• UID101
  • 登录2018-03-04
  • 粉丝53
  • 发帖358
  • 科研点数9点
优异服役勋章
论坛之星服役勋章
高级电子或计算机学者
高级化学或能材学者
众望瞩目勋章
二级优质勋章
追星Maker纪念章
耕耘者十字勋章
MT论坛理事会理事
棕榈金质学术勋章
红盟大使 发布于2017-07-22 13:20
2/1656

【kali】如何用Metasploit和PowerShell让书城的BGM变成极乐净土

楼层直达
引言:
Metasploit是一个强大的开源的漏洞框架,其功能强大,以至于强大到能够写出一本厚厚的书(这么有名就不用说了吧?),所以如何利用这一神器,也是一个不小的问题,在走进了书城之后,我突然突发奇想,能不能利用这一神器,来干点坏事,本人对Metasploit的研究也不深,书还得慢慢啃呢(难得一次正经点的开头)


奇葩的测试环境:
为啥说奇葩,其实一开始,我的想法很简单,找到书城wifi之后,尝试爆破路由密码,登录之,接下来的事情就很好办了,要是爱情有那么简单就好了,然而开启我的wifi分析仪我就蒙了,除了书城-1层四个饭馆的wifi之外,整个书城居然没有一个wifi热点,那你让我怎么玩,后来我想了想,也许可以从官网入手,但我发现咱们书城根本没有官网啊,社工?肯定不行,我连客服电话都找不到,就在这时,我瞄到了书城的查询电脑,平时拿来查询书籍信息用的,我突然灵稽一动,我要的东西找到了


测试开始:
我简单的看了一下这台机子的信息,内网机器,对于我这种没有连接到书城网络的机子来说,当然是无法渗透的,但是我们可以通过映射内网的方式把机子映射出来,这里需要用到一个工具叫做lcx,用来设置内网端口转发的(详情参见:http://bbs.makertime.org/read-487),然后我也把Metasploit的默认监听端口映射到了外网,接着上传一个免杀的payload到机子上运行(我用的免杀工具是WinPayloads,前几天在freebuf上看见的,觉得挺好用就装了一个,至于我怎么发现机子的漏洞,他们的机器用到还是IE6.0,至于这个版本的IE,存在许多漏洞,nmap一扫便知
payload运行成功

图片:`B%P4L6Y5Z)S1]7RSASM32D.png





获取了权限之后,第一步肯定就是提权了,我的小心思还想着能不能用DNS的组合攻击来获取整个内网的权限的(http://bbs.makertime.org/read-552),不料局域网禁arp,那咱也没办法了,只能一步一步走了,一般来说,渗透进一个主机,我们必须要做好是Guest或者User的心理准备,而这种低权限通常会限制我们做许多事情,一般的思路是循序渐进,一步一步往上,当然你可以通过分析系统组策略和已知漏洞,来跨步行走,我们通常使用本地的溢出漏洞提权,就是利用一些现成的造成溢出漏洞的exploit,把用户从低权限的用户组(Guset&User)提升到高权限用户组(Administrator、root、system等)
当然咱的结果就令人不满意了,我就是User(渣图求谅解)

图片:72T_F$JTG02UPG@X~7}L11W.png





想了想,比较常见的溢出漏洞就是15_051和15_078了,没想到这个安全策略还不错,都失败了

图片:]GU4{S3KRYV_1{YGZRS4L{7.png



图片:OLQ1JTN2S}@U}@8QUA(}EP3.png



笑容渐渐呆滞。。。


算了,再试试能不能绕过UAC(Windows自带的账户控制),我试了试Metasploit上的bypassuac模块,这是一个很强大的模块,一般都能成功的,结果。。。(提权结束后我想起这里犯了一个低级错误,绕过账户控制的前提条件必须是当前用户要在管理组,且bypassuac并不是自带免杀,使用时会在目标上创建多个文件,会被杀毒软件查杀,如果一个搞不好,有可能连之前的payload也一起杀掉,这样就前功尽弃)

图片:R129PI1371$KK71LKFON30V.png



笑容完全消失


我又试了几种方法,均已失败告终,没关系,凡事要往乐观方面想,虽然我们的提权失败了,但是至少我们登录了内网,这样就有办法肛其他机子了


内网信息搜集:
信息搜集一般作为渗透测试的第一步,自从上次失败后,咱们算是开启了一个新阶段的渗透测试,在域渗透中,可以利用嗅探,抓Hash,抓包等方式获取敏感数据,我这里先看看域基本信息

图片:[1$5RO5LPIJLCQ94~K4[IYC.png


图片:0GBK(3@0(1}2O03H1RKMVEE.png



图片:D)K38LA)K$~`X~3M5UYDN6H.png



图片:V]$8Q2X09$5O]NZFV${M@DW.png





来说明一下,域渗透最终目的(不是你的最终目的)当然是获取域管理或成为其中一员,在此情况下,才可以对整个域随心所欲,情况有两种:
1.域服务器可以被直接攻击(在当前条件下已排除)
2.不可以直接攻击,低权限情况下需要提权,如果是当前主机无法连接域服务器,则需要找到能连接域服务器的主机,以此为前提攻击域服务器(去玩玩Hacknet吧!玩了你就明白了!)


简单分析下,咱们可以按如下方法一一尝试
1.提权当前主机,在高权限条件下攻击域服务器(得了吧我自己都放弃了)
2.利用自带的powershell扫描域
3.本地架设socks4a,然后用它扫描内网
4.利用当前用户攻击域内其他用户


在获取域用户前提下攻击其他机器,让我想起了经典的$IPC攻击,那干脆试试,反正域攻击方法有很多,咱们一个一个来(其实我就是没有工具蛤蛤蛤)

图片:]DM~UN3CP4HEYXWYZEK~F1T.png



果然可以,那接下来好办了,关于$IPC攻击的详细操作过程,百度上一搜一堆,但我还是要讲一下,假设目标为192.168.1.233,已确定目标存在$IPC的漏洞,操作如下:
1.net user \192.168.1.233\ipc$ (连接到192.168.1.233的$IPC共享)
2.copy 木马.exe \192.168.1.233\ipc$ (复制木马.exe到192.168.1.233上)3.at \127.0.0.25 15:30 木马.exe (使用at命令让主机在指定时间执行指定文件)
以上命令来自百度


那么运行完之后,咱们就返回Metasploit来监听了,然后监听到了返回的shell

图片:O281G~ZWI4})S_WL%P1BE7J.png





利用sysinfo和getuid来查看信息

图片:]T2[[%YVR{03M1K}WWDP6HG.png




惊喜,system权限,最高权限组之一,那么接下来就是抓Hash了,这里提供两种方法,一种是大杀器咪咪猫(Mimikatz),还有一种就是很常见的通过hashdump来获取hash了(run post/windows/gather/hashdump),值得一提的是,如果你详细阅读过咪咪猫的操作指南,就会发现,如果目标是64位系统,则需要把咪咪猫的进程迁移到一个64位进程中,如果不迁移,则会出现无法运行或抓出一堆乱码等情况,32位则随意

图片:IIIX6N4XK88U(A@YQ3MBDE8.png



图片:)_[W`1FIC5$W@[@M611WXP7.png



图片:5X`}3Q1_WI$KI[2V(1C2H@K.png



然后我发现其实书城还是有域名的,但是出了问题暂时关闭了,用户名和密码就是书城的域名,所以给它上了个码


接下来就是PowerShell的专场了,在此先科普一下PowerShell到底是个什么东西(以下简称PS),它曾经是Windows系统管理员的利器,它的可执行框架曾经是系统的组件所以很难被查杀,脚本小巧而功能强大,利用PS制作出的恶意代码很容易绕过常规的杀毒软件对系统造成破坏,所以它也是恶意软件制造者的宠儿,当前利用PS来制作恶意软件的现象正在变得越来越泛滥。
(详情参考:http://www.freebuf.com/articles/database/101267.html   Powershell恶意代码的N种姿势


Powershell内置的脚本有很多,在内网渗透测试中不仅能扫,能爆,能转发,还能做很多很多的事情。通常会用到的脚本有Powersploit,Empire,PowerView等等。


然后咱们科普一下计算机的执行策略(以下内容来自百度):

Restricted------默认的设置,不允许任何script运行
AllSigned-------只能运行经过数字证书签名的script
RemoteSigned----运行本地的script不需要数字签名,但是运行从网络上下载的script就必须要有数字签名
Unrestricted----允许所有的script运行


很显然,如果想用PowerShell的脚本搞点事情,咱们必须得把Restricted改成Unrestricted,不然接下来的步骤没法走,但修改这个策略需要管理权限,又必须要绕过uac策略,那下面提供两种方法(感谢shuteer大神的指导):



本地权限绕过执行PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1
本地隐藏权限绕过执行脚本PowerShell.exe -ExecutionPolicy Bypass -NoLogo -Nonlnteractive -NoProfile -WindowStyle Hidden(隐藏窗口) -File xxx.ps1

接下来先利用powerview来获取域管理员在线的服务器,然后将PV的Invoke-UserHunter模块上传到我们之前拿下的跳板服务器,然后使用该命令,具体命令如下:

powershell.exe -exec bypass -Command "&{Import-Module .\powerview.ps1;Invoke-UserHunter}"`

图片:44@}LP697AMB9X0XG))US1Y.png


(PS:这里忘记截图所以直接盗了shuteer大神的图了。。。)
从上图可以看出域管理在线服务器,我们只要入侵此服务器并迁移进程,就完成渗透了

我们可以用getsystem来提升权限,接着getuid查看当前用户组,通过对比之前的域管理信息不难发现,我们现在是管理组了,然后用PS命令(注意这里是真·PS命令,不是Powershell的缩写),来找找管理进程,一般来说我们可以把shell进程迁移到域控进程,或者用Metasploit的令牌窃取(详见http://bbs.makertime.org/read-556),都是可以完成提权目的的

图片:5{XSM0PUID8V1{N2UHE(5AC.png




提供一个域渗透小技巧,为了方便域时间校准,提供时间的服务器一般都为域服务器,用net time来获取时间,给你提供时间的服务器基本就是域服务器了,得到之后,依葫芦画瓢,再利用一次$IPC入侵,来获取域服务器的shell,结果。。。

图片:[TDWH[_P6D11U%IZ~2MU6JM.png


schtasks.exe错误???为什么我之前没有遇到过

算了算了,不搞那么多幺蛾子,直接添加一个域管理得了

终于。。。 域控上的管理也到手了,我估摸着那个音乐管理器是真·域控管理的用户上才有的,那咱再来抓hash,咱们先登录域控,我们这里采用最常见也是效果最好的metasploit下面的psexec来反弹meterpreter,获取登录权限

图片:KV}}~$U6)XRG@4YDQHF}M8U.png




迁移进程。。。(再次盗图)

图片:TT1Z7UV(NXX4AXOA2[59WFJ.png



接着抓取Hash,登录之(上文有提及这里就不说了)

然后,我来到了域控的真·管理用户,你猜我发现了什么?没错,QQ音乐(不是网易云差评!),接着我上传了个极乐净土,开始运行


我放了大概一分钟,看到书城管理从我身边急匆匆的跑过,我有点怂就给关了,接着不要脸的跑去七楼等我正在补习的女朋友了


一点小小的反思:
1.使用UAC绕过时太疏忽了,幸亏机子上的杀软没那么变态,不然得重新来过,而且是高难度的重新来过
2.刚开始渗透时思路不清,白白浪费了一堆时间
3.至今没有搞清schtasks.exe错误出现的原因,下次再出现恐怕就没那么好运
4.前期信息搜集依然不到位





本贴完
鸣谢悉心指导我的shuteer大神,本文有诸多内容和方法来自互联网,感谢那些PowerShell和Metasploit的使用者!


2017.7.22







水可载舟亦可赛艇!
  • UID648
  • 登录2018-10-20
  • 粉丝13
  • 发帖74
  • 科研点数0点
优异服役勋章
二级银心勋章
论坛之星服役勋章
GloomyGhost 发布于2017-07-22 15:35
沙发F
俗话说:kali用的好,监狱进得早
评分1条评分,MT币+5
<b>DO YOURSELF</b>
  • UID2501
  • 登录2018-07-12
  • 粉丝0
  • 发帖3
  • 科研点数0点
去玩儿123 发布于2018-07-12 21:48
板凳F
升级
您需要登录后才可以回帖
发表回复

杩斿洖椤堕儴