前言

拿shell過(guò)程我就一筆概括好了，畢竟這是主要講的內(nèi)網(wǎng)滲透，就是一個(gè)上傳點(diǎn)無(wú)過(guò)濾，就這么來(lái)的，而且還是administrator權(quán)限，于是就有了這篇文章。

0x01

拿到shell后，看了一下是不是在內(nèi)網(wǎng)環(huán)境，然后又看了下是不是在域內(nèi)，不過(guò)很可惜，沒(méi)有看到域。我先用cs生成個(gè)exe，先上線(xiàn)cs先。由于是administrator權(quán)限，第一步肯定是先用獼猴桃抓一波密碼。

接著當(dāng)然是配合msf繼續(xù)接下來(lái)的操作。
首先去msf里面監(jiān)聽(tīng)對(duì)應(yīng)的端口。

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp

?

?

0x02

msf上線(xiàn)了，先添加一下路由表，才能繼續(xù)接下來(lái)的操作。
在meterpreter中:

查看目標(biāo)內(nèi)網(wǎng)路由

run get_local_subnets

添加路由

run autoroute -s 192.168.0.0/16

查看是否添加好路由

run autoroute –p

先掃描一下192.168.17.0這個(gè)段。

掃描完成后，掃描的信息會(huì)自動(dòng)存入數(shù)據(jù)庫(kù)，可通過(guò)hosts命令查看

接下來(lái)，當(dāng)然是先ms17-010啦，內(nèi)網(wǎng)神器，內(nèi)網(wǎng)滲透的首選。
使用smb_ms17_010模塊探測(cè)MS17-010漏洞。

hoo~ 好幾臺(tái)都存在ms17-010，刺激！

然后…… 居然沒(méi)有一臺(tái)能正常反彈shell？？我太難了，難道是內(nèi)網(wǎng)出不來(lái)？還是被waf攔截了？（聽(tīng)說(shuō)msf里面的17-010失敗率很高?。?/p>

算了，先掃一下哪些開(kāi)了3389的。

嘗試跑一下一開(kāi)始獲取到的密碼,一般來(lái)說(shuō)，在內(nèi)網(wǎng)基本幾個(gè)密碼可以淪陷很多臺(tái)服務(wù)器。

天吶，怎么回事，居然沒(méi)有一臺(tái)的密碼和我拿下的那臺(tái)密碼一樣，難道我是天譴之人？

0x03

這樣下去也不是個(gè)辦法，擴(kuò)展其他段，在刷一遍上面的流程。

arp命令

“地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。在解析過(guò)IP之后會(huì)保存在本地的arp表中，所以使用以下命令可以查看本地的arp緩存表，從中獲取到一些IP信息?！?/p>

arp -a

等等……

從這里就可以發(fā)現(xiàn)了以下幾個(gè)網(wǎng)段

192.168.1.x

192.168.17.x

192.168.18.x

192.168.20.x

192.168.23.x

192.168.24.x

192.168.26.x

224.x.x.x

225.x.x.x

226.x.x.x

227.x.x.x

228.x.x.x

229.x.x.x

230~9.x.x.x

看到上面整理的信息，懵住了，內(nèi)網(wǎng)那么大。

同時(shí)看了下host文件，看看能不能發(fā)現(xiàn)啥。

type c:Windowssystem32driversetchosts

?

?

但是很可惜，沒(méi)有發(fā)現(xiàn)到有啥有用的信息。

編輯：黃飛

?