avatar

内网穿透Demo0x0

简单介绍一下拓扑图,攻击者和受害者边界机器处于同一网段,受害者内网机器处于另一个网段,默认路由是边界机器,并只能通过边界机器来访问。本文所涉及的漏洞均可根据实际换成其它漏洞。很多时候,虽然利用的漏洞不同,但是渗透模型还是殊途同归。

攻击者Mac的ip地址:192.168.1.107
攻击者Xp的ip地址:192.168.1.114
攻击者的win7的ip地址:192.168.1.110
受害者边界机器win08的ip地址:192.168.1.109
受害者内网机器win7的ip地址:192.168.142.128

拿下边界机器

通过前期的信息收集,发现这台机器开放了445端口,于是想到了ms17_010,简单粗暴,上NSA工具包走一发 。

Eternalblue + Doublepulsar


首先进行一些基本的配置,如上图。

接着配置一下构架和所要执行的功能,这里win08是x64位的,可根据实际情况做调整。功能的话默认是0->DANE,这里我们要回调,所以选择1->FB

其它的选项默认即可,配置完后执行功能,发现这台边界机器已经被拿下了。为了方便我们的控制,这里我选择先拿一个Metasploit的sessions,方便后续的渗透。

我们生成一个dll类型的后门,然后用Doublepulsar来执行这个后门。在攻击者的mac下生成后门,然后使用msf的exploit/multi/handler模块来监听反向后门的连接,并根据生成后门时的payload来配置

来到攻击者的xp,使用Doublepulsar模块,在攻击成功后的命令行执行use Doublepulsar,在协议处选择smb,构架根据实际,这里是x64,选择功能处为2,运行dll。

执行成功后,应该会有一个sessions返回

后渗透

如果服务器存在安全类服务软件,我们这个阶段所上传的工具必须免杀或者用一些不被杀的服务,这个将在内网穿透Demo0x1或者后续的文章中体现,先从简单(入门)到困难(放弃)。

上传工具

内网穿透的工具Termite agent_win32.exe
一款远控生成的客户端ser.exe

Termite工具的下载地址

需要注意的是在win下,目录必须为\\,否则会报错。本来把agent_win32.exe改成ag32.exe,少输入几个字符,但是执行时发现不能正常运行,改回来后就ok了。

可以看到在指定文件夹下,工具已经成功上传。这里解释一下有了msf的sessions,为什么还要再上一个远控。
在实际渗透中,渗透一个目标内网往往会花费很长时间,内网环境复杂,并且很多会有流量监控等等,这当中如果sessions掉线,reverse_tcp是不会回连的,如果被控制机器很多的话,命令行下不如图形话的好管理,当然还有很多理由,将在后续文章中体现

来到win7下远控的服务端,可以看到在边界机器win08已经正常上线了。

架设socks代理

首先在受害者的边界机器win08上执行agent_Win32.exe,这条命令使受害者的机器监听一个8899端口
agent_Win32.exe -l 8899

在攻击者的mac下使用admin_MacOS来连接受害者的机器,这条命令让攻击者的mac作为管理者身份去连接被管理者
./admin_MacOS -c 192.168.1.109 -p 8899

现在可以看到二者的连接已经正常了,用show命令来查看当前网络拓扑,M代表mac,W代表win08,0和1为它们的id号。使用命令go to 1,转到win08的管理,使用如下命令架设socks5代理socks 5555

socks隧道已经架设完毕,需要通过相应的工具来使用这个隧道。在mac下我们使用这条命令来安装代理工具
brew install proxychains-ng
在kali里已经集成,在linux系统下,使用如下命令安装
sudo apt install proxychains
安装好后,编辑配置文件,使代理生效。
vim /usr/local/etc/proxychains.conf

在攻击者的win7下,使用sockscap64这个软件来代理我们的流量,测试登陆192.168.142.128这个网段的3389,看到能正常连接。

至此,内网穿透Demo0x0已经完成。由于近期考试,时间比较紧张,文章太长显得臃肿,思路也不好叙述。所以就分开几篇文章来写,后续将更新内网穿透Demo0x1,尽情期待。

Author: CarlStar
Link: http://yoursite.com/2018/04/04/%E5%86%85%E7%BD%91%E7%A9%BF%E9%80%8FDemo0x0/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.

Comment