网站首页 收藏本站 联系我们
  • 首页
  • 关于望驰
    • 关于我们
    • 技术优势
    • 企业文化
  • Parasoft
    • Virtualize
    • Jtest™
    • Insure++™
    • SOAtest™
    • C++test™
    • dotTest™
  • Cybellum
    • Cybellum
  • beSTORM
    • beSTORM
  • Synopsys
    • Seeker
    • AppCheck
    • Coverity
  • 主营产品
    • Fortify
    • Security Fortify
    • CheckMarx
    • Deepkeep
  • Micro Focus
    • UFT
    • ALM Octane
    • WebInspect
    • LoadRunner
    • UFT Pro
    • Mobile Center
    • Service Virtualization
    • Network Virtualization
  • 测试仪器
    • CxCodebashing
  • 项目案例
    • 汽车解决方案
    • 金融解决方案
    • 工业控制系统
    • 医疗
    • 航空航天
    • 安全实验室
  • 行业新闻
    • 企业新闻
    • 行业动态
  • 联系我们
项目案例
汽车解决方案
金融解决
工业控制系统
军工
航空航天
安全实验室
医疗
  • 热门资讯
  • • Checkmarx:安卓又一严重漏洞!威胁着10亿人的..
  • • Checkmarx测评|物联网设备正在泄露你多少隐私..
  • • SlavaBronfman的访谈–Cybellum
  • • MISRAC++和AUTOSARC++的合并:软件开发行业专..
  • • 面向服务架构(SOA)的汽车软件分析和设计..
  • • 世界智能网联汽车大会
安全实验室首页 -> 项目案例 -> 安全实验室 -> 正文
如何进行内网渗透
摘要:如何进行内网渗透

目录结构



0x01 DMZ渗透

首页

看到DMZ开启了web服务,是一个typecho的cms,后台默认就是/admin



弱口令admin1234


但是找了一圈并没有发现有什么可以利用的,网上有一个反序列化的洞可以用。



get shell


到这里呢,想了想我们的目标是内网,并且防火墙没开,就不考虑提权了

0x02 跳板及内网探测


现在的目标是将此DMZ服务器当作跳板并探测内网的服务器。


0x2.1 做跳板


采用ew套接字代理,服务器上运行准备好的ew_for_linux64,本地使用proxifier配置如下:


代理规则配置如上,可以根据情况具体配置,以上是Windows端的配置,但是渗透难免会用到kali,所以kali也需要配置:


首先修改一下/etc/proxychains.conf,如下图所示:


修改完成后保存,然后就可以proxychains nmap等等。


至此,跳板配置基本完成。

还有一种方法是利用msf生成马儿让目标运行,反弹回来meterpreter查看路由添加路由,然后msf就可以访问内网,可以使用msf来探测以及渗透测试。


0x2.2 内网探测


这里首先有几种方法。


第一种,ifconfig,适用于双网卡的情况:



但是可以看到,并没有我们需要的信息。


第二种查看路由以及arp:


路由


上图是查看路由,还可以利用arp -a查看一下arp的信息,以及可以利用traceroute xxx.com查看一下路由走的路径。


但是看到也没有我们想要的信息,到这里我是很迷茫了,找不到内网另一个ip段,我就去问了一下环境的搭建者,他也不知道怎么找,索性就把ip段告诉了我,此处留个疑问,希望有想法的大佬联系我。


既然知道了ip段,就需要探测一下到底哪些主机我们可以渗透:



nmap


利用proxychain nmap达到nmap使用代理扫描的效果,这里需要注意的是socket代理不支持ICMP协议,所以nmap的参数应设置如上图所示,端口可以自己改。


可以看到10.10.1.1以及10.10.1.2的80端口都开着,那我就proxychains3 firefox打开火狐访问了一下,第一个是路由器的管理,第二个是一个cms。到这里呢,可以去猜一下路由的密码,我是直接去看了cms,因为kali中渗透web有点麻烦,所以就利用上面配置好的proxifier代理在Windows下进行渗透。

0x03 第二层渗透


0x3.1 web渗透 or MS17_010



后台


后台默认路径/admin.php,使用了默认账号密码admin 123456


这个cms呢,后台可以getshell,我是被卡在burpsuite抓包上面,开了burpsuite总是无法访问,后来才发现,在burpsuite里面设置了socks代理就没必要再开proxifier了。burp配置如下:


第一种方法

第二种方法


如上配置后,就不需要再开socks代理工具了,否则会出现问题。


在后台添加php允许上传,再去上传点,不要传php因为判断了Content-Type。

传图片抓包改成php


会看到上传成功的提醒,关于路径有以下方法:


成功getshell,这是一种方法,比较麻烦。


前期内网探测时发现了这是台windows服务器,并且存在MS17_010漏洞,可以proxychains3 msfconsole利用msf直接打。


0x3.2 内网探测+跳板代理链


因为这是第二层内网,所以要连接webshell需要打开proxifier然后用AntSword进行连接。




双网卡


如上图我们知道了第三层ip段为4.4.1.x,看一下arp表:



这种基本猜测下个目标就是4.4.1.2了,但还是需要nmap探测一下,在此之前,先配置代理链。


还是使用earthworm进行socks代理,服务端运行后,本机配置如下:




windows


kali


配置完成后,用nmap探测一下


可以看到开了135、445、3389,啥都不说了,永恒之蓝打一波。


0x4 第三层内网渗透


这里需要注意,payload要选择正向连接的,不要反弹shell,因为我们访问得到目标而目标访问不到我们。

得到一个meterpreter shell。

read password


这样我们拿到了admin的密码,直接远程连接:


3389

至此呢,本次内网渗透就完成了。


0x5 总结


0x5.1 跳板总结


拿到DMZ的shell或权限后,可以使用ew建立socks代理,我们的windows用proxifier,我们的linux用proxychains连接,即可访问内网。如果是多层,那么proxifier提供代理链,proxychains也可以多层代理。



windows下若需要burpsuite进行配合,就关掉proxifier,使用burpsuite配置socks代理,其他步骤和平常使用burp一样即可。


Linux下若使用burpsuite与上面同理,不要使用proxychains即可。


0x5.2 内网探测


Linux下还可以通过msf进行内网探测以及攻击:



步骤





Cybellum  Parasoft  bestorm  Defensics  Appcheck  Coverity  loadrunner  fortify  如何进行内网渗透|代码测试
上一页 返回列表 下一页
 
关于我们      |       产品展示      |       解决方案      |       经典案例      |       培训中心      |        新闻资讯      |        试用申请      |        联系我们

  • 上海望驰安防科技有限公司

    地址:上海市浦东灵山路958号5号楼2楼

    手机:18049824972

    电话:021-50150593

    邮箱: anying.ao@ruitde.com

CopyRight 2016 www.ruitde.com All Rights Reserved     版权所有:上海望驰安防科技有限公司   沪ICP备16034184号