本文作者 : 重生信安 -?nobgr

?前段時間看了一下內(nèi)網(wǎng)滲透，所以想找個環(huán)境練習(xí)一下，恰好有個兄弟丟了個站點出來，一起“練習(xí)內(nèi)網(wǎng)”，然后就開始了“實戰(zhàn)代練”。由于“懶”，所以記錄時間和截圖有些是補的。

0x00?外網(wǎng)入口點

打開站點（這里用baidu.com替代）看了看，左翻翻右翻翻能看到很明顯的“注入”點。簡單測試一下（and 1=1、1=2），返回不一樣，所以sqlmap一把梭。

sqlmap-uhttps://baidu.com/detail.asp?Prod=2222222222 --random-agent? --thread10

估計外國站和帶寬的原因，跑的很慢。所以走了一遍正常的信息收集:

真實ip:8.8.8.8

Web容器:Microsoft-IIS/7.5

子域名：mailserver.baidu.commail.baidu.com端口：80、443......

發(fā)現(xiàn)頁面登錄處admin有個萬能密碼，登錄進去發(fā)現(xiàn)只有查看賬單的一些功能，所以沒用。

C段發(fā)現(xiàn)用同一套模板的站，判斷是屬同一家，所以也注入點跑了一遍。發(fā)現(xiàn)這個站跑的比目標(biāo)站快很多，所以先搞。

--is-dba為dba權(quán)限，故os--shell試試，權(quán)限system

兩個站都是08系統(tǒng)+sql注入+dba權(quán)限+system權(quán)限，外網(wǎng)入口點太輕松，可忽略，抱著學(xué)內(nèi)網(wǎng)的心態(tài)。都一樣的站，所以搞目標(biāo)站。

0x01?中轉(zhuǎn)搗鼓

執(zhí)行回顯得很慢，加了threads 10也是很慢。想著上cs和msf，死活不上線，懷疑有殺軟或者攔截協(xié)議或者其他。ceye試一下

ping%USERNAME%.baidu.ceye.io

平臺有記錄，能通外網(wǎng)。但是bitsadmin等下載命令都試了，不上線。走echo寫馬路線。

先找到web的目錄，目錄在C盤根目錄？

寫了n次馬子，愣是沒上去，位置不對還是有查殺小馬的玩意？嗯，位置不對（猜可能有其他盤，d盤bingo）和好像還有個殺馬子的玩意（用了個大小寫換下，^是轉(zhuǎn)義字符）。

0x02?沒思路亂搞系列

查看進程，之前發(fā)現(xiàn)有進程有ekrn.exe，egui.exe（eset的進程），不會免殺的我浪死在沙灘上。之前在刀上能執(zhí)行命令的，這次回去補圖居然執(zhí)行不了命令了。sqlmap那個執(zhí)行回顯太慢，找張內(nèi)網(wǎng)機子的圖補一下（它內(nèi)網(wǎng)機子都裝了eset）。

翻翻文件（無腦子的翻，不確定哪些重要哪些不重要，感覺都重要），看看有什么數(shù)據(jù)庫密碼什么的。找到一些配置文件，發(fā)現(xiàn)數(shù)據(jù)庫密碼、郵服密碼？。（在某個文件夾里面發(fā)現(xiàn)同行的腳本，應(yīng)該沒被日穿吧。）

先留著這些賬號密碼，msf有個sqlserver賬號密碼之后命令執(zhí)行的模塊和存著之后可能的爆破操作。用reg的http代理試試賬密能否搞得到東西，

python reGeorgSocksProxy.py -p 1080 -u http://baidu.com/reGeorg.aspx。

再試一波能內(nèi)網(wǎng)常見的高危：17-010、08-067這類，能直接get的先get（搞不好打到域控啥的重要機子呢）。最后17-010打下內(nèi)網(wǎng)很多機子，其他的漏洞或者端口掃描就先暫停了。

白天掃的時候很多機子，晚上再掃發(fā)現(xiàn)少了很多，那些應(yīng)該是員工的機子（下班得關(guān)機吧）。

子網(wǎng)掩碼255.0.0.0，懷疑不止一個段（其他網(wǎng)卡段還沒看）。大概翻了一下，10.1.1到10.1.6的ip都有在用。

?

0x03 eset免殺問題

翻了幾個機子的tasklist和嘗試ms17-010的反彈，發(fā)現(xiàn)eset這個鬼殺軟好阻礙干活。上傳的工具都死掉了，沒搞定這個殺軟估計沒得搞了。（雖然有個代理可以搞了，但是上個msf有利于后續(xù)操作）剛開始還想著添加賬戶3389過去“手動免殺”。后來找了下加殼在本地測試能文件免殺，但是嘗試msf或者cs的又馬上殺掉了。于是又找到了個shellter捆綁正常的putty.exe免殺，這會回去復(fù)現(xiàn)寫文章已經(jīng)不免殺了。于是有了shellcode免殺操作。

用了下這個shellcode加載器

https://github.com/clinicallyinane/shellcode_launcher/

，醉了這都?xì)?。Veil也試過不得，改了下別人的shellcode_launcher，也還是殺了，不會免殺寸步難行，暫時放棄（taskkill掉？別，不過好像也kill不掉，“手動”免殺？別。學(xué)一波免殺吧，這flag立了好久，自己改自己寫吧，太水都不好意思問大佬。準(zhǔn)備閉關(guān)）。

?

0x04?內(nèi)網(wǎng)亂懟

免殺方面過不了，只有代理腳本搞內(nèi)網(wǎng)了。整理一下信息，外網(wǎng)的兩臺web在一個內(nèi)網(wǎng)上，在對應(yīng)機子上找到兩個sqlserver的賬密，17-010能打下的1段機子。目前能拿下的機子：

10.1.1.2（web1，sqlserver）10.1.1.6（web2）10.1.1.10（445）61（445）22（445）68（445）94（445）105（445）161（445）199（445）......

代理有點問題，時不時中斷，有些命令得執(zhí)行幾遍，445在這個內(nèi)網(wǎng)能收割很多。因為不止一個段，有些機子也不止一個網(wǎng)卡，所以現(xiàn)在只記錄10.1.1.0/24的，其他段操作都差不多?；A(chǔ)信息收集那堆就不敲了（能百度谷歌出來的問題不是問題吧，這篇感覺是最友好之一內(nèi)網(wǎng)的文章）,在一波信息收集之后，發(fā)現(xiàn)存在域。則直接找域控，在199找到很多用戶，這臺應(yīng)該是臺域控。

在10也找到了個krbtgt賬戶，不同的域名。

簡單檢測一下199（當(dāng)時想著過去手動關(guān)閉殺軟，搞到域管擦屁股跑路），ping和dnslog測試過，應(yīng)該不通外網(wǎng)。添加用戶晚上3389連了過去。這里也遇到坑，添加的用戶登錄不進去，net系列命令沒有回顯。直接添加用戶是域用戶？后面systeminfo發(fā)現(xiàn)個域名，之后登陸的是加個域名才登陸進去。

不通外網(wǎng)，看到了eset這個殺軟。

剛想手動免殺，然后被大佬笑了，所以卡在eset這玩意上面，抓密碼等等操作不了（之前shellter過免殺的還是能抓到hash，hash碰撞也ok，一波偷懶時間過去就涼了），現(xiàn)在就只有全程sqlserver賬密和17-010執(zhí)行命令。

0x03?下篇：鯊魚師傅的操作

由于某些原因，鯊魚師傅接手搞了這個內(nèi)網(wǎng)，請客官們 搬好小板凳觀看：

? ? ? ? 《記一次內(nèi)網(wǎng)實戰(zhàn)之不會免殺（下）》

ps:記得留言點贊分享