【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

/文章作者:Kali_MG1937

CSDN博客ID:ALDYS4

QQ:3496925334
/

内网漫游系列第三期:【渗透实战】记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的

0x01发现蹭网者

家里刚刚装了路由器,网速飞快~

国庆期间当然是打游戏啦,可是为什么网络突然这么慢呢?

打开路由器后台列表

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

家里就我一个人有电脑,为什么多了一台机子?

尼玛!原来有人蹭我网,网速还占了1兆多!看来wifi密码设置得太弱了

正想踹对方下线,转念一想,既然来客人了,就得好好招待一下,不来个渗透全家桶怎么行呢?

nmap粗略扫描一遍

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

没有一个端口开着,看来利用CVE漏洞的策略是行不通的

0x02水坑攻击

既然没有可以利用的端口,那么怎么拿到蹭网者的设备权限呢?

水坑攻击,说得通俗一点就是钓鱼,这方法我已经用了数十遍,屡试不爽

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

具体的渗透思路出来了

我可以在本机建立一个服务器,诱导目标访问我的服务器并下载指定的payload

那么如何诱导目标?我需要一个合理的理由让对方乖乖安装我的载荷

启动Apache

下载flash官网的首页和相关的css,进行一些修改,告诉网页访问者需要下载并更新指定的文件

,以此给网页访问者投放载荷


【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网效果不错

在家用局域网内,ARP欺骗当然是主要的攻击方式了

利用bettercap2.4进行欺骗

为什么使用这个版本的bettercap?

bettercap1.82版本确实方便,但是在https代理服务器和代理脚本编写方面十分不理想

以至于被欺骗的主机根本不响应本机的ssl证书,而2.0以上版本修复了此问题

(关于bettercap2.X版本,本人已经写过解析和代理脚本编写的文章,请看:

【工具解析】瑞士军刀bettercap2.X解析_第一期_编写HTTP代理注入模块_http(s).proxy.script

【工具解析】瑞士军刀bettercap2.X_解析_第二期_内网钓鱼(嗅探)工具编写)

进行基本设置后对蹭网者进行欺骗

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

如图,我编写了一个简单的js脚本,使得被欺骗主机所有页面均被钓鱼页面替换

几分钟后,meterpreter成功接收到一个反弹的shell

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

截图看看

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网从对方的操作来看确实相信了flash未更新的假象

更重要的是,我可以调用对方是网络摄像头

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

看样子是个小学生

0x03进入蹭网者内网

通过摄像头对蹭网者家里环境进行观察,发现他桌子上是有路由器的

(为什么自己有路由器还来蹭我的网,,)

也就是说,蹭网者一定会再次回到自己的内网,而那时候我就没法对他进行控制了

那就在本机上进行内网穿透,将本地端口映射至公网,这样就能让傀儡机反弹shell到公网端口

接着再弹回内网


【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

如图,利用ngrok这个简便的穿透工具,我就能让本机的端口映射至公网

接着利用persistence这个模块使得傀儡机不断向这个公网端口反弹shell

这样就算蹭网者不在我的内网,我也能对他进行控制了

权限维持工作已经到位,现在该让对方滚回自己的内网了

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

踢对面下线

然而几分钟后,不仅仅是内网受控端下线,连公网受控端也下线了

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

难道说穿透出问题了?静等几分钟无果后本打算放弃

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

这时对面又上线了,可能是因为我把对面踢下线,接着对方就以为网络问题所以重启了一遍吧

不管怎样,远控重新上线了,也就是说,现在对方很可能就在自己的内网中

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

利用autoroute模块将对方的路由表转发至本地的meterpreter

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

接着利用socks4a模块将metasploit的流量转发至本地1080端口

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

在浏览器中设置代理

尝试访问目标路由器

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

It works!

0x04拿下路由器权限

PHICOMM路由器,在查找相关资料后发现是没有默认密码的

尝试了几个弱口令也无果

渗透陷入了瓶颈

何不换一种思路?大多数家庭路由器密码都和wifi密码设置得一样,不如我在受控傀儡机上找找答案?

我在sunny-ngrok上申请了一个免费tcp隧道,使sunny的服务器能转发本地3389端口

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网下载windows客户端

传入傀儡机

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

在傀儡机上运行getgui模块打开3389端口,同时运行sunny

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

如图,3389被成功转发至公网

接着对摄像头进行观察,直到晚上11点,对方才离开房间

此时我登录远程桌面

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

拿到wifi密码

【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网路由器权限成功拿下

上一篇:jQuery Easy UI Panel(面板)组件


下一篇:Android5.0L退出APP横竖屏切换导致的触摸屏输入(Touch Event)无效(冻屏)问题分析(Key Event仍然有效)