欢迎访问本站!

首页科技正文

usdt场外交易平台(www.payusdt.vip):内网渗透--对不出网目的的打法

admin2021-04-0832安全技术众测渗透

USDT跑分

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

文章简介

这篇文章使用红日渗透靶场(一)来举行演习对内网不出网机械的渗透,在这里谢谢师傅们提供了现成的靶场环境,供我们小白来举行学习和演习。这个靶场设计的对照简朴,然则通过这个靶场环境,接纳多种手段举行渗透,可以使自己在没有那么多授权的真实环境条件下,通过靶场提高自己的手艺。

设置 ***

在VM虚拟机中根据下边的 *** 拓扑举行设置 *** 。 *** 拓扑图如下:

win7具有双网卡,其中外网ip是192.168.8.133,内网网段是52。三台机械相互互通,然则win server 2008和win2003不通外网。用我mac作为攻击机,来对这个靶场环境举行渗透测试。

外网打点

在win7这台靶机上,使用PHPStudy让网站可以运行起来。在攻击机上,接见 http://192.168.8.133 可以看到是一个phpStudy 探针。对这网站举行渗透,由于本文主要写在内网渗透历程中对不出网主机的渗透,以是此处外网打点就不写的很详细了。
针对此靶场举行外网渗透拿权限大致有这几种方式:

  1. 通过phpmyadmin弱口令,进入phpmyadmin后台。然后知识点就酿成了,通过phpmyadmin举行getshell,这个点又分为,获得网站绝对路径后,使用select into outfile的方式写shell和行使日志写shell。在此处,我是使用日志写shell的方式拿到权限。由于secure_file_priv设置为null,制止修改目录下的文件,也就不能使用into outfile的方式写入shell。
  2. 通过目录扫描可以扫出beifen.rar,备份文件。在源码中可以找到上岸后台的账号密码:admin/123456和上岸路径/index.php?r=admin,在前台模板文件中添加一句话木马毗邻也可获取shell。

获得webshell的信息 ***

通过外网打点获得的webshell,可以举行一波信息 *** ,摸清我是谁?我在哪?有没有内网环境?有没有杀软?通过拿到webshell后的信息 *** 的效果来评估一下有没有需要继续深入或者劈头领会继续深入的话需要哪些手段。

我是谁?

蚁剑已经给出基础信息

我在哪?

使用ipconfig /all 看一下 *** 信息

目的有两个网卡,而且存在域环境,那么就有打它内网的需要了。

有没有杀软?

tasklist查看一下历程信息


凭证历程查一下是否有杀软


目的没有使用杀软,尚有域环境那么让它直接cs上线。

内网渗透

cs上线

内网信息 ***

信息 *** 每小我私人都有自己的习惯,信息 *** 的顺序和信息 *** 的项目也都不太一样,只要凭证自己的习惯和嗅觉,针对目的详细情形举行 *** ,以求尽快的拿下目的就好。信息 *** 的越周全突破口也就会越多,思量到篇幅和文章内容匹配度等因素,此处并没有写出大量信息 *** 方式。

  1. 使用cs自带的net view查看域信息。


使用cs自带功效举行端口扫描,划分对8和52两个网段举行扫描举行完这两个步骤以后,cs会把扫到的目的列出来。

  1. 由于拿到的是治理员权限,可以先抓一波密码。用 cs 的 hashdump 读内存密码,用 mimikatz 读注册表密码:logonpasswords。


此处打码的地方是由于设置靶机上岸时靶机提醒重置密码,我给靶机改了个包罗小我私人信息的密码。蠢哭。拿到密码后,目的主机没有开启防火墙,可以使用cs自带的psexec做一波横向,由于抓到许多域中机械密码,域控密码也抓到了。

内网横向(通过登录凭证)

这个靶机设置的对照简朴,抓到密码后,由于抓到了域控上岸的凭证,那么使用psexec即可横向内网所有机械。由于,另外两台内网的机械不出网,那么就到了本文着重演习的点了,打不出网的机械。
不出网机械上线一样平常有以下几种方式:

  • 使用 *** b beacon
  • 设置listener通过HTTP署理上线
  • 使用pystinger搭建socks4署理

这几种方式之前有师傅也在先知写过《不出网主机上线方式》。此处我接纳的 *** B beacon这个方式。

*** B Beacon使用命名管道通过父级Beacon举行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到义务并发送。由于链接的Beacons使用Windows命名管道举行通讯,此流量封装在 *** B协议中,以是 *** B beacon相对隐藏。 *** B beacon不能直接天生可用载荷, 只能使用 PsExec 或 Stageless Payload 上线。

首先获得内网中一台主机的beacon,抓取密码后举行 *** b喷射,获得另一台开放445端口的机械上的administrator账户密码,在目的机械不出网的情形下,可以使用Smb beacon使目的主机上线

,

USDT线上交易

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

使用条件

  • 具有 *** B Beacon 的主机必须接受 445 端口上的毗邻。
  • 只能链接由统一个 Cobalt Strike 实例治理的 Beacon。
  • 行使这种beacon横移必须有目的主机的治理员权限或者说是拥有具有治理员权限的凭证。

使用方式:
1.确立 *** b的listener

2.在cs中使用psexec举行横向移动,选择现有的beacon作为跳板,这里凭证必须是administrator ,即拥有目的主机治理员权限

3.毗邻乐成,可以看到 *** b beacon上线的主机右侧有∞∞标识


使用这种方式上线的机械,主要是通过出网机作为一其中央人,不出网主机乐成上线后,若是出网机一断开,这个不出网主机也会断。

内网横向(通过ms-17010)

在拿下win7的时刻,可以给它传一个fscan,给win7做一个内网大保健。上传fscan后,运行扫一下内网。

发现存在ms17010。
ms17010常见的几种打法:

  • msf
  • ladon/ladon_ms17010
  • 从msf星散出的exe
  • nessus里的exe
  • cs插件
    这几种打法,我在这个环境中都做过实验。历程就纷歧一叙述了,直接说我测试的效果。msf是最稳固的,然则打起来有稍许的贫苦由于要设置监听模块和选择攻击模块等设置。ladon_ms17010利便然则不太稳有时刻会打不乐成。cs插件也不稳,而且在这种不出网 *** 不稳固的情形下乐成率会变的更低。

这个图片的ip可能跟上边设置符不起来,由于我在测试历程中,网断过几回,ip就变了。以是,在打的时刻,若是ladon和星散出的exe没有打成,不要容易放弃,用msf在打打试试,究竟工具就是工具,不能太过依赖某个工具。
在这种不出网的情形下,可以优先思量使用从msf星散出的exe和ladon_ms17010来打,打乐成会直接通过自界说的dll新建一个用户并加入治理员组,开启3389端口。凭证现真相形,可思量在合适的时间段和条件下直接远程登入,翻一下敏感数据,往往会由于运维职员的许多“好习惯”而给渗透带来许多便利,好比说“密码本.txt”。

msf打不出网机械的ms17010

msf在单兵作战的时刻照样很稳固很香的。首先,让出网机械先在msf上线,可以用cs直接通报会话,或者天生个msf马直接运行一下。在这的方式就许多了。win7在msf上线后,由于我们已经提前知道了,存在52这个不出网的段,那么就需要在msf中添加路由。

  1. 查看路由
    run get_local_subnets

  2. 添加路由
    run autoroute -s 192.168.52.0/24

  3. 查看添加的路由
    run autoroute -p

  4. 把shell切换到后台,然后使用ms17010模块举行破绽行使,监听时使用正向监听,即可

小贴士:

破绽检测方式:
use auxiliary/scanner/ *** b/ *** b_ms17_010
之后设置一下目的ip和线程即可,这里由于已经扫出存在破绽的机械了,也就不在叙述。
破绽行使常使用的是:

auxiliary/admin/ *** b/ms17_010_command
exploit/windows/ *** b/ms17_010_eternalblue
exploit/windows/ *** b/ms17_010_psexec

这里的第一个和第三个模块需要目的开启命名管道,而且对照稳固。第二个模块只要存在破绽即可,然则会有概率把目的打蓝屏,而且杀软阻挡也会对照严酷,若是有杀软就基本可以放弃这个模块了。
在打ms17010的时刻,不妨使用auxiliary/admin/ *** b/ms17_010_command模块探测一下是否可以使用命名管道。

use auxiliary/admin/ *** b/ms17_010_command
set rhosts 192.168.164.156 192.168.164.161
set command tasklist
show options
run

若是下令执行乐成的话就可以优先思量

auxiliary/admin/ *** b/ms17_010_command
exploit/windows/ *** b/ms17_010_psexec

这两个模块举行行使。

我在上边打得时刻由于目的机械没有杀软就直接使用exploit/windows/ *** b/ms17_010_eternalblue来打了,时代为了测试打过多次,确实泛起了把目的机械打重启的情形。

总结

这个靶场设计的技术点对照基础,外网打点获得shell后,直接可以通过cs上线,在治理员权限下,抓取密码,新建一个 *** b beacon然后使用psexec对内网两台不出网的机械举行横向。
借着这个靶场环境,对靶场预设破绽使用多个手段举行实验,并在这里做个总结,包罗phpmyadmin拿shell的几种方式,内网不出网机械若何上线,使用多种方式打内网中不出网的ms17010以及在打ms17010时所要注重的细节。

网友评论