【攻防实战】手把手带你打穿某集团内网(下)

回想起那段熬夜打攻防的日子,那是我曾燃烧过的青春

msf反弹shell打域控

内网穿透

前面发现,两台机器均开启445端口,不用多说,总之先永恒之蓝ms17-010怼上去。

但这里需要解决的问题是,环境中,只有跳板机rdyx1是能够与外网相连的,域内主机rdyx1和域控rdyx2都是无法连接外网。这就导致,我们需要先进行内网穿透才能够在攻击机rdyx0上访问到它们。

这里使用的工具是EarthWorm+proxychains

将ew上传到受控主机跳板机rdyx1上

meterpreter操作

开启正向socks5代理

msf的meterpreter转为shell操作

ew执行命令开启正向socks5代理

这里还需要修改proxychains.conf配置文件

进行如下修改

(PS:socks5在会话层,因此一般只能代理应用层的流量,而更底层的如ICMP协议等流量就无法被接管)

横向渗透

代理搭建

在利用攻击模块的时候又出现了一个问题,我们前面只设置了正向代理,只实现了攻击机rdyx0能够通过跳板机rdyx1访问域控,那成功拿下域控后我们该怎么获取回弹shell?

这里我选择中转监听。用frp做内网穿透(访问跳板机rdyx1的某个端口=访问攻击机rdyx0的某个端口,这样就能获取到回弹shell了)

具体实现:攻击机rdyx0上配置frp客户端frpc,跳板机rdyx1上配置frp服务端frps

使用如下命令安装frp

攻击机rdyx0的frpc.ini配置如下

配置如下:

注释要去掉如下:

将frp通过蚁剑上传到跳板机rdyx1

跳板机rdyx1的frps.ini的配置如下

运行frp服务端跳板机rdyx1

执行命令如下

客户端攻击机rdyx0

执行命令如下

成功建立了联系后,就可以利用ms17-010来攻击域控并获取回弹shell了

现在先理清关系:

访问跳板机rdyx1的5678端口等价于访问攻击机rdyx0的3333端口。因此我们的攻击payload需要写跳板机rdyx1的ip和端口(这里的ip需要写域控服务器能访问到的ip)。然后再另开一个msf来侦听攻击机rdyx0本机的3333端口。

生成并上传木马

前提条件是要通过跳板机rdyx1的会话配置路由

msf开启监听

执行如下命令

防火墙开启也能用

目标机器小管理员开了IPC$默认共享服务(逻辑盘、系统目录;)

获取了目标机器的小管理员的管理员权限的账号密码(最好是域管理员账号密码),明文的

提升到SYSTEM权限 查看进程

进程迁移

输入命令

通过net use建立IPC$连接

执行如下命令

使用msfvenom生成木马payload,里面的IP和端口自行修改,访问跳板机rdyx1的5678端口等价于访问攻击机rdyx0的3333端口。因此我们的攻击payload需要写跳板机rdyx1的ip和端口(这里的ip需要写域控服务器能访问到的ip)

生成一个rdyx0.exe,再用蚁剑传到刚刚的跳板机rdyx1中的www目录下

利用copy上传后门文件到域控

执行如下命令

两种执行木马文件的方式

第一种 ms17_010_command

前提条件是要通过跳板机rdyx1的会话配置路由

使用ms17_010_command模块尝试执行系统命令

具体执行命令如下

msf通过代理开启监听

具体执行命令如下

成功获取域内控制器的shell,之后就是各种横向移动、凭据获取、权限维持等等都能够实现。

第二种 任务计划

设置一个任务计划,定时启动木马之后就能够获取域控的shell了

具体执行命令如下

创建计划任务,/tn是任务名称,/sc是任务运行频率,这里指定为每天运行, /tr指定运行的文件,/F表示强制创建任务

运行任务,其中/i表示立即运行

删除计划任务

msf通过代理开启监听

具体执行命令如下

成功获取域内控制器的shell,之后就是各种横向移动、凭据获取、权限维持等等都能够实现。

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

复制代码
CSDN: 
https://rdyx0.blog.csdn.net/

公众号:儒道易行
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
相关推荐
jyhappy123几秒前
USB系统学习笔记 - 从概念到抓包解析
网络
xzq_java几秒前
CentOS操作系统虚拟机安装以及连接工具下载和远程连接工具远程连接
linux·运维·centos
青草地溪水旁8 分钟前
互联网接入网中PPPoE和PPP协议
网络·ppp·接入网
Sweety丶╮7941 小时前
【Ansible】实施 Ansible Playbook知识点
服务器·云原生·ansible
ZLRRLZ1 小时前
【Docker】Docker安装
运维·docker·容器
逐梦吧!旅行者1 小时前
Linux之环境变量(内容由浅入深,层层递进)
linux·运维
挨踢攻城1 小时前
Linux 应急响应实操 Checklist
linux·运维·linux命令·rhce·rhca·厦门微思网络·linux 应急响应
wanhengidc2 小时前
什么是云手机?
运维·网络·安全·游戏·智能手机
optiz2 小时前
细菌基因组genome二代测序数据分析
linux·运维·服务器
机器人梦想家2 小时前
pymodbus启动一个简单的modbus tcp server
网络·网络协议·tcp/ip