本文作者 : 重生信安 - 山石?

### ?入口

?打開目標(biāo)網(wǎng)址：test.com:9000

不做前期的信息收集，直接懟進(jìn)去。開啟手動(dòng)爆破模式

????????admin admin?

開始找上傳點(diǎn)。

失敗

另外一處，同樣失敗

既然無法上傳文件，我們轉(zhuǎn)變思路，想想能不能寫文件

###?峰回路轉(zhuǎn)

翻了翻平臺的功能，最后看到這個(gè)，直接懟他！

添加主題，設(shè)置模板為123.php，編輯代碼處直接插入php一句話。提交，保存！

瀏覽發(fā)現(xiàn)

被刪了？以我多年的滲透劃水經(jīng)驗(yàn)，肯定有殺軟，那么我們直接寫大馬！

再次瀏覽這個(gè)視圖，發(fā)現(xiàn)成功寫入Shell

但是找不到大馬的路徑怎么辦？注意，有一個(gè)小細(xì)節(jié)。上圖被刪掉的PHP一句話暴露出了主題的相對路徑test.com/templet/xx.php

拼接一下，test.com/templet/123.php,訪問大馬

直接是system!

查看一下進(jìn)程，果然有殺軟

###?進(jìn)入內(nèi)網(wǎng)

有殺軟怎么辦？這時(shí)候就要掏出我塵封已久的CS了，利用大馬的上傳功能！上傳CS木馬！（Ps：cs木馬，我已經(jīng)做好免殺了）

殺軟禁止添加用戶怎么辦?那我們開啟guest用戶，并添加到管理組

Netuser guest /active:yesNet localgroup administrators guest /add?

系統(tǒng)在內(nèi)網(wǎng)怎么辦？不怕，我們用cs開啟一個(gè)代理，連接代理，進(jìn)入內(nèi)網(wǎng)！

登陸服務(wù)器！(原來我的PHP一句話是被火絨和360殺了)

利用cs讀取管理員密碼，發(fā)現(xiàn)有域用戶登錄過。

利用NetScan軟件。添加讀取到的管理員密碼。枚舉網(wǎng)段下的其他主機(jī)，發(fā)現(xiàn)好多主機(jī)都使用同一個(gè)憑據(jù)(Ps: 由于我的這個(gè)軟件是試用版，所以會有*****號)

我們就此打住。就不進(jìn)行后續(xù)的操作了。直接登陸那臺主機(jī)吧。清除日志！跑路！

后來發(fā)現(xiàn)我的入口機(jī)是這臺主機(jī)(199)VM虛擬出來的系統(tǒng)。這臺主機(jī)應(yīng)該是叫宿主機(jī)吧？

###?思路拓展?1

如何做一些簡單的免殺？個(gè)人認(rèn)為：

1.?把木馬的PE頭打亂

2.?UPX壓縮

3.?Paylaod結(jié)合Py進(jìn)行免殺

4.?Veil

?

###?思路拓展?2

??拿到一個(gè)目標(biāo)Shell如何進(jìn)行內(nèi)網(wǎng)滲透呢？

1.?抓取本地管理員的密碼進(jìn)行Hash傳遞攻擊，利用Cs的

但是目標(biāo)有殺軟，會被刪。推薦這時(shí)把shell反彈到MSF進(jìn)行后續(xù)滲透。

2.?代理進(jìn)入內(nèi)網(wǎng)，對內(nèi)網(wǎng)進(jìn)行弱口令掃描，如1433端口，3389端口等等?？梢钥纯歹弾煾档南旅嫖恼?。還有更多姿勢。各位自己找找吧~~????

＞一次實(shí)戰(zhàn)內(nèi)網(wǎng)漫游

最后。歡迎各位大佬留言搞基?交♂流