【攻防实战】手把手带你打穿某集团内网(下)

回想起那段熬夜打攻防的日子,那是我曾燃烧过的青春

msf反弹shell打域控

内网穿透

前面发现,两台机器均开启445端口,不用多说,总之先永恒之蓝ms17-010怼上去。

但这里需要解决的问题是,环境中,只有跳板机rdyx1是能够与外网相连的,域内主机rdyx1和域控rdyx2都是无法连接外网。这就导致,我们需要先进行内网穿透才能够在攻击机rdyx0上访问到它们。

这里使用的工具是EarthWorm+proxychains

将ew上传到受控主机跳板机rdyx1上

meterpreter操作

开启正向socks5代理

msf的meterpreter转为shell操作

ew执行命令开启正向socks5代理

这里还需要修改proxychains.conf配置文件

进行如下修改

(PS:socks5在会话层,因此一般只能代理应用层的流量,而更底层的如ICMP协议等流量就无法被接管)

横向渗透

代理搭建

在利用攻击模块的时候又出现了一个问题,我们前面只设置了正向代理,只实现了攻击机rdyx0能够通过跳板机rdyx1访问域控,那成功拿下域控后我们该怎么获取回弹shell?

这里我选择中转监听。用frp做内网穿透(访问跳板机rdyx1的某个端口=访问攻击机rdyx0的某个端口,这样就能获取到回弹shell了)

具体实现:攻击机rdyx0上配置frp客户端frpc,跳板机rdyx1上配置frp服务端frps

使用如下命令安装frp

攻击机rdyx0的frpc.ini配置如下

配置如下:

注释要去掉如下:

将frp通过蚁剑上传到跳板机rdyx1

跳板机rdyx1的frps.ini的配置如下

运行frp服务端跳板机rdyx1

执行命令如下

客户端攻击机rdyx0

执行命令如下

成功建立了联系后,就可以利用ms17-010来攻击域控并获取回弹shell了

现在先理清关系:

访问跳板机rdyx1的5678端口等价于访问攻击机rdyx0的3333端口。因此我们的攻击payload需要写跳板机rdyx1的ip和端口(这里的ip需要写域控服务器能访问到的ip)。然后再另开一个msf来侦听攻击机rdyx0本机的3333端口。

生成并上传木马

前提条件是要通过跳板机rdyx1的会话配置路由

msf开启监听

执行如下命令

防火墙开启也能用

目标机器小管理员开了IPC$默认共享服务(逻辑盘、系统目录;)

获取了目标机器的小管理员的管理员权限的账号密码(最好是域管理员账号密码),明文的

提升到SYSTEM权限 查看进程

进程迁移

输入命令

通过net use建立IPC$连接

执行如下命令

使用msfvenom生成木马payload,里面的IP和端口自行修改,访问跳板机rdyx1的5678端口等价于访问攻击机rdyx0的3333端口。因此我们的攻击payload需要写跳板机rdyx1的ip和端口(这里的ip需要写域控服务器能访问到的ip)

生成一个rdyx0.exe,再用蚁剑传到刚刚的跳板机rdyx1中的www目录下

利用copy上传后门文件到域控

执行如下命令

两种执行木马文件的方式

第一种 ms17_010_command

前提条件是要通过跳板机rdyx1的会话配置路由

使用ms17_010_command模块尝试执行系统命令

具体执行命令如下

msf通过代理开启监听

具体执行命令如下

成功获取域内控制器的shell,之后就是各种横向移动、凭据获取、权限维持等等都能够实现。

第二种 任务计划

设置一个任务计划,定时启动木马之后就能够获取域控的shell了

具体执行命令如下

创建计划任务,/tn是任务名称,/sc是任务运行频率,这里指定为每天运行, /tr指定运行的文件,/F表示强制创建任务

运行任务,其中/i表示立即运行

删除计划任务

msf通过代理开启监听

具体执行命令如下

成功获取域内控制器的shell,之后就是各种横向移动、凭据获取、权限维持等等都能够实现。

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN: 
https://rdyx0.blog.csdn.net/

公众号:儒道易行
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
相关推荐
繁依Fanyi4 分钟前
简易安卓句分器实现
java·服务器·开发语言·算法·eclipse
C-cat.4 分钟前
Linux|环境变量
linux·运维·服务器
yunfanleo19 分钟前
docker run m3e 配置网络,自动重启,GPU等 配置渠道要点
linux·运维·docker
m512719 分钟前
LinuxC语言
java·服务器·前端
hakesashou25 分钟前
Python中常用的函数介绍
java·网络·python
C++忠实粉丝37 分钟前
计算机网络socket编程(4)_TCP socket API 详解
网络·数据结构·c++·网络协议·tcp/ip·计算机网络·算法
九州ip动态37 分钟前
做网络推广及游戏注册为什么要换IP
网络·tcp/ip·游戏
运维-大白同学41 分钟前
将django+vue项目发布部署到服务器
服务器·vue.js·django
Estar.Lee42 分钟前
时间操作[取当前北京时间]免费API接口教程
android·网络·后端·网络协议·tcp/ip
蝶开三月43 分钟前
php:使用socket函数创建WebSocket服务
网络·websocket·网络协议·php·socket