里相当于半个ssh正向代理 2.RD绑定已经访问到的JC的80端口的数据到Attacker的2323端口,这里相当于一个ssh反向代理,相当于RD有Attacker的ssh权限 3.攻击者的浏览器访问攻击者自己的172.16.0.20:2323  portfwd的用法如下:

meterpreter > portfwd -h Usage: portfwd [-h] [add | delete | list | flush] [args] OPTIONS:      -L >opt>  The local host to listen on (optional).      -h        Help banner.      -l >opt>  The local port to listen on.      -p >opt>  The remote port to connect on.      -r >opt>  The remote host to connect on. meterpreter >

其中-L只能设置为攻击者的ip,不能设置为肉鸡的ip,-L设置的ip可以是攻击者的内网ip,-r也可以是目标的内网ip,两个内网之 间通过meterpreter会话的"隧道"来连通,如果-L后设置的ip是攻击者的内网ip,-r后设置的是目标机器的内网ip,portfwd通过 meterpreter会话连通两台,-l是指攻击者的监听端口,运行完上面的portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20 命令后,Attacker的2323端口将变成监听状态(也即Attacker会开启2323端口) 这里还要注意route add命令只能是在meterpreter会话中有效,不能系统全局有效,笔者认为route add也是通过meterpreter会 话的"隧道"来实现攻击者能够访问目标机器其他网段机器的,也即在上面的Attacker通过portfwd来实现访问目标机器其他网段 机器而不能因为在portfwd模块运行前由于已经运行了route add模块而由Attacker的浏览器直接访问目标7.7.7.20:80,因为 route add只会给msf的模块提供meterpreter会话通道作为代理服务,只有meterpreter会话下可用的模块可以直接访问7.7.7.x 网段,Attacker的浏览器想直接访问7.7.7.20需要使用proxychins和msf开启的sock4代理.

上面访问得到目标机器JC的80端口信息看出JC运行的是Eash File Sharing Web Server,可用msf中的模块尝试getshell,操作如 下(如果没有在meterpreter中添加路由msf是访问不到7.7.7.20的):

或者从JC(7.7.7.20)22端口入手:

然后用hydra本地用msf模块开启的1080端口的sock4代理尝试爆破:

发现有可用帐户密码admin:123456,然后再用sock4代理ssh登录:

或者用ms08067:

成功溢出getshell后查看JC(7.7.7.20)网卡信息:

发现又出现一个8.8.8.x的网段,于是将这个网段添加路由,以便msf中的模块可以访问到8.8.8.x网段

0x03 Step3

先直接用新的meterpreter shell看看8.8.8.x这个网段有什么机器

为了让msf中所有模块都能访问到8.8.8.x网段,在新的meterpreter会话中添加路由:

为了让Attacker的除了msf模块以外的其他应用程序能访问到8.8.8.x网段,再使用msf的开启sock4代理的模块开启另外一个端口 作为8.8.8.x网段的入口:

也即现在Attacker本地的1080端口的代理可以访问到7.7.7.x网段,1081端口的代理可以访问到8.8.8.x网段,然后将新开的端口 添加到proxychains的配置文件中:

上面的两个代理相当于扇门的钥匙,172.16.0.20:1080是7.7.7.x的钥匙,172.16.0.20:1081是7.7.7.x后面的8.8.8.x的钥匙 ,Attacker要想访问到8.8.8.x可以通过先打开7.7.7.x的门,再打开8.8.8.x的门(因为8.8.8.x这个门在7.7.7.x这个门之后)

使用Attacker本地的nmap扫描下8.8.8.x网段:

发现8.8.8.9(SK)这台机器可能有漏洞,用msf模块尝试getshell:

翻译自:https://pentest.blog/explore-hidden-networks-with-double-pivoting/

另外

关注安全技术公众号征稿：

范围：

内外网渗透、横向渗透、技巧、代码审计类文章，国外翻译的质量文章。

要求：

未发布、有亮点。

投稿方法及形式：

[email protected]，DOC文件。

赏金：

采纳后￥50至￥200或者书。

本文始发于微信公众号（关注安全技术）：多重转发渗透隐藏内网