/文章作者:Kali_MG1937

****博客ID:ALDYS4

QQ:3496925334/

内网漫游系列第三期:【渗透实战】记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的

0x01发现蹭网者

家里刚刚装了路由器,网速飞快~

国庆期间当然是打游戏啦,可是为什么网络突然这么慢呢?

打开路由器后台列表



家里就我一个人有电脑,为什么多了一台机子?

尼玛!原来有人蹭我网,网速还占了1兆多!看来wifi密码设置得太弱了

正想踹对方下线,转念一想,既然来客人了,就得好好招待一下,不来个渗透全家桶怎么行呢?

nmap粗略扫描一遍



没有一个端口开着,看来利用CVE漏洞的策略是行不通的

0x02水坑攻击

既然没有可以利用的端口,那么怎么拿到蹭网者的设备权限呢?

水坑攻击,说得通俗一点就是钓鱼,这方法我已经用了数十遍,屡试不爽



具体的渗透思路出来了

我可以在本机建立一个服务器,诱导目标访问我的服务器并下载指定的payload

那么如何诱导目标?我需要一个合理的理由让对方乖乖安装我的载荷

启动Apache

下载flash官网的首页和相关的css,进行一些修改,告诉网页访问者需要下载并更新指定的文件

,以此给网页访问者投放载荷

效果不错

在家用局域网内,ARP欺骗当然是主要的攻击方式了

利用bettercap2.4进行欺骗

为什么使用这个版本的bettercap?

bettercap1.82版本确实方便,但是在https代理服务器和代理脚本编写方面十分不理想

以至于被欺骗的主机根本不响应本机的ssl证书,而2.0以上版本修复了此问题

(关于bettercap2.X版本,本人已经写过解析和代理脚本编写的文章,请看:

【工具解析】瑞士军刀bettercap2.X解析_第一期_编写HTTP代理注入模块_http(s).proxy.script

【工具解析】瑞士军刀bettercap2.X_解析_第二期_内网钓鱼(嗅探)工具编写)

进行基本设置后对蹭网者进行欺骗



如图,我编写了一个简单的js脚本,使得被欺骗主机所有页面均被钓鱼页面替换

几分钟后,meterpreter成功接收到一个反弹的shell



截图看看

从对方的操作来看确实相信了flash未更新的假象

更重要的是,我可以调用对方是网络摄像头



看样子是个小学生

0x03进入蹭网者内网

通过摄像头对蹭网者家里环境进行观察,发现他桌子上是有路由器的

(为什么自己有路由器还来蹭我的网,,)

也就是说,蹭网者一定会再次回到自己的内网,而那时候我就没法对他进行控制了

那就在本机上进行内网穿透,将本地端口映射至公网,这样就能让傀儡机反弹shell到公网端口

接着再弹回内网



如图,利用ngrok这个简便的穿透工具,我就能让本机的端口映射至公网

接着利用persistence这个模块使得傀儡机不断向这个公网端口反弹shell

这样就算蹭网者不在我的内网,我也能对他进行控制了

权限维持工作已经到位,现在该让对方滚回自己的内网了



踢对面下线

然而几分钟后,不仅仅是内网受控端下线,连公网受控端也下线了



难道说穿透出问题了?静等几分钟无果后本打算放弃



这时对面又上线了,可能是因为我把对面踢下线,接着对方就以为网络问题所以重启了一遍吧

不管怎样,远控重新上线了,也就是说,现在对方很可能就在自己的内网中



利用autoroute模块将对方的路由表转发至本地的meterpreter



接着利用socks4a模块将metasploit的流量转发至本地1080端口



在浏览器中设置代理

尝试访问目标路由器



It works!

0x04拿下路由器权限

PHICOMM路由器,在查找相关资料后发现是没有默认密码的

尝试了几个弱口令也无果

渗透陷入了瓶颈

何不换一种思路?大多数家庭路由器密码都和wifi密码设置得一样,不如我在受控傀儡机上找找答案?

我在sunny-ngrok上申请了一个免费tcp隧道,使sunny的服务器能转发本地3389端口

下载windows客户端

传入傀儡机



在傀儡机上运行getgui模块打开3389端口,同时运行sunny



如图,3389被成功转发至公网

接着对摄像头进行观察,直到晚上11点,对方才离开房间

此时我登录远程桌面



拿到wifi密码

路由器权限成功拿下