回想起那段熬夜打攻防的日子,那是我曾燃烧过的青春
msf反弹shell打域控
内网穿透
前面发现,两台机器均开启445端口,不用多说,总之先永恒之蓝ms17-010怼上去。
但这里需要解决的问题是,环境中,只有跳板机rdyx1是能够与外网相连的,域内主机rdyx1和域控rdyx2都是无法连接外网。这就导致,我们需要先进行内网穿透才能够在攻击机rdyx0上访问到它们。
这里使用的工具是EarthWorm+proxychains
将ew上传到受控主机跳板机rdyx1上
meterpreter操作
开启正向socks5代理
msf的meterpreter转为shell操作
ew执行命令开启正向socks5代理
这里还需要修改proxychains.conf配置文件
进行如下修改
(PS:socks5在会话层,因此一般只能代理应用层的流量,而更底层的如ICMP协议等流量就无法被接管)
横向渗透
代理搭建
在利用攻击模块的时候又出现了一个问题,我们前面只设置了正向代理,只实现了攻击机rdyx0能够通过跳板机rdyx1访问域控,那成功拿下域控后我们该怎么获取回弹shell?
这里我选择中转监听。用frp做内网穿透(访问跳板机rdyx1的某个端口=访问攻击机rdyx0的某个端口,这样就能获取到回弹shell了)
具体实现:攻击机rdyx0上配置frp客户端frpc,跳板机rdyx1上配置frp服务端frps
使用如下命令安装frp
攻击机rdyx0的frpc.ini配置如下
配置如下:
注释要去掉如下:
将frp通过蚁剑上传到跳板机rdyx1
跳板机rdyx1的frps.ini的配置如下
运行frp服务端跳板机rdyx1
执行命令如下
客户端攻击机rdyx0
执行命令如下
成功建立了联系后,就可以利用ms17-010来攻击域控并获取回弹shell了
现在先理清关系:
访问跳板机rdyx1的5678端口等价于访问攻击机rdyx0的3333端口。因此我们的攻击payload需要写跳板机rdyx1的ip和端口(这里的ip需要写域控服务器能访问到的ip)。然后再另开一个msf来侦听攻击机rdyx0本机的3333端口。
生成并上传木马
前提条件是要通过跳板机rdyx1的会话配置路由
msf开启监听
执行如下命令
防火墙开启也能用
目标机器小管理员开了IPC$默认共享服务(逻辑盘、系统目录;)
获取了目标机器的小管理员的管理员权限的账号密码(最好是域管理员账号密码),明文的
提升到SYSTEM权限 查看进程
进程迁移
输入命令
通过net use建立IPC$连接
执行如下命令
使用msfvenom生成木马payload,里面的IP和端口自行修改,访问跳板机rdyx1的5678端口等价于访问攻击机rdyx0的3333端口。因此我们的攻击payload需要写跳板机rdyx1的ip和端口(这里的ip需要写域控服务器能访问到的ip)
生成一个rdyx0.exe,再用蚁剑传到刚刚的跳板机rdyx1中的www目录下
利用copy上传后门文件到域控
执行如下命令
两种执行木马文件的方式
第一种 ms17_010_command
前提条件是要通过跳板机rdyx1的会话配置路由
使用ms17_010_command模块尝试执行系统命令
具体执行命令如下
msf通过代理开启监听
具体执行命令如下
成功获取域内控制器的shell,之后就是各种横向移动、凭据获取、权限维持等等都能够实现。
第二种 任务计划
设置一个任务计划,定时启动木马之后就能够获取域控的shell了
具体执行命令如下
创建计划任务,/tn是任务名称,/sc是任务运行频率,这里指定为每天运行, /tr指定运行的文件,/F表示强制创建任务
运行任务,其中/i表示立即运行
删除计划任务
msf通过代理开启监听
具体执行命令如下
成功获取域内控制器的shell,之后就是各种横向移动、凭据获取、权限维持等等都能够实现。
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
原文始发于微信公众号(儒道易行):【攻防实战】手把手带你打穿某集团内网(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论