看大佬使用Msf与IE打穿内网

大致拓扑

第一台：

扫描了一下是有ms17-010的，但怼的时候没有成功。先用8075端口通达OA命令执行漏洞进去看看：

后来ms17-010能怼了，正式开启msf之路。

原计划在meterpreter里面建立路由，横向渗透。但是涉及到端口转发，msf隧道就会断掉。

不过没有关系，在靶机里面装一个msf就行了。

Win7用户远程桌面保存了一个机器，但msf没有办法直接抓到远程桌面登录的密码。

第三台：

先使用ms17-010拿192.168.184.253：

到这里以后是可以继续跨网段横向的。之前好像是有两个机器，10.0.10.110和10.0.10.111，111开放了redis且未授权访问，原计划redis上传一个webshell上去，后来机器没了。110机器还没看，也没了。

第四台：

存在永恒之蓝，但msf没有x86的payload。

web开放了80，81，82端口。(auxiliary/scanner/portscan/tcp)

尝试iis直接上传

可以上传文件，但不知是我操作有瑕疵还是msf有瑕疵，上传的内容不是我自定义的payload，上传了一个asp的脚本，但是这个脚本执行的时候500错误。可以试试aspx。

再后来写都写不上去了。

再后来msf都打不开了

扫描一下目录（msf默认没有web目录的字典，需要自定义字典，但扫描起来感觉很憨批）：

ewebeditor的后台进不去，网站后台没有密码。

构造一个本地上传的html。没传上去，看源码是样式id号不对，更换了几个样式ID也不好使。

尝试注入拿密码进后台：

and exists (select * from msysobjects)>0 判断数据库是access（加个单引号也行）

找了一下msf没有access数据库的相关脚本。手工注入进后台吧。

网上找一个手注的教程：https://blog.csdn.net/u014029795/article/details/91071005

发现教程里面的环境和靶机一样？？？？

http://192.168.184.123:81/Production/PRODUCT_DETAIL.asp

id=1513 Union select 1,2,admin,4,5,6,7,8,9,10,11,12,13,14,password,16,17,18,19,20,21,22 from admin

爆密码进后台

进后台发现编辑器是灰色的。上传文件改包还得用burp（这里也不能确定上传是否可行）。以前没有burp的时候，使用nc改包上传，但这里也没有nc。常规的access备份数据库功能和后台上传设置功能都没有。

82端口：

这里过滤了参数，一般来说使用cookie注入就行，但msf没法注，手工又不会（辉师傅硬磕这里磕进去了，牛逼）。

其他的和81端口的类似。Msf针对这类web系统几乎没什么模块可以用，敏感目录与文件也扫不出来。没上传点，没后台就告辞了有上传点我也改不了包。打到这里呢，msf就受不了了，直接投降~

本文来源于 https://laolisafe.com/3980.html