VMnet1 52（內網）

VMnet2 72 (公網)

Kali: 192.168.72.129

Win7:192.168.72.128

攻擊機：

Web滲透：

掃描埠：開啟了80和3306埠

測試3306禁止遠端登陸

訪問80埠

掃描目錄

訪問http://192.168.72.128/yxcms

掃描目錄

百度找到後臺地址http://192.168.72.128/yxcms//index.php?r=admin/index/login

弱口令admin 123456成功登陸後臺

前提模版-管理模版檔案-新建模版shy1.php，寫入一句話木馬（有些網站新建檔案不行，可以在模組下的index.php檔案頭部新增一句話木馬，利用預設執行index檔案來執行）

通過百度，下載原始碼，找到物理路徑

http://192.168.72.128/yxcms/protected/apps/default/view/default/shy1.php

使用菜刀連線

管理員許可權

內網滲透：

檢視開放埠

開啟3389埠

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

連線測試，失敗

可能開啟了防火牆

兩個方法：

方法1：使用隧道連線3389

參考自己的部落格：https://blog.csdn.net/qq_32393893/article/details/108778332

方法2：關閉防火牆

參考：https://blog.csdn.net/qq_32393893/article/details/107689941

配置防火牆策略

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
netsh 是 windows 的網路配置命令，advfirewall firewall 意思是防火牆高階設定，add rule 是新增一條規則，name 指定規則名稱，protocol 指定協議，dir 指定是出戰還是入站，

圓規正轉（言歸正傳）

資訊收集，windows系統 64位

根據收集資訊，使用kali生成後門檔案

生成後門shy.exe

通過菜刀上傳到win7目標機

msf配置監聽

利用菜刀執行shy.exe 成功獲得反彈shell

run post/windows/manage/migrate：自動尋找合適的程序遷移

載入mimikatz,抓取管理員帳號密碼

域資訊收集

Ipconfig /all

有兩個網段，52為內網網段

新增路由run autoroute -s 192.168.52.0/24

檢視路由是否新增成功

路由新增成功之後開始設定socks代理

配置代理工具proxychains，設定成功後開啟其他程式需前加上proxychains

Vim /etc/proxychains.conf,最後一行加上這個

測試能否訪問192.168.52.0/24這個內網網段，

沒有ping通，估計是防火牆禁ping了

關閉防火牆

關閉防火牆還是不行，估計是ping命令無法代理吧，以後有空再研究下這個問題　應該ping命令走的icmp流量，代理工具沒有代理吧，猜測

Winserver2003 192.168.52.141 445 root-

Winserver2008 192.168.52.138 [email protected]

通過菜刀虛擬終端arp –a ，內網還存活著以下兩臺主機

先通過代理proxychains使用namp掃描一下52.141這臺伺服器

掃描結果如下

發現52.141這臺機器開啟了445埠，

參考自己的這篇部落格進行利用：https://blog.csdn.net/qq_32393893/article/details/107689941

1. 利用利用 use auxiliary/scanner/smb/smb_version 可以掃描系統版本 win2003

1. 利用use auxiliary/scanner/smb/smb_ms17_010，，驗證是否存在ms17_010 貌似存在ms17_010

1. 利用use exploit/windows/smb/ms17_010_eternalblue，對永恆之藍進行利用 可能是使用的sock4代理 使用錯了exp 沒有成功

1. 利用use auxiliary/admin/smb/ms17_010_command執行系統命令，開啟3389（需要雙引號或者單引號） 新建使用者

新建使用者

將使用者加入到管理員組

開啟遠端桌面

1. 然後重新再掃描一下52.141網段，發現3389已經開啟

6 proxychains連線他的3389proxychains rdesktop 192.168.52.141

登陸失敗，原來是加入管理員組命令失敗

成功登陸

Win2008 52.138

掃描存活主機

掃描138開放的埠