渗透局域网工具,渗透局域网工具是什么

导航：

• 1、kali linux是什么
• 2、如何使用metasploit进行内网渗透详细过程
• 3、内网渗透-远控类软件利用
• 4、用Powershell框架Empire进行内网域渗透(一)

kali linux是什么

Kali Linux是基于Debian的Linux发行版渗透局域网工具， 设计用于数字取证和渗透测试。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成渗透局域网工具，BackTrack是他们之前写的用于取证的Linux发行版 。

Kali Linux预装了许多渗透测试软件，包括nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器),以及Aircrack-ng (一应用于对无线局域网进行渗透测试的软件).[2] 用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux，Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。

Kali Linux既有32位和64位的镜像。可用于x86 指令集。同时还有基于ARM架构的镜像，可用于树莓派和三星的ARM Chromebook

Kali Linux安装条件

安装Kali Linux到你的电脑过程很简单.首先你需要兼容的电脑硬件. Kali支持i386, amd64, 和ARM (armel和armhf) 平台.最低硬件要求如下,更好的硬件性能会更好. i386镜象默认使用PAE内核,所以你能在大于4GB内存的机器运行它.下载Kali Linux然后刻录DVD盘,或者准备好一块Kali Linux Live U盘作为安装媒介.如果你的电脑没有DVD光驱或者USB端口, 请参考Kali Linux网络安装.

如何使用metasploit进行内网渗透详细过程

在获得sql server的登陆权限后同样可以快速的获得meterpreter shell。

注意这里METHOD选项，三种方法都要使用XP_cmdshell，而第一种ps是使用powershell，第二种需要使用wscript.exe，第三种则要用到debug.com。 本地没有环境，就不截图演示了

others

不管是什么场景，只要能转换成文件上传和执行权限就可以得到shell。在获得一种权限时当然可以先google一番是否有可适用的脚本，如果没有再分析是否能转换为文件操作和执行权限。如果可以那就可以得到shell了。 比如:

mysql and sqlserver ..etc = file/webshell =shell

本地同样也测试了下tunna里自带的msf插件，测试了php版的。代码大致是这样的

内网渗透-远控类软件利用

对渗透中遇到的远控类软件的利用方式整理。

操作系统：windows server 2012

中间件：tomcat

杀软：卫士+杀毒

默认权限：administrator

实战中经常遇到的一款远控软件，用户数量高。

可以通过ID和密码进行无人值守访问。

进程信息：

利用场景：拿到webshell权限，想上线cs，发现主机存在杀软，bypass失败。

通过查看进程信息发现存在Teamviewer。

管理员在线。

利用获取到的密码成功连接到目标主机的桌面。

TeamViewer QuickSupport版

首次运行需要同意协议。

实战使用需要把首次运行同意协议步骤进行绕过，然后上传到目标主机运行，然后抓取密码连接，感兴趣的可以研究下。

利用场景：查看进程发现存在向日葵，寻找配置文件，破解本机验证码，连接向日葵。

进程信息：

向日葵在最近的更新中加强了加密机制，删除了config.ini中的encry_pwd(本机验证码)。

v11.1.2.38529之前的版本，连接信息保存在配置文件中，可进行解密。

向日葵默认配置文件路径:

解密脚本

pip3 install unicorn

利用场景：

1、杀软白名单策略，常规免杀方法无法绕过。

2、存在流量设备，常规frp，nps，cs，reGeorg等被ban，无法带入内网。

向日葵首次运行提示是否安装。

需要鼠标点击以绿色版运行

使用bypass方法绕过，上传SunloginClient.exe到靶机服务器运行。

查看绿色版配置文件

C:\ProgramData\Oray\SunloginClient\config.ini

使用脚本破解encry_pwd

识别码为：165034706

密码为：LlOa4Z

连接成功。

北京金万维科技有限公司开发的一款产品，分为客服端和客户端。

可以通过设置连接密码进行无人值守访问。

进程信息：

配置文件默认路径

uniqueid 为连接的id

connect_password= 为设置的连接密码加密hash

random_password= 为明文连接密码

2个密码都可以连接使用

默认安装后未设置连接密码，不支持无人值守访问。

特点：运行过程中动态加载配置文件

利用方式：直接在配置文件中添加连接密码，进行无人值守访问。

1、设置random_password=666666

重新连接，输入设置的密码信息。

连接成功。

2、设置random_password

本地搭建客户端，设置连接密码999999。

查看本地配置文件中加密后的hash为

connect_password=5eec351934af7678a852ade9efc74133

特点：只在开始运行时加载配置文件

无random_password只能通过修改connect_password连接。

利用方式：结束进程，修改配置文件，重新运行。

1、结束进程

2、修改配置文件内容

connect_password为5eec351934af7678a852ade9efc74133（999999）

3、重新启动即可用密码连接。

1、uac

非server服务器运行向日葵需要bypass uac

2、用户不在线的情况，需要密码登录。

这个点导致利用起来比较鸡肋，适用于隧道流量无法绕过等一些极端情况，可以选择免杀读密码/免杀加用户然后登录。

整理了最近遇到的几个内网远控存在利用的点，利用相对鸡肋，适用于某些极端情况下使用。

用Powershell框架Empire进行内网域渗透(一)

自从powershell在windows开始预装之后渗透局域网工具，就成为Windows内网渗透渗透局域网工具的好帮手，好处多多：天生免杀、无文件落地、 无日志(雾) 。

于是老外开发了 empire 框架，毕竟 cobalt strike 要收费渗透局域网工具的不是？

功能模块丰富，老外把内网[域]渗透中能用到渗透局域网工具的都整合进去了：内网探测，提权，凭据获取，横向移动，权限维持。模块那么多，不懂就 searchmodule 或者[tab]两下。

基于 debian 系的，如kali或者ubuntu都可以安装。

git clone

在执行安装脚本之前，建议修改软件源和 pip 源，避免因为网络问题安装失败。

sudo ./setup/install.sh

安装好后执行 ./empire 后就可以用了。

先查看可用的 Listener 有哪些？[tab]两下就出来了所有可用的。

通过 info 查看指定模块的配置信息

这里还是先使用http的监听,通过 set Port 8080 修改监听的端口， 2.x版必须同时设置 Host ，然后 execute 启动监听。

通过list命令查看正在运行的监听

可以通过usestager来生成文件，引诱对方运行，可以看到支持linux、Windows、osx。

这里我们选用launcher_bat，通过 info 查看可以配置的参数。

这里需要注意的是Listener的Name，必须跟前面启用的Listener的一致。

生成的文件内容是这样子的

其中那么一大段的powershell命令，跟 (Empire: listeners) launcher powershell test 的执行结果是一样的。这里先不关心怎么让其在别的机子上运行，那是另外的技术活。

用win7的cmd执行了那一串命令后，进程中可以看到有powershell.exe

执行 agents 命令查看回连的机子，然后 interact BNR1T9ZC 来与之进行交互。

通过 help 命令可以查看到在agent上可以执行很多命令。这里挑些重要的讲。

bypassuac ，顾名思义就是绕过uac的。除非你是本机的administrator，否则普通管理员都需要右键某个程序，然后选择 run as administrator 才能运行，这都是uac作的怪。

因为这里是用普通域用户权限执行的，连本机的普通管理员都不算，所以失败了。

sc，屏幕截图命令,可以通过这个了解机子上的人正在做什么。

我们看看usemodule还有哪些可用的模块？（有些模块需要对应权限才能成功运行）

输入 help agentcmds 可以看到可供使用的常用命令

执行 ipconfig 查看网卡信息（如果不在help列表中，那么会自动执行远程主机上的可用命令）

可以看到dns的ip是1.1.1.10，既是域控的ip

当你获得一个会话之后，又想要派生更多会话，怎么办？

使用 invoke_shellcode 来注入 meterpreter 的shellcode

metasploit先要设置一个 listener

然后empire执行

成功获取meterpreter会话（才怪， empire2.5 版本）

在session1建立到1.1.1.0/24网段的路由跳转

run autoroute -s 1.1.1.0/24

通过sesesion1打通网段后，可以看到域控服务器1.1.1.10开放的端口

使用ms17010成功获取meterpreter会话。

至此，域控拿下，可以开始漫游内网。（还是得靠metasploit，单一个empire做的事情很有限）

获取域管理员的明文凭据

用后渗透模块 credential_collector 收集可用的凭据

empire 可以直接使用 mimikatz 来获取凭据。 注意，此时客户端上powershell进程占用的cpu可达90%，会引起卡顿

creds 查看获取的凭据

利用pth来传递hash，用这个hash创建一个新的进程，可以看到新的进程id是3032

然后 credentials/tokens 查看不同用户的进程id

对指定进程steal_token之后，再去与agent交互就是域用户user的权限了。

用revtoself再切换回原来的权限（普通域用户权限太低做不了什么）

到这里尝试了好几个 situational_awareness/network/powerview 的模块返回的都是空结果，看来是需要域管理员才能执行成功。

碰巧域管理员也登陆这台机子，那么就能用他的权限做很多事情了。

也可以使用 usemodule management/psinject 进行切换，设置好ProcessId即可

现在我们又获得了一次域管理员权限，可以开始横向移动了。

先内网探测下可用的机子有哪些，使用了 situational_awareness 中的三个模块：

find_localadmin_access user_hunter get_domain_controller

又一次可以确定1.1.1.10就是域控所在了。用 lateral_movement/invoke_psexec 移动到域控服务器上面。

终于又回到了域控服务器，接下来要考虑的是如何导出域控上面的所有hash，并且维持权限。