![e591538f626beb8a701ba14eb59a2558.png](https://i-blog.csdnimg.cn/blog_migrate/90fe7ca99c4ce0820e68c4b9d521b3f2.jpeg)
![867e54d9d6f299744064111f3c44403b.png](https://i-blog.csdnimg.cn/blog_migrate/077eefe1f9b370a29a09bc4681c6c585.jpeg)
团队:Admin Team
作者:小屁孩
0x00 前言
前段时间再看 metasploit 和白帽子讲 Web 安全,就一直想自己搭个从 Web 端渗透进入内网的环境玩一下,不过因为不太懂计网的知识,拓扑图也看不明白,搭建的过程太心酸了。赶着周末,问了群里大佬,算是终于可以玩一下了。
0x01 搭建
环境的搭建很多坑要踩,但是可以学到很多东西,如果你真的想玩,最好自己尝试做一遍,这里我给大家推荐两个文章,我搭建时也有参考。
i春秋
https://bbs.ichunqiu.com/article-1930-1.html
(本文测试环境主要参考该文章。)
Freebuf
https://www.freebuf.com/articles/network/204769.html
(如果看得懂拓扑图,电脑 32G,推荐这篇文章 。)
这里简单说一下我搭建的环境。
内存 8 G 的电脑两台,机械革命和室友的联想,连着手机开的热点。
(建议换配置高的吧,开6台虚拟机卡死......辛苦我“老婆”了)
![ad20a2f19d640d92b47702ab34866c4c.png](https://i-blog.csdnimg.cn/blog_migrate/1e38d96a480b80622322e578388aa7b0.jpeg)
(开5台的时候...)
机械革命的安装了 6 台虚拟机做为测试环境,网络类型为桥接模式。
(如果你以前用过 vmware ,修改过虚拟网络配置,建议配置虚拟网络的时候还原默认,大佬可跳过。)
(1.) windows 10
ip 192.168.43.121 密码设空 开放 445 端口。
(2.) windows 7
ip 192.168.43.68
(3.) windows 2012
ip 192.168.43.242 搭建域环境 开放 445 端口。
![140a953e4f676e24713871480e93ed22.png](https://i-blog.csdnimg.cn/blog_migrate/690bd9c5d05c2ed3a5bea8acb3f39b51.jpeg)
(4.) windows 2003
ip 192.168.43.149 开放445端口
(5.) windows 2008
ip 192.168.43.127 安装 phpstudy 服务 开80端口
(6.) windows 2008
ip 192.168.43.25 安装 sqlserve 服务
SqlServer 用户名:sa 密码:WPX123456! 开1433端口
室友的联想安装了 1 台虚拟机 kali 作为攻击者,网络类型为桥接模式。
ip 192.168.43.194.
0x02 渗透思路
既然是从 Web 端入手,我们就从 5 号机开始,五号机开了 80 端口,phpstudy 默认配置,我们可以从 phpmyadmin 下手,写 shell 连菜刀,提服务器。
然后以此为基础,nmap 扫描同一网段的 ip 地址,然后针对每台机器上开放的服务和端口,利用 kali 中强大的 msf 或者其他提权方式,进行其他主机的渗透。
0x03 开始渗透
(截图的话太多了,直接上视频了,视频中为主要操作,建议横屏观看。)
(1.) 5号机 windows 2008
通过 phpinfo 页面查看网站根目录,弱口令进 phpmyadmin 。
写 shell 连菜刀,因为不能直接写,所以我们利用日志文件来写入shell。
添加用户,赋予管理员权限。
目标机没有开3389,我们尝试输入以下命令开3389,远程连接。
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
![76d3200f11b399ecc97820ca4d17ffd8.png](https://i-blog.csdnimg.cn/blog_migrate/1789754d46a6db0fa0c675ec9bffd6f1.jpeg)
这样我们就拿到了第一台主机的权限。
接下来我们利用kali的msf 对目标机的ip段进行扫描。
下面是扫描结果:
windows 10
![e991afc7c8170433e778a96856330a5f.png](https://i-blog.csdnimg.cn/blog_migrate/163ddb5a59f0aad9972c9425c150dce5.jpeg)
windows 7
![a27fa578effc4b7f8fa957afe1d5b3ac.png](https://i-blog.csdnimg.cn/blog_migrate/3bc7b8d23062368671f763b9f869c21e.jpeg)
windows 2012
![db690b12522a051d02293795bf4427b6.png](https://i-blog.csdnimg.cn/blog_migrate/6ec7c78372850c8b31d1c565f0600b50.jpeg)
windows 2003
![a6900176073078155c0353b766d13d06.png](https://i-blog.csdnimg.cn/blog_migrate/f0838c9702b0cd1ab548ffb3894df8bd.jpeg)
windows 2008
![d3a94984fd46544b583cfd0461555f26.png](https://i-blog.csdnimg.cn/blog_migrate/149452c5669608f65be47502c8edc984.jpeg)
(2.)6号机 windows2008
这台服务器上安装有 sqlserver 服务,我们利用 msf 的相关模块对 sa 密码进行爆破,并尝试使用 msf 中mssql_payload 模块来获取交互式shell。
这里不知道为什么攻击荷载一直传不上去,所以我换了一个思路,刚才已经利用msf 得到了 sa 用户的密码,我们可以利用 xp_cmdshell 进行提权,添加用户,远程连接。
![a8b814b985564843bfe19af88a8fb91b.png](https://i-blog.csdnimg.cn/blog_migrate/b72fcedac2844dec2421dbf29f2201f7.jpeg)
(3.)2、4号 windows7、windows2003
这两个版本都是存在永恒之蓝漏洞的,我们直接利用 msf 的相关模块打就行了,拿到权限,添加用户,开3389,远程连接。
(4.)3号 windows2012
利用msvenom 生成木马文件,上传到目标主机,可开3389 远程连接,然后我们上传 mimikatz 来获取域控管理员密码哈希。
![d727590aa1e693e8457c5863a9293531.png](https://i-blog.csdnimg.cn/blog_migrate/356625d53a82b016ec877c8323d99249.jpeg)
(5.)1号 windows 10
这里我们找一台已经拿到的机器,然后在该机器上建立 IPC 连接,利用 IPC$ 入侵win10,将 win10 的某个盘符映射到该机,上传执行木马文件,获取 msf shell。
![b79a21310576990ce30bc3b6301bc3a7.png](https://i-blog.csdnimg.cn/blog_migrate/e6707ccf885fad81e6b864e66ce78274.jpeg)
![867e54d9d6f299744064111f3c44403b.png](https://i-blog.csdnimg.cn/blog_migrate/077eefe1f9b370a29a09bc4681c6c585.jpeg)