记一次内网实战之不会免杀（上）

前段时间看了一下内网渗透，所以想找个环境练习一下，恰好有个兄弟丢了个站点出来，一起“练习内网”，然后就开始了“实战代练”。由于“懒”，所以记录时间和截图有些是补的。

0x00 外网入口点

打开站点（这里用baidu.com替代）看了看，左翻翻右翻翻能看到很明显的“注入”点。简单测试一下（and 1=1、1=2），返回不一样，所以sqlmap一把梭。

sqlmap -uhttps://baidu.com/detail.asp?Prod=2222222222 --random-agent  --thread 10

估计外国站和带宽的原因，跑的很慢。所以走了一遍正常的信息收集:
真实ip:8.8.8.8
Web容器:Microsoft-IIS/7.5
```子域名：
mailserver.baidu.com
mail.baidu.com
端口：80、443
......

```
发现页面登录处admin有个万能密码，登录进去发现只有查看账单的一些功能，所以没用。
C段发现用同一套模板的站，判断是属同一家，所以也注入点跑了一遍。发现这个站跑的比目标站快很多，所以先搞。

--is-dba为dba权限，故os--shell试试，权限system

两个站都是08系统+sql注入+dba权限+system权限，外网入口点太轻松，可忽略，抱着学内网的心态。都一样的站，所以搞目标站。

0x01 中转捣鼓

执行回显得很慢，加了threads 10也是很慢。想着上cs和msf，死活不上线，怀疑有杀软或者拦截协议或者其他。ceye试一下

ping %USERNAME%.baidu.ceye.io

平台有记录，能通外网。但是bitsadmin等下载命令都试了，不上线。走echo写马路线。
先找到web的目录，目录在C盘根目录？

写了n次马子，愣是没上去，位置不对还是有查杀小马的玩意？嗯，位置不对（猜可能有其他盘，d盘bingo）和好像还有个杀马子的玩意（用了个大小写换下，^是转义字符）。

0x02 没思路乱搞系列

查看进程，之前发现有进程有ekrn.exe，egui.exe（eset的进程），不会免杀的我浪死在沙滩上。之前在刀上能执行命令的，这次回去补图居然执行不了命令了。sqlmap那个执行回显太慢，找张内网机子的图补一下（它内网机子都装了eset）。

翻翻文件（无脑子的翻，不确定哪些重要哪些不重要，感觉都重要），看看有什么数据库密码什么的。找到一些配置文件，发现数据库密码、邮服密码？。（在某个文件夹里面发现同行的脚本，应该没被日穿吧。）

先留着这些账号密码，msf有个sqlserver账号密码之后命令执行的模块和存着之后可能的爆破操作。用reg的http代理试试账密能否搞得到东西，

python reGeorgSocksProxy.py -p 1080 -u http://baidu.com/reGeorg.aspx。

再试一波能内网常见的高危：17-010、08-067这类，能直接get的先get（搞不好打到域控啥的重要机子呢）。最后17-010打下内网很多机子，其他的漏洞或者端口扫描就先暂停了。

白天扫的时候很多机子，晚上再扫发现少了很多，那些应该是员工的机子（下班得关机吧）。
子网掩码255.0.0.0，怀疑不止一个段（其他网卡段还没看）。大概翻了一下，10.1.1到10.1.6的ip都有在用。

0x03 eset免杀问题

翻了几个机子的tasklist和尝试ms17-010的反弹，发现eset这个鬼杀软好阻碍干活。上传的工具都死掉了，没搞定这个杀软估计没得搞了。（虽然有个代理可以搞了，但是上个msf有利于后续操作）刚开始还想着添加账户3389过去“手动免杀”。后来找了下加壳在本地测试能文件免杀，但是尝试msf或者cs的又马上杀掉了。于是又找到了个shellter捆绑正常的putty.exe免杀，这会回去复现写文章已经不免杀了。于是有了shellcode免杀操作。

用了下这个shellcode加载器https://github.com/clinicallyinane/shellcode_launcher/

醉了这都杀。Veil也试过不得，改了下别人的shellcode_launcher，也还是杀了，不会免杀寸步难行，暂时放弃（taskkill掉？别，不过好像也kill不掉，“手动”免杀？别。学一波免杀吧，这flag立了好久，自己改自己写吧，太水都不好意思问大佬。准备闭关）。

0x04 内网乱怼

免杀方面过不了，只有代理脚本搞内网了。整理一下信息，外网的两台web在一个内网上，在对应机子上找到两个sqlserver的账密，17-010能打下的1段机子。目前能拿下的机子：

10.1.1.2（web1，sqlserver）
10.1.1.6（web2）
10.1.1.10（445）
61（445）
22（445）
68（445）
94（445）
105（445）
161（445）
199（445）
......

代理有点问题，时不时中断，有些命令得执行几遍，445在这个内网能收割很多。因为不止一个段，有些机子也不止一个网卡，所以现在只记录10.1.1.0/24的，其他段操作都差不多。基础信息收集那堆就不敲了（能百度谷歌出来的问题不是问题吧，这篇感觉是最友好之一内网的文章）,在一波信息收集之后，发现存在域。则直接找域控，在199找到很多用户，这台应该是台域控。

在10也找到了个krbtgt账户，不同的域名。

简单检测一下199（当时想着过去手动关闭杀软，搞到域管擦屁股跑路），ping和dnslog测试过，应该不通外网。添加用户晚上3389连了过去。这里也遇到坑，添加的用户登录不进去，net系列命令没有回显。直接添加用户是域用户？后面systeminfo发现个域名，之后登陆的是加个域名才登陆进去。

不通外网，看到了eset这个杀软。

刚想手动免杀，然后被大佬笑了，所以卡在eset这玩意上面，抓密码等等操作不了（之前shellter过免杀的还是能抓到hash，hash碰撞也ok，一波偷懒时间过去就凉了），现在就只有全程sqlserver账密和17-010执行命令。

0x03 下篇：鲨鱼师傅的操作

由于某些原因，鲨鱼师傅接手搞了这个内网，请客官们 搬好小板凳观看：
《记一次内网实战之不会免杀（下）》

ps:记得留言点赞分享

相关推荐: ret2dlresolve利用方法

使用场景 一遍运行（延迟绑定技术，只有在第一次调用该函数时才会调用_dll_runtime_resolve函数） 没有输出，没有system函数。 需要： 1.向一个固定地址写入数据（bss段） 2.能够劫持程序执行流 linux下c函数是放在libc库里面的…