團隊:admin team
0x00 前言
前段時間再看 metasploit 和白帽子講 web 安全,就一直想自己搭個從 web 端滲透進入內網的環境玩一下,不過因為不太懂計網的知識,拓撲圖也看不明白,搭建的過程太心酸了。趕著週末,問了群裡大佬,算是終於可以玩一下了。
0x01 搭建
i春秋
freebuf
這裡簡單說一下我搭建的環境。
記憶體 8 g 的電腦兩台,機械革命和室友的聯想,連著手機開的熱點。
(建議換配置高的吧,開6臺虛擬機器卡死......辛苦我「老婆」了)
(開5臺的時候...)
機械革命的安裝了 6 臺虛擬機器做為測試環境,網路型別為橋接模式。
(如果你以前用過 vmware ,修改過虛擬網路配置,建議配置虛擬網路的時候還原預設,大佬可跳過。)
(1.) windows 10
ip 192.168.43.121 密碼設空 開放 445 埠。
(2.) windows 7
ip 192.168.43.68
(3.) windows 2012
ip 192.168.43.242 搭建域環境 開放 445 埠。
ip 192.168.43.149 開放445埠
(5.) windows 2008
ip 192.168.43.127 安裝 phpstudy 服務 開80埠
(6.) windows 2008
ip 192.168.43.25 安裝 sqlserve 服務
sqlserver 使用者名稱:sa 密碼:wpx123456! 開1433埠
室友的聯想安裝了 1 臺虛擬機器 kali 作為攻擊者,網路型別為橋接模式。
ip 192.168.43.194.
0x02 滲透思路
既然是從 web 端入手,我們就從 5 號機開始,五號機開了 80 埠,phpstudy 預設配置,我們可以從 phpmyadmin 下手,寫 shell 連菜刀,提伺服器。
然後以此為基礎,nmap 掃瞄同一網段的 ip 位址,然後針對每台機器上開放的服務和埠,利用 kali 中強大的 msf 或者其他提權方式,進行其他主機的滲透。
0x03 開始滲透
(1.) 5號機 windows 2008
通過 phpinfo 頁面檢視**根目錄,弱口令進 phpmyadmin 。
寫 shell 連菜刀,因為不能直接寫,所以我們利用日誌檔案來寫入shell。
新增使用者,賦予管理員許可權。
目標機沒有開3389,我們嘗試輸入以下命令開3389,遠端連線。
這樣我們就拿到了第一台主機的許可權。
接下來我們利用kali的msf 對目標機的ip段進行掃瞄。
下面是掃瞄結果:
(2.)6號機 windows2008
這台伺服器上安裝有 sqlserver 服務,我們利用 msf 的相關模組對 sa 密碼進行爆破,並嘗試使用 msf 中mssql_payload 模組來獲取互動式shell。
這裡不知道為什麼攻擊荷載一直傳不上去,所以我換了乙個思路,剛才已經利用msf 得到了 sa 使用者的密碼,我們可以利用 xp_cmdshell 進行提權,新增使用者,遠端連線。
(3.)2、4號 windows7、windows2003
這兩個版本都是存在永恆之藍漏洞的,我們直接利用 msf 的相關模組打就行了,拿到許可權,新增使用者,開3389,遠端連線。
(4.)3號 windows2012
利用msvenom 生成木馬檔案,上傳到目標主機,可開3389 遠端連線,然後我們上傳 mimikatz 來獲取域控管理員密碼雜湊。
(5.)1號 windows 10
這裡我們找一台已經拿到的機器,然後在該機器上建立 ipc 連線,利用 ipc$ 入侵win10,將 win10 的某個碟符對映到該機,上傳執行木馬檔案,獲取 msf shell。
阻止ipc 內網入侵 來,我們聊聊內網滲透!
0x00 前言 前段時間再看 metasploit 和白帽子講 web 安全,就一直想自己搭個從 web 端滲透進入內網的環境玩一下,不過因為不太懂計網的知識,拓撲圖也看不明白,搭建的過程太心酸了。趕著週末,問了群裡大佬,算是終於可以玩一下了。0x01 搭建 i春秋 freebuf 這裡簡單說一下我...
4 內網滲透之IPC 入侵
ipc 連線 ipc 的概念 ipc internet process connection 是共享 命名管道 的資源,它是為了讓程序間通訊而開放的 命名管道,可以通過驗證使用者名稱和密碼獲得相應的許可權,在遠端管理計算機和檢視計算機的共享資源時使用。ipc 的作用 利用ipc 連線者甚至可以與目標...
如何防範ipc 入侵
1禁止空連線進行列舉 此操作並不能阻止空連線的建立 首先執行regedit,找到如下組建 hkey local machine system currentcontrolset control lsa 把restrictanonymous dword的鍵值改為 00000001 如果設定為2的話,有...