| 关键词: 网段 信息 进程 权限 机器 横向 auxiliary smb session 密码 |
运用到的一些msf攻击手法 获得shellGetshell的过程没什么好说的,无非简单的后台弱口令到上传然后冰蝎连接getshell。获得shell后,模拟终端ping 8.8.8.8有返回包,说明该服务器与外网互通。 ![]() 既然跟外网互通,那么可以尝试直接使用msf的exploit/multi/handler配合冰蝎反弹shell来获得session ![]() 但是结果很不尽人意,没能够成功获得session。在使用冰蝎模拟终端收集信息过程中,发现本地有powershell进程。 ![]() 再次打开msf,本次尝试使用web_delivery配合终端执行powershell指令来获得session。 ![]() ![]() 获得payload,使用冰蝎或者C刀模拟终端直接执行,成功获得session,执行getuid发现权限为system权限,省去了提权过程。 权限维持
我们使用ps查看当前进程,然后选中一个看起来比较持久的幸运儿spoolsv.exe(这是一个用来控制打印的进程,我遇到的机器基本都开启了此进程)注意:选择进程的时候优先选择系统进程,这种比较持久且为system权限 ![]() 内网信息搜集
接下来,查看IP信息以及arp缓存,查看网段分布情况: ![]() ![]() 发现该服务器只存在192.168.10.0/24网段的信息于是继续查看其他信息 发现服务器开放3389端口: ![]() 既然开启了3389端口,我们使用端口转发,登录到服务器看看有没有意外收获。 IP有了,3389开了,现在我们缺少的是用户名密码直接meterpreter下加载mimikatz 比较遗憾的是没能获取到明文密码,但是我这边使用cobalt strike加载的mimikatz成功获取到明文密码emmm总之搞不懂的地方先归为玄学问题 ![]() ![]() 现在,密码也有了,mstsc链接目标3389端口成功此处涉及的敏感信息较多,放弃截图,我尽量用语言表述清楚思路上传netpass查看rdp缓存,无果,但是发现系统有VNC
查看VNC相关文件发现新的网段信息,但是没有保存的连接信息,不过能获得新的网段信息也是知足了 ![]() 横向
根据之前发现的网段信息以及服务器本机的路由信息,我们手动添加路由 其他网段同理,添加路由之后bg退回到控制台先使用auxiliary/scanner/smb/smb_version模块扫描一下各网段的smb服务开启情况 ![]() 可以看到,活着的机器还挺多。 ![]() 然后,使用auxiliary/scanner/smb/psexec_loggedin_users模块配合已获得的两组账户密码进行横向 尴尬,横向失败,居然没有用同账户密码 ![]() 既然横向失败,可以考虑最简单的,但也是最实用的大杀器,ms17-010先使用scanner模块扫描一下哪些机器可能存在ms17-010的漏洞 ![]() 由于打ms17-010的流量比较大,为了防止死掉,我根据扫描出来的结果,针对性的选择一台感觉比较容易搞的目标,单独打。此处试了很多机器,好多都打了补丁,不过也有漏网之鱼,此处单独拿一台示例:Use auxiliary/admin/smb/ms17_010_commandset rhost 192.168.10.18set command whoamirun ![]() 成功执行,是system权限,同理command换成弹shell的命令,便可以获得该机器的权限。 ![]() 获得新机器的权限之后,便可以围绕新机器进行新一轮的信息搜集,然后不断横向,进一步扩大内网战果,以下,就不在多做测试。另外对于ms17-010,如果说打2003的机器,建议使用auxiliary/admin/smb/ms17_010_command模块进行执行命令获得session;其他的可以直接使用exploit/windows/smb/ms17_010_eternalblue或者exploit/windows/smb/ms17_010_psexec来直接获得session。 写在最后提醒家:道路千万条,安全第一条;渗透不规范,亲人两行泪。以上渗透测试过程纯属本人杜撰,渗透是不可能渗透的,这辈子都不可能渗透的。如果你还没懂那我也没办法啦 |
| 本文出处: https://www.toutiao.com/i6783584934658310670/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|